用户背景介绍
常州康辉医疗器械有限公司是常州市最大的医疗器械的制造企业之一，由于业务上的扩大，公司内部以及各分支机构网络运行有多种企业应用，如内部文档共用服务、ERP系统以及PDM数据库服务器。由于信息化系统对于经营竞争力有显著的提升,估计公司未来可能开发更多的内部应用，如Client/Server模式的应用软件（TCP、UDP或TCP/UDP协定的应用）,因此不同的用户对于应用系统的存取,有其必要。

现在总公司通过防火墙接入网际网络。上海分公司以电脑联入网际网络，实现了办公网络半自动化。常州分厂以电脑联入网际网络，实现了办公网络半自动化。 但是目前公司所有应用仅限于公司局域网内，出差员工不能访问,减少的信息系统能发挥的作用。

用户需求
为了解决总公司局域网以外的用户访问总公司相关信息化系统，先对各外地分公司的网络接入需求作了了解：

1. 实现常州总公司内部局域网互联，以及分公司、各分支机构和办事处的内部局域网互联。
2. 客户、合作夥伴或分公司可以安全访问公司授权访问的企业内部网络资源。
3. 常州总部保证至少200台电脑连入网际网络，还要考虑到公司以后的发展接入信息点的增加，同时实现各分公司通过相关设备连接到总部网络，同时还内建SQL Server数据库服务器，提供相关数据服务，建立ERP服务器，提供公司人事管理查询、添加和修改相关信息等要求。
4. 上海分公司保证至少10台电脑联入网际网络，常州分厂保证至少20台电脑联入国际网络；还要考虑到公司以后的发展接入信息点的增加，同时与总部实现互联。访问公司总部SQL Server服务器，PDM服务器；提交、查询和修改数据库相关信息。连接公司金蝶K3 ERP系统提交、查询与修改相关信息等要求。
5. 在各分支机构和总公司之间创造一个集成化的办公环境，为工作人员提供多功能的桌面办公环境，解决办公人员处理不同事务需要使用不同工作环境的问题。
6. 支持不同机构间信息传递，解决由人工传送纸介质或磁介质信息的问题，实现工作效率和可靠性的有效提高。
7. 通过路由器对用户实行统一的管理，对访问许可权实行分级管理等要求，实现流量控制、端口镜像等要求，通过路由器的相关防火墙功能实现网络的安全管理。

VPN需求总结
针对以上用户的需求，网管规划通过VPN的配置解决互联问题，另外数据传输的安全性问题则以VPN的相应配置来解决，达到管理、效率、及方便的需要。

以现有技术来说，所谓最优选择其实必须根据远端存取的需求与目标而定。目前主流VPN方案有两种：IPSec/IKE和SSL VPN。当前企业需要安全的点对点连接，或用单一装置进行远端存取，并且让企业拥有管理所有远端存取使用能力，IPSec/IKE是最适合的解决方案。

比较那种传输方法比较好时更重要的问题是“那种安全技术最符合远端接入方案的需求？” IPSec可以保护任何IP流量，而SSL专注于应用层流量。IPSec适合长期的连接，即宽带、持续和网络层连接要求。SSL 仅适合于个别的，对应用层和资源的连接，而且支持的应用没有IPSec 多。

而且数据传输要遵循标准IPSec的加密协定，未来的扩展也有较大的弹性。

设备要求
对于 VPN设备的选择必须严格根据常州康辉医疗器械有限公司用户的需求，遵循著方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则来选择VPN设备网络设备。下面就时间情况总结选择设备的几个要点：

1. 采用硬件VPN网关产品，保证能安全、方便、快捷地进入，并能够访问指定的内部网络资源和服务。
2. 总公司和分公司网络建立VPN加密通道，确保数据传输安全， VPN设备须具有高稳定性和高可靠性，以保障信息网络的正常运行。
3. 支持ADSL线路的经济型的全动态IP位址VPN组网方案，并具有DHCP功能，以实现局域网自动分配IP需求。
4. 对本地内网实施上网的访问控制，通过VPN设备的访问控制策略，对内网PC进行严格的访问控制。如：为确保安全性,可对允许上网的PC进行IP和MAC绑定，并通过网关中的安全策略设置对这些PC的数据流程程进行状态检测，以确保不能被仿冒；也可以使用网关中的“用户上网认证”功能，使用户在使用流览器上网流览时，首先要通过网关的访问密码认证等。
5. 对外网可以抵御黑客的入侵，起到Firewall作用。其自身强大的全状态检测Firewall功能和IDS抗攻击微引擎，将对内网实施有效保护。另外，如果已经部署了Firewall，也可和Firewall一起构成两道网络防护屏障，为以后进一步加强总部内网的安全留下发展的空间。须具有控制和限制的安全机制和措施，应具备防火墙和抗攻击等功能。
6. 具备完善的带宽管理功能，将网络出口带宽合理地分配给通道流量（业务数据）和其他网际网络流量（流览、邮件等）。
7. 整个公司VPN网络的建立，必须统一规划全网的IP地址。对总部以及各分支机构的网络节点的IP位址要进行统一规划，对各个功能子网段做明确划分，通常以“满足目前需求，保留一定的扩展性”为原则，整个VPN网络内部的IP位址不能有冲突。
8. 部署灵活，维护方便，提供强大的管理功能，以减少系统的维护量以适应大规模组网需要。

