深圳VPN解决方案.docx

《深圳VPN解决方案.docx》由会员分享，可在线阅读，更多相关《深圳VPN解决方案.docx（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Watchguard Technologies,Inc.VPN网络安全解决方案*VPN 解决方案Watchguard Technologies Inc. 支伯炜工程师2023-01-05102023-3-27一引 言依据贵司 VPN 的需求，我们编写了本方案，目的是说明该企业网络安全改造工程的技术牢靠性，说明并分析所建议的方案。考虑到该企业网络中心目前的主要需求为 VPN 的实施，本方案重点阐述 VPN 技术及相应的产品在工程中的应用，其它技术细节不再细述。贵公司需要通过 VPN 治理运营网络，目前需要实现深圳总部与广州分公司及远程分支机构之间联网进展信息共享、数据传输。目前贵司各处还是独立的

2、网络，因此建立 VPN 网络为贵公司总部、分公司、远程分支机构间的办公及业务活动供给安全保证的信息网络根底平台。该平台构成了该企业商务活动的平台，一旦建立将会在节约通讯费用、提高工作效率 、改进工作质量 、便利用户 、堵塞漏洞方面带来巨大的经济效益。而且也为今后的应用扩展比方视频、语音、流媒体等供给了根底的平台。二需求分析针对贵司将建设成以深圳总部为核心，其他分支机构为端点的 VPN 网络，我们模拟建成的 VPN 网络架构图如下：VPN网络拓扑图深圳Firebox X1250e分部FireboxX20e总部网关防病毒Web过滤 防垃圾邮件vpnvpn广州分部FireboxX750eVPN互联网

3、vpnvpn分部Firebox X20e分部Firebox X20e从上面的构造图中可以看出，我们在企业深圳总部使用了一台 Watchguard Firebox X1250e 防火墙，并加载了网关防病毒、入侵防护、Web 过滤和防垃圾邮件模块，以便更好的保护内网的安全，广州分公司使用了 Watchguard Firebox X750e，其他分部使用Watchguard Firebox X20e 作为端点，全部的分支机构与公司总部建立 VPN 隧道，届时分部和总部传输数据进展加密，保证数据传输的安全性。通过 VPN 架构的组建，我们将为该企业建设一个高效、安全、稳定的网络。该方案有如下优点及相关

4、介绍：1. 防火墙使用网关防病毒/入侵防范效劳，对企业内网应用层等方面进展 防护：网关防病毒 /入侵防范效劳 Gateway AntiVirus/Intrusion Prevention Service，是 Firebox X Core和 Peak统一威逼治理设备的基于特征的集成安全效劳。它与 Firebox X“预防范”联手打造强大的实时防护，能够防止间谍软件、病毒、木马、缓存溢出、资料隐码、即时消息和点对点P2P通讯。不同于其它网关防病毒解决方案，网关防病毒/入侵防范效劳只扫描成功通过智能分层安全检测的访问流，不会因重复步骤占用网络而降低运行性能。网关防病毒/入侵防范效劳通过 WatchG

5、uard System ManagerWSM进展治理，运用同样丰富直观的用户界面对全部 Firebox X Core 和 Peak UTM 功能进展配置和治理。WSM 记录、监控和报告全部活动。对防病毒及防入侵活动的实时监控能够使您随时了解有关状况及进展掌握。1.1 网关防病毒(Gateway AntiVirus)： 真正网关级防病毒它是集成到 Firebox X 系列防火墙智能分层引擎中的，所以是网关级的。没有明显防火墙性能损失这种优良的性能得益于 Firebox X 系列防火墙智能分层引擎，由于防病毒安全层在多层安全过滤之后，并且 WatchGuard 为的E-mail 防病毒设计了“深度

6、应用检测”技术Zero-Day Protection，能够在防病毒安全层之前检测大局部的安全指标，减轻了防病毒安全层的数据包负载，如以下图所示：而传统的防病毒引擎是直接放在包过滤防火墙安全层之后，需要处理更多的数据包如以下图具有更高的防病毒安全性WatchGuard 网关级E-mail 防病毒承受了最全面的病毒特征库，包括了 wildlist 和 zoo-list 的全部病毒特征库，数量超过 22023 个，并且可以连续更由客户自己打算时间间隔，最大程度缩短了病毒和威逼消灭到有效防护之间的弱点窗口时间，同时即使存在弱点窗口，zero-day protection 仍能有效地阻挡大局部的病毒和安

