山西运城财政局

　　虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。

　　虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。

　　1）组建自己的专有宽带网络（以下简称：专网）

　　利用现有的多种宽带接入方式组建专网，不光满足了业务数据传输对实时性、稳定性的要求，更重要的是，对公司整体网络系统实现了统一有效的管理，从而对业务数据的传输安全提供的很好的保障。需求如下：

　　访问路由器地址二.运城财政局防火墙＋VPN一体化解决方案

　　在VPN领域我们普遍应用的主要有，基于由器的VPN；ISP提供的VPN；基于防火墙的VPN和专用的VPN设备几种，我们评估一下那种方案在性能，管理和费用适合的解决办法。

　　瑞星全功能NP防火墙采用了新型的网络芯片设计技术，这个区别于一般的PC休系架构表现在网络数据处理速度上能够达到线速，性能优越。该防火墙支持500个VPN通道和12800个并发连接，同时提供了80兆/秒的三重数据加密3DES能力和线速（wire-speed）防火墙的处理能力。

　　瑞星全功能NP防火墙整合了多种安全防护功能，是建构中小型企业网络的最佳选择。RFW-SME拥有通用防火墙功能、网络地址转换（NAT）、主动式入侵检测（IDS）、虚拟专网（VPN）、带宽管理、内容过滤、以及策略管理等功能。通过架设瑞星全功能NP防火墙，可以用户的网络免于黑客的，同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务，还提供了不同等级的网络带宽管理，让一些特殊的应用服务可以确保使用带宽。另外，还提供有因特网地址名称过滤、内容过滤、主动式入侵检测以及直接利用浏览器即可管理的简易操作等功能。因为有这个内建支持浏览器的管理接口，你可以在你现有的操作系统下利用你熟悉的浏览器操作来管理这个防火墙。

　　RFW-SME提供一个10/100Mbps的外网(WAN)接口，一个10/100Mbps的DMZ接口，以及三个10/100Mbps的内网接口。外网接口的IP地址支持下列三种模式：PPPoE，DHCP，或静态IP。根据用户的网络服务提供商所提供的服务方式，任选其中一种设定防火墙的对外IP地址参数。RFW-SME还提供有内建的DHCP(动态主机配置服务协议)服务功能，它可让内网接口上的主机由DHCP服务提供相对应的地址及其他信息，使得用户轻松管理所有的上网主机。

　　根据运城财政局的网络结构特点，结合瑞星SME防火墙的工作模式，制定如下几部分内容：网络地址的重新规划、防火墙的配置、LAN到LAN的VPN的实现。

　　1.网络地址的规划：

　　考虑到实现lan到lan的vpn访问和日常的管理，有必要将目前县级网络的地址重新规划。根据网络规模和日后扩展能力，规划后的地址如下：

　　在运城县的互联网出口处，配置瑞星RFW-100+防火墙，与各个分财政所RFW－SME防火墙进行VPN连接，省RFW－100＋防火墙VPN设置主模式，财政所RFW－SME防火墙设置主动模式。

　　．自动密钥IKE”通道协商的第1阶段由如何认证和通道的提议交换组成。交换可以在两种模式的其中一种模式下进行:Aggressivemode(主动模式)或Mainmode(主模式)。使用任一种模式时，参与者将交换可接受的安全服务提议，例如加密算法(DES和3DES)和认证算法(MD5和SHA-1)

　　．当参与者建立了一个已认证的安全通道后，他们将继续执行“第2阶段”。在此阶段中，他们将协商SA以要通过IPSec通道传输的数据。与“第1阶段”的过程相似，参与者交换提议以确定要在SA中应用的安全参数。“第2阶段”提议还包括一个安全协议－“封装安全性负荷”(ESP)或“认证包头”(AH)－和所选的加密和认证算法。如果需要“完全正向保密”(PFS)，提议中还可以指定一个Diffie-Hellman组。