项目背景分析xx公司已经应用计算机作为生产管理的工具。随着计算机技术和网络技术的不断发展和迅速在普及，xx公司的计算机应用和局域网络规模也在不断壮大。目前xx公司已经建立了三十个分公司（办事处），各分支机构内部也全部采用计算机作为业务工具，并建立了自己的局域网络，部分公司已经接入Interent。随着xx公司业务发展的需求，各分公司有着越来越多的业务信息需要同总公司交互。但现阶段xx公司的计算机网络系统仍然局限于各分公司自己建设一个局域网，这些小的局域网只能满足分公司内部的网上办公系统，不能实现整个公司的网上办公需求。分公司与总公司的信息交流仍然使用传统的电话、传真、人力等方式，或者在没有进行任何安全措施保护的情况下使用互联网。对整个公司来说，分公司仍然是信息孤岛。xx公司的信息网络建设已经滞后于业务发展的步伐。新的ERP系统的使用也迫切地需要将各分公司与总公司的局域网连接在一起形成一个大的内部intranet广域网络。公司的信息部门时刻跟踪最新技术的发展，发现VPN技术的应用已经完善，公司的计算机网络已经可以采用最新的VPN技术实现各分公司与总部网络之间的安全广域网连接。目前，各种病毒、网络攻击等安全事件频繁发生，已经成为企业安全的一个重要威胁；技术的突破，已经使各种病毒具有了黑客工具的性质，一旦企业被病毒感染，会自动打开相应的端口或服务，使企业门户大开，而病毒通过互联网可以轻易的突破没有经过严密防护的企业内部网络，给企业带来各种威胁：开放服务、发出大量垃圾邮件或带病毒邮件等等。黑客和带黑客性质的病毒，不仅会破坏xx公司的运行环境，破坏机器上的数据，更有可能盗取机密的数据和信息！潜在的风险很难估计。而在xx公司各地网络建设之初，因为没有专门针对安全方面进行专门设计，所以其现状是不能够满足本企业目前的安全需求的。比如没有采用必要的网络边界防御手段来抵抗来自外部的各种威胁，同时也没有采用必要的防病毒手段来抵抗当今变化各异的病毒。防火墙系统，负责整个企业的边界防护，进行企业内部、外部沟通的安全桥梁，增加了防火墙系统，会将企业的安全防护级别提高一个层次，同时，还可以建立公司总部与分公司网路之间的VPN通道，更加合理、有效的利用公司现有资源，而不会造成信息泄露，因此，引进新的防火墙系统也是xx公司建立企业广域网安全系统的当务之急。经过和xx公司的相关技术人员的接触和交流，在此基础上我公司给出本VPN广域网络及安全系统建设的实现方案，侧重于企业的VPN系统，并考虑到信息的足够安全性。VPN/防火墙需求分析VPN技术介绍虚拟专用网（ＶＰＮ）是一个通过公用网络（通常是因特网）建立的一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业内部网之间安全通信的虚拟专用线路。虚拟专用网主要采用了两种技术：隧道技术与安全技术。隧道技术当前主要有三种协议支持：PPTP，L2TP和IPsec。安全技术主要有MPPE、IPsec等加密算法。隧道技术主要是完成IP数据包的二次封装，以实现企业私有地址在公网上的传输。为了保证传输的安全，需要一定的安全加密手段保证数据的私密性和完整性，在隧道和加密的技术上，IPsec已成为IP安全的一个应用广泛、开放的VPN安全协议。IPsec适应向Ipv6迁移，它提供所有在网络层上的数据保护，进行透明的安全通信。IPsec用密码技术提供以下安全服务：接入控制，无连接完整性，数据源认证，防重放，加密，防传输流分析。IPsec协议可以设置成在两种模式下运行：一种是隧道（tunnel）模式，一种是传输(transport)模式。在隧道模式下，IPsec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的。IPsec定义了一套用于保护私有性和完整性的标准协议。IPsec支持一系列加密算法如DES、3DES。它检查传输的数据包的完整性，以确保数据没有被修改，具有数据源认证功能。IPsec可确保运行在TCP/IP协议上的VPN之间的互操作性。VPN技术的优势信息的安全性。虚拟专用网络采用安全隧道技术向用户提供无缝的和安全的端到端连接服务，确保信息资源的安全。方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络(PrivateNetwork)，实现异地业务人员的远程接入，加强与客户、合作伙伴之间的联系，以进一步适应虚拟企业的新型企业组织形式。方便的管理。VPN将大量的网