7、全威逼，比照传统的网关防病毒产品极大地提升了安全性如以下图：这个图显示了WatchGuard 在病毒库和zero-day protection 比传统网关防病毒产品更具安全性。1.2 入侵防范效劳 (Intrusion Prevention Service) ： 最准确的文件及流量防护基于特征的扫描能够识别出业务关键流量及文件中的恶意代码。网关防病毒/入侵防范效劳对 流量进展扫描，并在网关端阻挡各种与恶意软件相关的文件，在恶意软件进入您的电脑并使个人电脑和效劳器安全系统失效之前实时识别及阻挡威逼。多层防间谍软件功能能够保护您的网络免受恶意软件分发网站的攻击。依据类型、用户/用户组、协议及严峻性

8、，您可以为您的网络选择容许、阻挡或锁定可疑的流量。阻挡攻击源一旦某一 IP 地址已被确定为攻击源，则以后来自该 IP 地址的攻击将被实时阻挡，防止恶意访问流再次侵扰您的网络。同时，本系统也将供给可配置白名单，该列表使用户能够定义不应当被阻挡的系统，从而为需要持续接通的可信应用以及可信目标地址供给更大的敏捷性，确保用户业务的正常运作。锁定受感染的附件通过锁定全部其认为可疑的附件，本系统能够防止在电脑上执行恶意软件。本系统能够扫描各种类型的压缩及编码文件(包括 ZIP、RAR 2.0、TAR、GZIP、ARC 及 MS CAB)，供给最牢靠、高效的保护。自动更特征更时，系统并不中断，因此您的网络将

9、始终获得最防护。我们的特征数据库由成千上万个病毒特征组成(包括流行病毒“WildList”及“zoo”病毒)， 掩盖范围极广。我们的数据库收集了最活泼的病毒威逼，对威逼的推断极为准确， 降低错误推断概率。阻挡即时消息及点对点使用本系统容许您启用及禁用两种最常见的病毒软件分发工具即时消息及点对点应用。禁用的网站列表您的禁用网站列表将持续获得更，以保护您的网络。多层防间谍功能能够阻挡电脑访问间谍网站、网上冲浪时企图进入网络的“ drive-by”间谍软件以及企图联系其主机的间谍软件。全部的活动均记入日志，并可随时生成报告。2. Web 过滤WebBlocker，更好的控管上网，防止恶意网站攻击We

10、bBlocker 是一项与Firebox X 集成的安全效劳，增加了内置的Firebox X 预防范功能，是统一威逼治理解决方案不行或缺的组成局部。WebBlocker 适用于Firebox X Edge、Core以及Peak，让您能够治理网络访问方式及内容，并帮助您掌握用户的网上扫瞄。WebBlocker 承受不断更的SurfControl 数据库阻挡危急网站，使您的网络免受风险性网络内容如间谍软件以及威逼性网站的侵扰。WebBlocker 也可以阻挡您的用户访问传输流媒体、点对点(P2P) 通讯、即时信息以及网络邮件的网页。通过对网络使用的掌握，WebBlocker 能够保护用户的网络带宽

11、、确保网络行为合法性、提高员工工作效率并防范不良网站的恶意攻击。WebBlocker 是一种敏捷的解决方案，其供给实时的网络使用及报告数据，并可以与WatchGuard System Manager (WSM) 一起进展集中治理。由于WebBlocker 依据每一设备而非每一用户授权使用，无需购置更多硬件，因此具有极高的性价比。更好地掌握互联网内容安装WebBlocker 后，您可以访问WebBlocker的自动更数据库，该数据库涵盖全球1440万个网站，包括英语、德语、西班牙语、法语、意大利语、荷兰语、日语以及繁体及简体中文网站。您可以从40 个按内容分类的过滤选项中快速选择您需要的网络安全

