用戶背景介紹
常州康輝醫療器械有限公司是常州市最大的醫療器械的製造企業之一，由於業務上的擴大，公司內部以及各分支機構網路運行有多種企業應用，如內部文檔共用服務、ERP系統以及PDM資料庫伺服器。由於資訊化系統對於經營競爭力有顯著的提升,估計公司未來可能開發更多的內部應用，如Client/Server模式的應用軟體（TCP、UDP或TCP/UDP協定的應用）,因此不同的用戶對於應用系統的存取,有其必要。

現在總公司通過防火牆接入網際網路。上海分公司以電腦聯入網際網路，實現了辦公網路半自動化。常州分廠以電腦聯入網際網路，實現了辦公網路半自動化。 但是目前公司所有應用僅限於公司局域網內，出差員工不能訪問,減少的資訊系統能發揮的作用。

用戶需求
為瞭解決總公司局域網以外的用戶訪問總公司相關資訊化系統，先對各外地分公司的網路接入需求作了瞭解：

1. 實現常州總公司內部局域網互聯，以及分公司、各分支機構和辦事處的內部局域網互聯。
2. 客戶、合作夥伴或分公司可以安全訪問公司授權訪問的企業內部網路資源。
3. 常州總部保證至少200台電腦連入網際網路，還要考慮到公司以後的發展接入資訊點的增加，同時實現各分公司通過相關設備連接到總部網路，同時還內建SQL Server資料庫伺服器，提供相關資料服務，建立ERP伺服器，提供公司人事管理查詢、添加和修改相關資訊等要求。
4. 上海分公司保證至少10台電腦聯入網際網路，常州分廠保證至少20台電腦聯入國際網路；還要考慮到公司以後的發展接入資訊點的增加，同時與總部實現互聯。訪問公司總部SQL Server伺服器，PDM伺服器；提交、查詢和修改資料庫相關資訊。連接公司金蝶K3 ERP系統提交、查詢與修改相關資訊等要求。
5. 在各分支機搆和總公司之間創造一個集成化的辦公環境，為工作人員提供多功能的桌面辦公環境，解決辦公人員處理不同事務需要使用不同工作環境的問題。
6. 支援不同機構間資訊傳遞，解決由人工傳送紙介質或磁介質資訊的問題，實現工作效率和可靠性的有效提高。
7. 通過路由器對用戶實行統一的管理，對訪問許可權實行分級管理等要求，實現流量控制、埠鏡像等要求，通過路由器的相關防火牆功能實現網路的安全管理。

VPN需求總結
針對以上用戶的需求，網管規劃通過VPN的配置解決互聯問題，另外資料傳輸的安全性問題則以VPN的相應配置來解決，達到管理、效率、及方便的需要。

以現有技術來說，所謂最優選擇其實必須根據遠端存取的需求與目標而定。目前主流VPN方案有兩種：IPSec/IKE和SSL VPN。當前企業需要安全的點對點連接，或用單一裝置進行遠端存取，並且讓企業擁有管理所有遠端存取使用能力，IPSec/IKE是最適合的解決方案。

比較那種傳輸方法比較好時更重要的問題是“那種安全技術最符合遠端接入方案的需求？” IPSec可以保護任何IP流量，而SSL專注於應用層流量。IPSec適合長期的連接，即寬頻、持續和網路層連接要求。SSL 僅適合於個別的，對應用層和資源的連接，而且支持的應用沒有IPSec 多。

而且資料傳輸要遵循標準IPSec的加密協定，未來的擴充也有較大的彈性。

設備要求
對於 VPN設備的選擇必須嚴格根據常州康輝醫療器械有限公司用戶的需求，遵循著方便實用、高效低成本、安全可靠、網路架構彈性大等相關原則來選擇VPN設備網路設備。下面就時間情況總結選擇設備的幾個要點：

1. 採用硬體VPN閘道產品，保證能安全、方便、快捷地進入，並能夠訪問指定的內部網路資源和服務。
2. 總公司和分公司網路建立VPN加密通道，確保資料傳輸安全， VPN設備須具有高穩定性和高可靠性，以保障資訊網路的正常運行。
3. 支援ADSL線路的經濟型的全動態IP位址VPN組網方案，並具有DHCP功能，以實現局域網自動分配IP需求。
4. 對本地內網實施上網的訪問控制，通過VPN設備的訪問控制策略，對內網PC進行嚴格的訪問控制。如：為確保安全性,可對允許上網的PC進行IP和MAC綁定，並通過閘道中的安全策略設置對這些PC的資料流程程進行狀態檢測，以確保不能被仿冒；也可以使用閘道中的“用戶上網認證”功能，使用戶在使用流覽器上網流覽時，首先要通過閘道的訪問密碼認證等。
5. 對外網可以抵禦駭客的入侵，起到Firewall作用。其自身強大的全狀態檢測Firewall功能和IDS抗攻擊微引擎，將對內網實施有效保護。另外，如果已經部署了Firewall，也可和Firewall一起構成兩道網路防護屏障，為以後進一步加強總部內網的安全留下發展的空間。須具有控制和限制的安全機制和措施，應具備防火牆和抗攻擊等功能。
6. 具備完善的帶寬管理功能，將網路出口帶寬合理地分配給通道流量（業務資料）和其他網際網路流量（流覽、郵件等）。
7. 整個公司VPN網路的建立，必須統一規劃全網的IP地址。對總部以及各分支機搆的網路節點的IP位址要進行統一規劃，對各個功能子網段做明確劃分，通常以“滿足目前需求，保留一定的擴展性”為原則，整個VPN網路內部的IP位址不能有衝突。
8. 部署靈活，維護方便，提供強大的管理功能，以減少系統的維護量以適應大規模組網需要。