现在市场上的VPN产品繁多，而且功能各不相同，本公司遵循方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则，同时联系对康辉医疗器械有限公司的需求分析，建议在选选择VPN连接设备上推荐侠诺科技的VPN防火墙路由器。

侠诺科技VPN防火墙路由器产品内建进阶型防火墙功能，能够阻绝大多数的网络攻击行为， 使用了SPI封包主动俭测检验技术(Stateful Packet Inspection)，封包检验型防火墙主要运作在网络层，执行对每个连接的动态检验，也拥有应用程序的警示功能，让封包检验型防火墙可以拒绝非标准的通信协议所使用的链结，默认自动检测并阻挡。FVR9208亦同时支持使用网络位址转换 Network Address Translation (NAT)功能以及Routing 路由模式，使网络环境架构更为弹性，易于规划管理。

VPN网络设计以及网络拓扑结构
在了解了常州康辉医疗器械有限公司整个网络状况和集团领导要求后，考虑到下一代网络业务（VoIP，网络视频会议）对带宽的要求，决定采用台湾侠诺Qno FVR9208 VPN防火墙作为集团总部的VPN网关，接入电信的100M光纤一条；鉴于分公司的规模，上海分公司和常州分厂均采用Qno QVM100作为接入端的VPN网关，接入电信的ADSL宽带一条;Qno FVR9208和QVM100都具有双WAN口，为以后公司的VPN链路备援提供了升级条件，保障了客户的投资；

• 上海分公司：10信息点接入，选用QVM100
• 常州分厂：20信息点接入，选用QVM100

网络拓朴图

方案达到目的

1. 常州总部与上海分公司，常州分厂透过VPN联机采用IPSec协定，确保传输数据的安全；
2. 多WAN口的设计，可因应不同带宽的需求，也可同时满足VPN备援的功能，提供多一层的安全保障。公司领导对于VPN联机要求高度稳定，即使断线也要立即接回或可经由备援接回，不影响正常运作；
3. 管制内网用户上网行为，内网用户使用BT、点点通影响其他人上网或限定时间管制上MSN、QQ、或上网；
4. 解决了疾风病毒及蠕虫毒病所苦，通过路由器的设置解决了网速因被黑客攻击而受影响或内网用户常被疾风病毒及蠕虫毒病的侵扰。

效果评测与扩展建议
应用侠诺科技的产品及其解决方案2个月以来，常州康辉医疗器械有限公司的网络管理人员表示比较满意，网络运行良好。现在连接公司ERP系统提交、查询与修改相关信息非常方便，与各分公司业务往来再也不用花费更多的时间了。

在网络扩展方面，针对常州康辉医疗机械有限公司的实际情况和发展，本公司也给出了以下建议：

1. Qno FVR9208可支持高速双向Cable Modem (有线电视) 上网，或是使用 ADSL 以及光纤接入。在应用上，对外的WAN口联机可支持高速双向Cable Modem (有线电视) 上网，或是使用 ADSL 以及光纤接入。而对内的联机则可透过DMZ端，连接到对外开放的服务器。内部用户则通过LAN端连接。DMZ服务器，如论坛、下载服务器，可对外界用户开放；LAN口用户则受到防火墙的保护，网管人员也可对其存取加以控管；
2. 为了改善总公司与分点单位的沟通，还可架设视频会议系统，进行生产协调或信息交流，需要稳定的传输能力；视频会议系统如有需要，可以进行带宽管理的配置，达到较稳定的传输效果。
3. 对于以后公司移动用户或临时用户可以采用移动计算器内的PPTP拔入，方便快捷；
4. 连接多条线路，以取代带宽升级，例如以多条ADSL取代光纤，费用节省又可弹性运用；
5. VoIP网络电话：公司内部建置网络电话VoIP服务，公司之间所有通话全部免费；
6. 同时考虑到公司信息点的增加，其Qno FVR9208最大满足250个信息点的连入，以支持同时7,000个联机数。QVM100最多支持50个信息点的连入，以支持同时3,000个联机数。