12、政策。只需用鼠标点击，即可允许或制止访问一类或多类网站，并可以轻松生成例外网站列表或网站黑名单网站的URL 或IP。本钱效益最正确的网站过滤功能由于WebBlocker 是按每一设备而非按用户数量定价，因此您只需要订购一个WebBlocker便可以为Firebox X 治理下的全部用户供给保护。而且由于WebBlocker 是与Firebox X 及WatchGuard System Manager WSM集成使用的，因此无需购置更多硬件。中心政策的执行及通知通过使用WebBlocker 的快速设置向导以及基于目标的配置工具，您可以轻松执行网络使用政策。自定义通知功能确保客户对状况的把握，使其

13、明白某些内容受到限制的缘由。WebBlocker 通过WSM 进展治理，其界面与Firebox X Peak、Core 以及Edge 的界面同样丰富直观，因此您无需购置、学习或治理单独的治理掌握台。敏捷的自定义政策WebBlocker 可以帮助您将网站分为40 大类，您可以用它阻挡自己最想禁用的网站及网络内容。可以依据用户、用户组、域名、每天的时段*、部门要求或员工需要设置网络访问权限。您可以为关键网站、主机地址以及URL 创立自定义非受禁网站列表，也可以封锁某些URL 或IP。中心日志及报告安装WebBlocker 后，您便有了跟踪用户访问地址准时间的力量。通过生成网络访问、非法行为以及当天

14、的互联网使用图形报告*，您可以获得足够的数据， 确定您的安全政策以及网络带宽方案。不同于其它解决方案，您在购置Firebox X 后即可拥有该等功能。数据库每日累进更SurfControl 是世界上最大的网站数据库之一，并保持日常更，使您获得最、最准确的信息。您仅需要在下一个用户上网之前安排更，接收内容增加后的数据库。 40 个按内容分类的过滤选项让您更好地掌握URL过滤程序。3. 垃圾邮件过滤SpamBlocker，防止垃圾邮件影响工作及内部网络：垃圾邮件约占全球电子邮件流量的70%，给我们带来极大困扰。它会造成网络流量停滞，传播病毒、间谍软件和钓鱼攻击，诱骗掉以轻心的用户访问恶意网站，从而

15、盗取个人或公司的敏感资料。现在，您只要利用垃圾邮件过滤系统 - WatchGuard 为Firebox X Core and Peak 统一威逼治理设备推出的强大的垃圾邮件过滤效劳，即可在垃圾邮件到达您的内部邮件效劳器之前将其截获，而且对性能没有丝毫影响。实时过滤垃圾邮件spamBlocker 可实时检测垃圾邮件，供给即时保护， 它是目前业内实时区分合法通信与垃圾邮件的最正确效劳，能过滤高达97% 的垃圾邮件。无可比较的简洁易用全部FireboxX Peak 和Core 设备均承受WatchGuard System Manager WSM丰富的图形用户界面，帮助您在几分钟内即可安装运行spam

16、Blocker。您无需购置、学习或治理单独的治理掌握台。WSM 使IT 专家的网络安全保护更加简洁化，同时也格外便利网络治理手使用。本钱效益最正确的解决方案spamBlocker 与Firebox X 高度整合，您无需为您的网络再另行购置和治理反垃圾邮件解决方案。不按用户数量收取授权许可费，只需一次订购即可为Firebox X 配置的全部用户供给网络防护。敏捷的治理掌握spamBlocker 部署简洁，持续自动更，对IT部门要求的工作量微小。治理员可敏捷进展以下处理：过滤、放行和标注邮件，以便利识别，然后转至专用交换文件夹。确定如何处理邮件以及哪些用户或群体可以接收群发邮件。使用敏捷的白名单，

17、允许接收来自信任域的邮件。可过滤任何语言或格式的垃圾邮件spamBlocker 运用业内领先的Commtouch 循环模式侦测RPD技术，监控互联网上全球电子邮件流量中的特别模式。RPD 技术通过跟踪垃圾邮件并在其消灭时将其过滤，可阻挡任何语言、内容或格式的垃圾邮件。需规章更或引擎培训spamBlocker 能与RPD 引擎安全自动地进展实时通信，确认垃圾邮件，因此您无需的垃圾邮件规章就已经拥有了最准确的垃圾邮件过滤功能。spamBlocker 每天对几十万封邮件进展分类，误拦率极低，省去了本钱高又耗时的对本地反垃圾邮件过滤软件的培训。几经优化，性能出色此技术每秒能处理150 封以上的邮件，*