現在市場上的VPN產品繁多，而且功能各不相同，本公司遵循方便實用、高效低成本、安全可靠、網路架構彈性大等相關原則，同時聯繫對康輝醫療器械有限公司的需求分析，建議在選選擇VPN連接設備上推薦俠諾科技的VPN防火牆路由器。

俠諾科技VPN防火牆路由器產品內建進階型防火牆功能，能夠阻絕大多數的網路攻擊行為， 使用了SPI封包主動儉測檢驗技術(Stateful Packet Inspection)，封包檢驗型防火牆主要運作在網路層，執行對每個連接的動態檢驗，也擁有應用程式的警示功能，讓封包檢驗型防火牆可以拒絕非標準的通信協定所使用的鏈結，默認自動檢測並阻擋。FVR9208亦同時支援使用網路位址轉換 Network Address Translation (NAT)功能以及Routing 路由模式，使網路環境架構更為彈性，易於規劃管理。

VPN網路設計以及網路拓撲結構
在瞭解了常州康輝醫療器械有限公司整個網路狀況和集團領導要求後，考慮到下一代網路業務（VoIP，網路視頻會議）對帶寬的要求，決定採用臺灣俠諾Qno FVR9208 VPN防火牆作為集團總部的VPN閘道，接入電信的100M光纖一條；鑒於分公司的規模，上海分公司和常州分廠均採用Qno QVM100作為接入端的VPN閘道，接入電信的ADSL寬頻一條;Qno FVR9208和QVM100都具有雙WAN口，為以後公司的VPN鏈路備援提供了升級條件，保障了客戶的投資；

• 上海分公司：10信息點接入，選用QVM100
• 常州分廠：20信息點接入，選用QVM100

方案達到目的

1. 常州總部與上海分公司，常州分廠透過VPN聯機採用IPSec協定，確保傳輸資料的安全；
2. 多WAN口的設計，可因應不同帶寬的需求，也可同時滿足VPN備援的功能，提供多一層的安全保障。公司領導對於VPN聯機要求高度穩定，即使斷線也要立即接回或可經由備援接回，不影響正常運作；
3. 管制內網用戶上網行為，內網用戶使用BT、點點通影響其他人上網或限定時間管制上MSN、QQ、或上網；
4. 解決了疾風病毒及蠕蟲毒病所苦，通過路由器的設置解決了網速因被駭客攻擊而受影響或內網用戶常被疾風病毒及蠕蟲毒病的侵擾。

效果評測與擴展建議
應用俠諾科技的產品及其解決方案2個月以來，常州康輝醫療器械有限公司的網路管理人員表示比較滿意，網路運行良好。現在連接公司ERP系統提交、查詢與修改相關資訊非常方便，與各分公司業務往來再也不用花費更多的時間了。

在網路擴展方面，針對常州康輝醫療機械有限公司的實際情況和發展，本公司也給出了以下建議：

1. Qno FVR9208可支援高速雙向Cable Modem (有線電視) 上網，或是使用 ADSL 以及光纖接入。在應用上，對外的WAN口聯機可支援高速雙向Cable Modem (有線電視) 上網，或是使用 ADSL 以及光纖接入。而對內的聯機則可透過DMZ端，連接到對外開放的伺服器。內部用戶則通過LAN端連接。DMZ伺服器，如論壇、下載伺服器，可對外界用戶開放；LAN口用戶則受到防火牆的保護，網管人員也可對其存取加以控管；
2. 為了改善總公司與分點單位的溝通，還可架設視頻會議系統，進行生產協調或資訊交流，需要穩定的傳輸能力；視頻會議系統如有需要，可以進行帶寬管理的配置，達到較穩定的傳輸效果。
3. 對於以後公司移動用戶或臨時用戶可以採用移動計算器內的PPTP拔入，方便快捷；
4. 連接多條線路，以取代帶寬升級，例如以多條ADSL取代光纖，費用節省又可彈性運用；
5. VoIP網路電話：公司內部建置網路電話VoIP服務，公司之間所有通話全部免費；
6. 同時考慮到公司資訊點的增加，其Qno FVR9208最大滿足250個資訊點的連入，以支援同時7,000個聯機數。QVM100最多支援50個資訊點的連入，以支援同時3,000個聯機數。

專案實施方：常州程錦網路／毛賽金 聯繫電話：0519-6654503 E-mail:maosaijin@163.com