根据XX公司的规模和VPN的需求分析，我们认为本次VPN系统搭建主要应该关注以下几点问题（建议：根据客户关注点罗列，主要包括稳定、安全、效率、便捷、服务等）：

 

1、  稳定可靠性

VPN作为整个XX公司应用系统数据的承载系统之一，VPN产品必须具备7×24小时不间断运行的能力，保证整网的可用性；同时，VPN产品必须能提供备份机制来降低因INTERNET线路或硬件设备损坏可能带来的风险。

 

2、  安全性

VPN产品须能够保障在数据传输过程、用户接入认证、内网权限划分三个方面的安全性，同时VPN网关的防火墙功能可以有效防止黒客与病毒的入侵。

 

3、高效

由于传输数据量较大，VPN产品须尽量高效，以满足业务需要。

 

4、便捷

考虑到使用者IT基础不一，VPN操作需尽量简单，以便不同层次用户使用。

 

 

 

 

 

 

 

 

 

三、深信服科技介绍

 

深信服科技（www.vpn.com.cn）是国内专业的VPN产品提供商，从成立伊始，深信服科技就专注于VPN产品的研发及实施。一直以来，我们专业的人员、积极的态度、踏实的作风，帮助数千家客户成功实施了Sinfor系列VPN产品，其中包括泰康人寿、中石化、花王、中国电信等著名企业。

 

目前，深信服科技是国内唯一自主提供IPSEC和SSL 全方位VPN产品系列以及UTM设备的厂家。详细产品线列表如下：         

 

 

DLAN 3.1 硬件

DLAN 3.1 软件

远程部署和网管平台

DLAN 2.1安全版

DLAN 2.1专业版

DLAN 2.1标准版

软件VPN

即插即用免配置的客户端设备DKEY

桌面网关S5100P5100

百兆设备M5100

千兆设备 M5800M5600M5400

硬件VPN

Sinfor M5100-AC百兆设备

Sinfor M5400-AC千兆设备

UTM安全网关

SINFOR

硬件

SC

UTM

一体

软件

Sinfor M5100-S百兆设备

Sinfor M5400-S千兆设备

IPSec/SSL一体化网关

 

 

 

 

 

 

 

 

 

 

 

 

 

四、方案建议

设备选型及介绍

根据XX公司各节点的规模，结合深信服科技的产品线结构，推荐选型如下：

 

 

以下对各选型产品作分项简要介绍：

 

1、总部、分公司

 

 

3、移动用户

 

DKEY是针对移动办公人员的配置，它是一种类似U盘的加密钥匙，主要特点如下：

 

l  安全

一旦启用了DKEY接入，其它一切形式的接入将被视为非法。

 

l  便捷

DKEY支持即插即用，不需要进行任何配置，需要脱离VPN系统时，直接将DKEY拔下即可。

 

 

 

 

 

 

 

 

组网拓扑

 

 

 

说明：总部使用M5100设备，分支机构使用S5100设备，各移动人员通过纯软件或DKEY方式接入总部，获取总部数据信息。

 

成本预算

总部硬件：

 

	单线路	双线路
DLAN M5100-S 硬件网关	25000元	34000元

 

分支硬件：

 

S5100硬件网关	10000元
P5100硬件网关	6000元

 

移动：

 

每移动（标准）

421.20元

 

每移动（含DKEY钥匙）

702.00元

 

 

 

五、方案优势

稳定可靠性

 

深信服VPN系统经过了广东省联通和西安电信的严格测试，此外，全国5000多家客户、上万个网络的大容量成功实际使用也证明了此系统的高稳定性。

在技术上，深信服科技的M5100以上系列硬件网关通过多路复用、双机热备等功能彻底解决了因公网线路中断或设备故障引发的稳定性问题，具体描述如下：

由于VPN技术是建立在INTERNET基础上的，一般当上网线路中断的时候，VPN也会随之中断。深信服科技的M5100以上系列硬件网关能够实现多路复用，同时捆绑多条上网线路进行VPN连接，其中一条上网线路中段的时候，VPN数据将自动切换到正常运行的上网线路上，实现线路备份。平时各捆绑线路都正常工作时，多路复用技术还可以将各条线路叠加起来，产生更大的带宽，增加VPN处理效率，图示如下：

 

其中一条中断不会影响到VPN的稳定性

 

 

 

 

 