18、 大局部处理是在Firebox 外部完成，因此对带宽和CPU 电源的要求极低。误拦率极低依靠定义关键字和内容来检测垃圾邮件的程序往往误拦率很高，将合法通信与垃圾邮件同时过滤。spamBlocker 不依靠关键字或内容来识别垃圾邮件，因此关键业务通信得以顺当通过，而垃圾邮件则被过滤。4. 牢靠的安全性和良好的兼容性4.1 网络中心的防火墙可以设置为状态包过滤和应用代理模式，而且Watchguard 的防火墙可以支持路由、NAT 和代理三种模式，NAT 模式可以有效的隐蔽受保护网络的内部真实 IP 地址，确保网络真实信息不被利用；4.2 各个公司或远程分支机构同总部之间依据不同的状况还可以来部署多

19、种形式的 VPN；本方案对于较大规模的分公司间实施 LAN-TO-LAN 的 VPN 模式；其他状况可以承受LAN-TO-REMOTE 客户端软件的方式。都可以有效的加密数据通道；4.3 Watchguard 的防火墙支持静态 NAT 端口 Mapping 功能，即你可以把一个真实的端口通过 NAT 映射到一个虚拟的端口，而且 Watchguard 还能做到邮件效劳器和 DNS 效劳器的伪装，这样黑客就不简洁觉察真实端口信息，保护网络安全；4.4 Watchguard的IPSEC-VPN 同其它牌子的VPN 产品有着良好的兼容性， 由于 Firebox 的产品早已通过了 ICSA 试验室的 I

20、PSEC-VPN 认证。所以只要对方的产品也通过了 ICSA 试验室的认证，则我们可以很轻松地与对方建立 VPN 隧道；4.5 Watchguard 的产品独有的 DVCP VPN 技术使得我们在布置 VPN 时变得相当轻松。即在中心点只需要一个固定IP 地址，下面使用动态的IP 地址，我们可以轻松建立 VPN 隧道；5. 良好的集中治理性Watchguard的VPN Manager 软件可以特地针对大型简单网络的VPN 部署进行敏捷地掌握。它使用拖拉式 VPN 简化 VPN 隧道的创立，它能认别一个 Firebox 网络中必要的配置设定，并在不同位置之间自动建立IPSec VPN。网络治理员

21、可在任何地方通过我们的 VPN Manager 软件对各个 VPN 隧道进展监控和配置，以确保网络的实时运行。这样在很大程度上可以减轻网络治理员的维护负担。VPN Manager 将简单的多站点 VPN 设置简化为几个步骤的快速操作。VPN Manager 显著降低了 VPN 隧道治理的简单性，供给了与远程站点安全、廉价的Internet 通信。每一台Firebox X1250e、X700e 都包含可以治理 4 个节点的VPN Manager 许可证。也可以依据需要再增加 4、10 和 20 个许可证。VPN Manager 可以治理全部的FirebocX 型号和使用动态或静态地址Edge 产

22、品。*拖拽一个设备到另一个设备上快速实现 VPN 隧道的建立*支持多种 WG 产品的平台*简洁的治理、低廉的治理本钱*VPN 的配置可自动分发治理图示：6. 实时的日志审记和全面的网络监控Watchguard 的防火墙均带有具体的日志分析功能，我们可以自定义格式、内容、更周期等内容，供给 Web 风格的报表，为治理员进展分析推断供给全面的第一手资料。Watchguard 同样也供给网络治理监控功能，该功能是网络工程师量身定做的一项附加功能。Watchguard 的网络监控工具可以实时地监控网络中各种数据流，以及用户在对哪些站点进展访问，还可以观看网络是否正在受到黑客的攻击。三VPN 技术漫谈在

23、 Internet 世界里，你能体会到 VPN虚拟专用网络真正精彩的地方。如同豪华轿车在公共的街道上行驶，但它内部的东西完全保密，通过 VPN 发送的消息虽然会经过公共 Internet，但却是承受加密方式封装的，内容是确定保密的。只有消息的发送者和接收者才能看清楚它原来的样子。任何黑客试图在半途窃取它，得到的只是杂乱无章的内容。VPN 消息的路径只有在两端才是“光明”的， 中间全部位置都是“黑暗”隐匿的，所以我们把它形象地称为一个“VPN 隧道”。保密的商业通信一度是大公司才能享受的特权，由于只有它们才负担得起建设专用网络的昂扬费用。但现在，VPN 技术使拥有计算机的几乎任何人都能通过 In

