“为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏”。

----国际标准化组织（ISO）

    为了保护大量的远程访问行为，VPN（虚拟专用网）已经成为了信息安全技术的中坚力量。VPN使用互联网等公共媒介，应用多种技术提供访问控制和加密保护等服务，从而提供高度安全的网络应用环境。对于那些想成功应用VPN的企业而言，是否能够对VPN的业务要求和技术内容有透彻的理解是极其重要的。

    中国VPN需求分析

    VPN现状分析

    随着商品流通业的快速增长，以连锁方式出现的超市、便利店、服装店等经营模式正在全球范围快速发展。其便利性和集中采购形成的价格优势，开始慢慢改变着人们的消费习惯，这种以快速、质优、低价的经营模式，使连锁形式的商品流通机构比传统商店更具竞争力。

    现今，许多连锁经销商已经初步实现了总部及各个远程连锁店内仓储、物流、收银系统的信息化，能够对各个连锁店的货物存量等等具体数据进行详细的统计，但是，各个门店间与总部的数据交换大部分仍然采用拨号连接的方式，每天定时传输数据，总部对各个连锁店的数据并不能够实时获取。随着越来越多的商家加入这个行业，行业竞争越来越激烈，要在激烈的行业竞争中取得领先地位，管理人员需要能够随时随地及时准确地获取所需要的数据，并允许各供应商能够及时准确的获取其商品的具体销售数据，以便及时调整各项策略。这要求各连锁店能和总部实时共享传输数据。

    传统的解决方案是采用MODEM池或 DDN 专线的方式将各个门店与总部互连起来，但这一方式存在着架设困难、增加分支机构时无法轻松扩张、使用费用昂贵和信息交互延时等缺点，在连锁行业日趋微利的今天，其昂贵的使用费用是用户无法接受的；而如果继续使用电话拨号的方式，又存在速度慢、容量小、安全性差的弱点。因此，连锁行业迫切需要一种可靠、安全、性价比高的网络传输方案。

    VPN方案分析

    VPN解决方案是否能够成功，其可用性也相当关键。VPN系统的用户应该可以无缝地访问各种服务和应用，除了发起请求之外，其它访问过程应该对用户保持透明。如果在使用一个VPN系统时必须进行很多额外的操作，那么其部署和应用很可能会以失败而告终。我们上面说过IPSec VPN的复杂性要高于SSL VPN，通常情况下使用SSL VPN是相当便利的。实施VPN系统的时候，基于IPSec的解决方案要付出很多的努力。既使是部署完成之后，一旦需要进行调整，IPSec VPN系统都要进行大量的工作，特别是针对较大规模的计算环境而言。尽管现在很多IPSec VPN系统的供应商都在不断改进产品的易用性，但是相对于SSL VPN系统来说，IPSec VPN用户的负担仍然较重。由于SSL VPN所依赖的SSL技术已经内置在所有的主流网络浏览器软件之中，在很多情况下可以实现“零客户端”的部署方式。而且SSL VPN可以不必考虑操作系统等环境因素，实施工作量大大低于IPSec VPN，在应用过程中的变更和调整也可以更容易的完成。VPN系统可用性的另一个问题就是系统的可靠性。通常在大规模的系统中对可靠性要求也较高，一些企业需要自己的系统全天候不间断的运行。对于自行建立系统的厂商来说，适当的应用QoS（服务质量）等措施可以顺利的获得高可用性服务。而对于通过相对不可靠的互联网做为传输环境以及依赖很多租用服务的企业来说，就应该在实施VPN之前获得这些供应商的SLA（服务级别协议），以确认是否能够通过这些资源建立满足可用性的VPN系统。

    性能

    选择任何信息产品的时候都不能忽视性能。一个VPN解决方案通常需要完成加密、解密、传输、控制等大量的工作，性能是否充足是一个相当重要的参考因素。与防火墙产品类似，硬件VPN设备能够提供较好的性能表现，适用于性能要求较高的场合。而软件产品的性能则很大程度上取决于所应用的硬件平台。在较大规模的应用环境中，更适合采用基于硬件的解决方案。而对于中小企业用户来说，成本更低的软件VPN解决方案更加能够被接受。不过需要注意，软件解决方案在灵活性上更加出众，所以这种选择方式并不能应用在所有场合。在很多情况下软硬件结合的VPN方案才能最好的满足用户的要求。

    可扩展性

    可扩展性是选择VPN解决方案时容易被忽略的一个问题。由于VPN系统必须适应带宽和应用等诸多方面的变化，所以在选择系统的时候必须考虑到未来的规划。应该尽量选择模块化的产品，以满足日益增加的用户带来的更高的服务要求。一个扩展能力较差的系统无法应对企业的业务变化，在出现新的需求之时难免要对起进行更换和升级。这时企业要付出的成本通常会大大高于购买低扩展能力系统时节省的成本。用户应该特别注重VPN系统进行认证和加密时所采用的方式，应该尽量选择通用的技术以保证将来的扩展和应用兼容性。

    华城安全方案

    产品介绍
    VPN就是在公司网中形成企业专用的链路。为了形成这样的链路，采用了所谓的"隧道"技术。可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其它的网络服务提供商(NSP)在公用网中建立自己专用的"隧道"，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。于是，兼容性问题、不同的服务质量要求、以及其它的麻烦都迎刃而解。

    在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务，例如：(1)配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机；(2)分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器；(3)网络服务提供商站点中的有VPN能力的访问集中器。

    虚拟专网本质上是将多媒体通信网用做"公用数据网"，通过公共的多媒体通信网加密传输专用数据流量。虚拟网络用户在安全性可得到完全保证的前提下，均可通过当地的电话或租用线路服务建立联系，而不必租用长途线路，大大节省了通信费用。

    虚拟专网能够连接各机构的所有办公室、远程工作人员、移动员工，甚至于全国范围的客户和供应商。虚拟专网减少了设备需求及网络维护责任，能够为用户节省大量的开支。无论是基于拨号接入还是基于专线接入的用户，虚拟专网均适用。

    在VPN中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。隧道代替了实实在在的专用线路。

    华城VPN产品是华城技术有限公司基于多年对网络安全各方面深刻的理解，并积极跟进业界最新技术发展而开发出的一款VPN产品。华城VPN基于专门设计的硬件平台，以华城技术自行定制的安全操作系统为核心，提供高度安全、可信和健壮的安全解决方案，真正实现了单一设备对您的网络的全方位防护。

    提供高效的投资保护，而不必丢弃现有网络设备
    与合作伙伴良好的互操作性
    24x7 技术支持
    易于管理
    IPSec VPN支持
    PPTP VPN支持
    应用方案

    方案1：

    在公司总部内网安装华城NetRock VPN作为集团公司本部接入Internet的中心VPN网关，此网关可以采用双机热备份方式，并为其分配静态的合法IP地址。另在集团公司本部设置管理中心，管理中心同样具有一个静态的合法IP，负责集团公司全网VPN设备的证书管理、策略分发和管理，支持证书和设备的分级管理。
    各分支机构和电厂分别安装华城NetRock VPN作为分支VPN网关实现各分支节点的上网互联。

    方案示意图：

    方案2：
    在公司总部内网安装华城NetRock VPN作为集团公司本部接入Internet的中心VPN网关，此网关可以采用双机热备份方式，并为其分配静态的合法IP地址。另在集团公司本部设置管理中心，管理中心同样具有一个静态的合法IP，负责集团公司全网VPN设备的证书管理、策略分发和管理，支持证书和设备的分级管理。
    各级业务员可以在各地上网后，直接使用Windows自带的客户端和公司数据中心连接。

    方案示意图：