DLAN M5100以上系列产品提供双机热备功能，当主设备发生故障时，备份设备将自动承担起连接作用，图示如下：

 

 

安全性

综合考虑用户的具体应用和需求，VPN网络的安全性有三层含义：一是数据传输的安全；二是用户接入的安全；三是对内网资源的访问安全。

第一个层次：数据传输的安全。数据传输的安全主要取决于所采用的加密算法的加密级别。Sinfor DLAN VPN系统内置了DES/3DES/AES等多种国际主流加密算法，因此能够保证数据安全。

第二个层次也就是用户接入的安全是更为重要的。Sinfor DLAN VPN采用了深信服科技的发明专利技术（基于硬件特征的身份认证技术）来解决用户的接入认证问题。该技术将接入用户的身份鉴别与计算机的硬件特性进行绑定，由于每台计算机具备唯一的硬件身份（如网卡的MAC地址、硬盘和CPU的特征码等），而且具有不可伪造的特性，DLAN VPN在用户接入之前、会自动对该请求接入的计算机进行硬件特性的比对。这就保障了只有指定的计算机设备才能接入VPN网络。通过这种技术的采用，即便接入的用户名、密码等账号信息泄露也不会造成非法用户的接入。

Sinfor DLAN VPN对移动用户还提供了硬件加密客户端USB KEY的方式进行身份认证。并且在KEY中集成了用户的基本配置信息，实现了即插即用的VPN、随身携带的VPN。

最后，Sinfor DLAN VPN还增强了对内网的安全设置，保障了第三个层次――内网资源访问的安全。Sinfor DLAN VPN提供了对内网访问权限的细致设定，可以对不同的用户分配不同的权限规则，避免内部出现的安全隐患，一个合法的VPN用户接入总部后，他对总部资源的访问权限能够被限定在一个很小的范围内，在XX公司的网络应用中，可以指定某一用户接入VPN后只能访问指定服务器，所有的这些权限都可以通过简单的配置迅速完成，极大的方便了IT安全部门的管理工作。

 

高效

Sinfor DLAN VPN通过两种方式提高VPN的速度。首先是数据流压缩技术，Sinfor DLAN VPN内置了数据压缩算法，对所有的传输数据进行压缩之后、再传输，这就在无形中极大的提高了带宽，经实际测试、很多应用情况下甚至比直接连接还要快。以下是Sinfor DLAN VPN在两端通过ADSL连接时，进行文件拷贝和SQL数据库查询时的性能比较：

文件拷贝（用FTP传输）－单位：秒

	Word文档（8.4M）	Bmp图片（18.7M）	Winzip压缩文件（9.8M）
直接连接	150	330	175
通过DLAN VPN	73	50	134

数据库查询（SQL SERVER 2000，表中有记录9000多条）－单位：秒

	查询所需时间
直接连接	48
通过DLAN VPN	30

 

另外，由于部分用户对速度的要求非常高，而Internet带宽的发展毕竟有个时间。Sinfor DLAN VPN为满足这些用户的需求，特别增加了多线路捆绑的功能。用户可以申请多条Internet线路，然后将多条线路的带宽进行绑定、并发使用，使得带宽成倍增加，并可实现在此基础上的QOS管理。

 

多线路捆绑使用，达到带宽叠加的效果

 

 

 

 

此外，由于南北电信运行商（南电信北网通）不同，很多南北公司之间的互联速度比较慢，大大影响了传输效率，深信服科技的多路复用技术还可以达到线路优先选择的效果，连接速度快的那条线路将被优先建立VPN隧道，最大程度降低了因客观原因造成的效率损耗。

 

优先选择速度快的线路建立VPN隧道

 

 

 

便捷性

Sinfor DLAN VPN系统采用GUI图形界面管理，维护简便。并提供了完善的日志服务、故障诊断等工具，方便总部管理员对系统的维护和管理。详细完善的日志功能，能够实时备份，并进行日志导入导出操作，对用户接入、退出、使用、网络故障等各种情况进行描述记录，方便管理、统计并及时查找出错原因。

Sinfor DLAN VPN对移动用户提供了强大的支持，并且支持“移动IP”方便的实现移动办公，同时，Sinfor DLAN VPN还提供了USB KEY的身份认证方式和配置集成功能（深信服科技发明专利）。通过即插即用的硬件加密客户端DKEY，实现了VPN的身份安全认证，可以方便的实现移动办公。