24、ternet，保密地发送和接收数据。VPN 从一个时髦的术语，快速变成有线商业通信的根本支撑。那么，VPN 具体如何使用？它适用于全部商家吗？实现 VPN 技术时，商家们应当关注什么？且听后文一一道来。典型的 VPN 应用环境虽然不存在一种“典型”的VPN 配置，但在某些商业环境中，VPN 技术具有格外突出的优势。VPN 通常用于：移动用户分支机构外部网下面让我们分别表达它们。移动用户无论在家里上班的员工，还是位置不断变化并期望访问公司网络的员工，移动用户 VPNMobile User VPN，MUVPN都允许远程计算机建立到公司网络的连接，并维持高度的保密性与安全性。针对移动用户，精明的网管

25、主要关心的是两方面的安全问题：1. 中途有人拦截远程用户和公司网络之间交换的信息2. 远程用户计算机从公司防火墙外部连接 Internet 时，有人在他们的计算机上植入有害的代码。远程用户以后可能将这种代码带回公司。MUVPN 通过对会话进展加密来解决第一个问题，这样一来，没有窥视者能拦截纯文本的消息。其次个问题不仅可能发生，而且较难解决。例如，公司的一名销售代表在旅馆里使用 Internet 时，任何蠕虫或病毒程序都可能进入她的笔记本电脑。当她回到总部后，将笔记本电脑拿到桌面的基站，并登录进入公司网络。这样一来，她的计算机中的任何东西都绕过了防火墙。为避开这种状况的发生，任何 MUVPN 方

26、案都应当与防病毒软件和个人防火墙软件集成，这些软件要事先安装到她的笔记本电脑上。这样一来，从外部访问公司网络的设备就不简洁受到攻击。分支机构在这种环境中，公司分布于各地的机构需要互传数据，或者需要访问一个公共数据库。例如在零售连锁行业，全局部店都可能要检查同一个中心仓库的库存状况。分支机构的通信牵涉敏感的安全问题，由于这些地点常常要收发关键的、需要保密的数据，这些数据需要在公司总部的用户之间交换。VPN 实现了从站点到站点的保密连接。从网管的角度看，分支机构还带来了另一个挑战。通常，当网管试图建立到一个分支机构的 VPN 隧道时，另一端竟然没有合格的人员能够帮助他。传统的方案是：网管不得不出差

27、到全球各地，解决各个站点遇到的麻烦。但最的方案是：商家可选择含有远程诊断工具以及“与位置无关”治理功能的 VPN 解决方案。抱负状况下，网管应能从任何位置治理全部 VPN。这就避开了亲自跑到各个分支机构的昂贵的差旅费，也不必在每个 VPN 隧道的另一端都配备高级技术人员。WatchGuard 的 VPN Manager 使用专利性的 DVCP技术来简化 VPN 隧道的创建，它能识别一个 Firebox网络中必要的配置设定，并在不同位置之间自动建立 IPSec VPN 隧道。这种自动化设置显著降低了任务的简单性。使用Manager，网管可从全世界任何地方集中治理及监视 VPN 通信。VPNWat

28、chGuard 的 Firebox System 支持外部网的部署，它允许在和商业伙伴通信的单独隧道上建立严格的安全策略。这样一来，通过那些隧道访问效劳器、效劳和网络时，实际的访问可限制为完成任务所需的最低权限。有的竞争设备供给了“要么全部开放、要么全部不开放”的外部网访问。它们不能像 WatchGuard 产品那样，为 VPN 隧道应用细致的安全策略。外部网使用 VPN 技术，单独的商业实体可成为合作伙伴，并严密地协作例如，原材料供给商和制造商；医疗设备工厂和医院，安全及高效地共享与它们的共同事业有关的信息，同时不必让向对方开放自己的私有网络。这种外部网方案类似于分支机构的 VPN 实现，但

29、要用严格得多的规章来共享数据。这些规章是确保安全的外部网通信所必需的，由于双方都要将其局部网络向外界公开。硬件兼容性是外部网 VPN 实现的最大障碍。为确保无过失的兼容性，大公司往往规定防火墙用一种品牌，路由器用一种品牌，交换机又用另一种，以此类推。两个独立的商家相互协作时，它们的标准往往是不兼容的，没有任何一方能指挥另一方使用什么设备。建立一个 VPN 时，必需能够正常地使用来自多个制造商和厂商的设备，这个问题称为“互操作性”，下一节将对此进展具体表达。现在，你已对最常见的 VPN 应用环境有了一个根本了解。但实现 VPN 并不是一个轻而易举的任务。要了解保证 VPN 顺当运行而必需解决的一

30、些技术性挑战， 请连续阅读下一节。WatchGuard Firebox 系列供给了丰富的型号，可满足具有不同预算级别的公司的需要。每种设备都预先供给了对 LiveSecurity Service 的订阅，而且可以续费。该效劳为用户供给了不连续的培训和技术支持，并供给了 Firebox 的软件更， 使你的安全防线总是保持最状态。VPN Manager 自动完成隧道的创立，并把它简化成一种鼠标拖放操作。某些状况下，能将 45 分钟的设置时间缩短为几秒钟。VPN 的真实面貌虽然 VPN 解决了地理位置上分散的企业的诸多问题，但真正实现却不简洁。为了实现 VPN，必需针对实际状况经过长时间的打算与筹备

31、。VPN 方案并非“即装即用”的，部署之后还需要细心地维护。VPN 有几个重要的问题需要解决。最常见的问题包括：互操作性扩展性治理和总体拥有本钱TCO下一节将为以上问题推举一些解决方案。互操作性为了解决互操作性的问题，标准化组织开发了一种全球通用的标准，也就是 IPSecInternet 协议安全。IPSec 定义了各厂商的设备相互之间高效协作的方式。IPSec 较之以前的任何协议都要好，但既不能认为是完善的，也不能说是格外简洁的。很多厂商在实现 IPSec 时，都实行稍有区分的方式。国际计算机安全联合会 ICSA， 也介入了这个领域，为哪些厂商真正符合 IPSec 标准供给了一个客观评价。通

32、过 ICSA 认证的产品确定是能够互操作的。所以在选择一种VPN 方案时，商家应选择通过ICSA IPSec 认证的产品，避开因使用了不兼容的技术而导致将来花费巨资去重选购。很多安全厂商包括 WatchGuard、Cisco、Check Point、Nokia 等等都维护着一份公开的列表，其中列出了可以兼容的其他厂商的设备，并供给了相关的操作指南，告知用户如何让 VPN 工作起来。全部这些资料为潜在的买家带来了便利。扩展性公司规模扩大后，就需要更多的设备。这正是为什么每年都有一笔的 IT 预算的缘由。预备购置 VPN 方案的商家应综合考虑目前以及将来两、三年的需要。有的 VPN 方案在你建立了

33、 5 个或 6 个站点之后就因不堪重负而“罢工”。最好的VPN 技术确定具有良好的扩展性，它的规模能敏捷扩展，而且不必付出过多的开支或劳力。具有高度扩展性的网络具有以下特点： 附加的组件具有合理的价格系统设计便于治理员治理或多或少的组件设备具有很多不同的定价和性能范围可从具有网络连接的任何地点治理各个设备除了行业领先的易用性之外， WatchGuard Firebox 还配备精彩的技术支持。WatchGuard 的“标准支持”类似于我们的一些竞争对手的昂贵的“高级支持”。WatchGuard 的金牌支持Gold Support则将目标定位于 1 小时的响应时间，无论客户身在何处，都能享受到快速

34、和优良的效劳。治理/总体拥有本钱对于没有 VPN 的一个组织而言，超级保密的数据隧道最初听起来似乎是一种白费。商家总是假定自己只需要少量 VPN 隧道。但任何商家只要传递敏感数据尤其是曾由于泄秘而招致麻烦或者蒙受大量损失的商家很快就会宠爱上VPN 牢靠的保密性。因此，VPN 技术被应用于越来越多的商业通信。甚至一些中小型公司也可能用到 100 个隧道，隧道数量是它的很多倍的网络也并不罕见。这样一来，为 VPN 选择一种精彩的治理技术的重要性便凸显无遗。假定两端都有合格的操作人员，而且有一个牢靠的 连接，那么建立一个标准 VPN 隧道需要花费 45 分钟的时间。假设需要的只是一个隧道，那么 45

35、 分钟不是问题；人们在喝咖啡休息时也会铺张那么多的时间。但对于规模较大的公司来说， 45 分钟乘以 100 个隧道，最终的时间就会变得格外可怕。因此，选择一种 VPN 产品时，设置、更改和维护 VPN 所需的时间应当是一项重要的考察指标。对于一些初期本钱较低的 VPN 方案，假设以后要铺张大量时间来治理和维护， 最开头省下的钱以后就会转变成沉重的金钱损失。另外，假设一种方案使用便利， 那么更有能被正确地使用。抱负的方案应供给简化的治理接口，应能对来自很多来源的日志进展汇总，而且应供给能在多模式网络中使用的各种特性。开头尝试对于预备部署其第一个 VPN 方案的公司，这里供给的最好的一个建议是：先

36、花大量时间做好争论工作，选型和测试。应事先争论好围绕一个具体实现可能产生的全部问题，这要比事后修复一个错误的 VPN 安装好得多。第一步是找到可以信任的专业机构，让他们帮你总结出问题。然后，请留意他们的建议。刚开头切忌急躁。从一个小的部署开头，看它是否能够真正满足你的需要。验收合格后， 再全面地部署。虽然 VPN 需要花费一些时间和进展多方面的考虑，但随着标准变得越来越成熟， 越来越多的人开头使用 VPN 技术。厂商在使用、报表、日志和治理功能上进展了大量改进。至于其他门槛，比方价格和简单性等等，也变得越来越低。现在， 任何组织假设仍在以电子邮件附件的形式明文传输机密数据，或租用昂贵的专线来实

37、现数据保密，都应考虑实现一个 VPN。WatchGuard 系列产品WatchGuard 防火墙系列产品为 Firebox x 系列，其中有出来的 X e-series，具体又分为 Edge、Core、Peak、E-Edge、E-Core、E-Peak 系列，适合不同的企业用户。一般状况，较小的远程办事处或者商家适合使用 Firebox e-edge 系列的产品，假设 VPN 隧道在你的打算中占据重要地位，可考虑为一样的办事处购置相应高些的防火墙作为端点。同样在公司总部，您可以用 Firebox X1250e 作为您的核心防 火墙，这个也是依据贵司的需求而定，可以参考更强大的设备作为 VPN

38、核心端。四atchguard 选型产品介绍依据客户的网络状况，深圳总公司使用核心防火墙 Watchguard Firebox X1250e，广州分公司使用 Watchguard Firebox X750e，其余端点承受 Watchguard Firebox X10e/20e，介绍如下：WatchGuard Firebox X750el 防火墙简介n 集成安全/可扩展平台综合解决方案，最经济的总拥有本钱，与企业共同成长，支持型号升级无需更换硬件n 智能分层安全系统更强大的保护，更优的性能，敏捷适应各种变化n 用户直观体验安装简洁，易学易用，升级操作便利n 专家指导与支持专业人员，长期效劳，反响快

39、速Firebox X Core 技术特点安全特性状态包防火墙深度应用检测防火墙应用层代理 、SMTP、FTP、DNS、TCP 拒绝效劳及分布式拒绝效劳攻击防护Progressive 分布式拒绝效劳攻击防护*特别协议检测Watchguard Technologies,Inc.VPN 网络安全解决方案行为分析模式匹配碎片封包重组装防护恶意封包防护静态黑名单动态黑名单*基于时间的规章加密 DES 、 3DES 、 AES-128 、 AES-192 、AES-256bit 网络协议安全SHA-1, MD5VPNIKE - 预共享密钥、Firebox 证书PPTP 效劳器PPTP 通道连接对方失效检测

40、 (RFC 3706)硬件加密XAUTH RADIUSLDAP212023-3-27用户验证IP 地址安排Windows Active Directory RSA SecurID基于网络 本地验证静态PPPoE 客户端DHCP 效劳器DHCP 客户端DHCP 中继动态 DNS 客户端冗余功能高可用性负载共享流量治理与 优先级设定路由HA 主/从模式* 配置同步会话同步VPN 通道同步多广域网故障转移广域网故障转移端口 4 个端口广域网故障转移模式主/从轮番平均负载共享 4 个端口* 最大带宽最大连接数/秒流量优先级设定/QoS* 2 个优先级队列静态路由RIPv1,v2 BGP4* OSPF*

41、透亮/插入模式运行模式路由模式混合模式静态网络地址转换 (端口转换)动态网络地址转换地址转换一对一网络地址转换 网络协议安全 NAT 穿越基于策略的网络地址转换多设备日志集合WebTrends兼容报告 (WELF)HTML 报告日志/报告XML 日志格式加密日志信道Syslog简洁网络治理协议简洁网络治理协议电子邮件告警/通知治理系统预警自定义程序预警通过图形用户界面进展脱机配置Firebox X Core1250e 技术规格技术参数防火墙吞吐量：300MbpsVPN 吞吐量：100Mbps 最大并发会话数：200,000网络接口：8 x 10/100/1000Base-T分支机构 VPN 隧

42、道：400 移动用户 VPN 隧道：400Firebox X Core 750e 技术规格技术参数防火墙吞吐量：200MbpsVPN 吞吐量：50Mbps 最大并发会话数：75,000网络接口：8 x 10/100Base-T分支机构 VPN 隧道：100 移动用户 VPN 隧道：100Watchguard Technologies,Inc.VPN 网络安全解决方案WatchGuard Firebox X20e为远程办公室和小型企业供给强大的安全防护Firebox X Edge 安全设备能为小型企业和远程/分支机构供给强大的网络防护。 供给三种有线和三种无线型号，可满足客户的特定网络需求全面的

43、网络功能敏捷牢靠的联网选项，确保小型企业和远程/分支机构的安全和连接。流量治理 为多个外部 IP 地址供给安全防护 支持动态网络地址转换 (NAT)、1:1 网络地址转换和端口地址转换 (PAT) WAN 故障转移功能可最大限度地削减网络中断时间可配置的效劳质量 (QoS) 机制 设置动态安排带宽的优先挨次，使 VoIP 等关键业务的流量优先于次关键业务的流量。保障访问网络资源时的安全Firebox X Edge 利用加密连接，为用户的分支机构和移动用户虚拟通道供给完全网络接入，保障其安全地访问关键的网络资源。敏捷的无线安全防护功能Firebox X Edge 无线设备包括一个供给 WPA 和

44、 WEP 安全选项的242023-3-27802.11b/g 无线接入点。客户可利用防火墙的无线接入点为无线访客供给受控互联网接入，而不会降低网络安全。无可比较的简洁易用Firebox X Edge 通过基于网页的直观界面进展治理，设置和使用简洁便利， 为网络治理专家节约贵重的时间，也格外适合手治理员使用。网络中的 Edge 发挥统一威逼治理的防护成效只需在 Firebox X Peak 或 Core 网络中参加 Firebox X Edge，即可将统一威逼治理解决方案的成效延长至远程机构和分支机构。作为集成解决方案的一局部，Edge 用户可享用Firebox X Peak 和 Core 设备

45、的真正预防范、防病毒、反垃圾邮件和入侵防范功能所带来的多层网络安全防护。多台 Firebox X Edge 设备的统一治理当客户部署多台 Edge 设备作为 Firebox X Core 或 Peak 的网络端点时， 可运用WatchGuard 系统治理器 (WSM) 对 Edge 设备进展统一治理。WSM 可简化虚拟专用网和配置治理，使客户： 只需简洁的三个拖放步骤即可创立虚拟通道 能为整个 Edge 网络制定统一的安全策略 催促全部受治理 Edges 设备的软件升级增加对基于网络的侵入者病毒的防范WebBlocker 是订购式的集成安全效劳，可使 Edge 用户通过治理网站访问提高工作效率、削减法律责任，并为公司网络供给网络威逼防范。保护客户的投资承受 WatchGuard 的解决方案，可以很便利地增加功能，使解决方案始终适合及满足公司的最业务需求。移动用户虚拟通道 (含/最大数量)本地用户验证DB限制 (本地用5/25200 通过购置可下载的软