【IT168专稿】本文在这里向大家提供两个方案的整体设计及设备配置过程。一个是BV-611与BV-601的VPN连接方案，一个是BV－601与NS-1000的VPN连接方案。
    第一个方案是两款防火墙的VPN连接，适合于大中型企业用户，这些企业的电脑数目一般都在一百台以上，需要同时接入的电脑数也比较多，各分支机构和总部之间的数据流量也比较大，这样对于VPN设备的性能要求比较高，这个方案可满足该类企业用户的需求。

    第二个方案是防火墙与路由器的VPN连接，适合于中小型企业用户，这些企业的电脑数目一般都在50到100台之间，需要同时接入的电脑数不是很多，各分支机构和总部之间的数据流量也不是很大，因此对VPN设备的性能要求就比较低了，这个方案可满足该类企业用户的需求。

一、下面我先介绍一下这几款设备的资料及其性能特点。

首先是BV-611：
    它是一款VPN防火墙，是VTINFO公司专为小型企业与分支机构架设虚拟私有网络而设计的产品。此产品具有优越的性能价格比。是当今VPN服务器中让您值得信赖的一款产品。
作为一款简单易用的产品，它具有一下几个特点：
第一：易于安装。
    它有一个嵌入式系统（Embedded System），省却了安装软体时所带来的繁杂步聚，所有管理项目均可由浏览器的软体进行设定，因此您的电脑不需要安装任何软件。

第二：易于管理。
    它具有群组的概念，可以将您公司不同部门的电脑IP地址定义成不同的组，通过此产品强大的管制条例功能将该组所能使用的服务组合起来，比如不允许财务部上互联网等。它也可以通过时间排程让您设定您定期要做的工作，比如下班后不能上互联网等。它还提供监控记录和流量统计功能，使您可以详细了解公司内部的网络使用情况。此外，它还支持静态路由设定和动态IP分配功能。

第三，具有高度的安全性。
    它使用一种状态封包检查（Stateful Inspection）的技术，来过滤穿过防火墙到内部局域网的封包，内定只允许由安全的内部局域网使用者所主动建立的连线资料可由Internet进来，其他封包将会被阻挡。

    具备网路攻击DoS（Denial of Service）的侦测与阻挡，例如：Ping of Death，SYN Flood，ICMP/UDP Flood，Land Attack，IP Spoofing等等。
    提供追踪警示功能，它会记录与安全相关的事件，您可以透过浏览器，利用它提供的管理介面来观看这些记录。另外，这些记录也可以透过E-Mail送给您，管理者也可以设定BV－611立刻将紧急事件以E-Mail通知您，例如服务器正遭受DoS攻击。
    具有DMZ（De-Militarized Zone），允许Internet使用者透过防火墙存取您开放的服务器，如Web或FTP服务器。DMZ与内部局域网是完全独立的两个区域，可避免将开放的服务器置于内部局域网所需冒的风险。
    NAT（Network Address Translation）将许多内部私人网路的IP地址透过一正式的Internet IP传送到Internet。如此更增加了安全性，因为内部IP不会传到Internet，在Internet上未经授权的使用者无法经由Internet进入内部局域网。除此之外，透过NAT可以使用成本较低的Internet连线方式，例如：xDSL或Cable Modem，仅需向ISP申请一个帐号。
    易于设定的网路存取规则（Policy），可以制定规则限制特定服务或应用方式，如ICQ不能由内部局域网传到Internet，亦可制定规则允许Internet上的使用者存取内部局域网或DMZ的公开网站。

第四：标准的IPSec虚拟私人网路VPN（Virtual Private Network）
    它采用的IPSec VPN模组以168Bits IPSec VPN标准的高效能加密传输技术，提供安全的网路防护，可以让您的分公司与您的内部局域网透过Internet建立一个虚拟企业网路，取代传统的以拨接或专线高成本连线方式。无论远端是BV－611或是较小型的Office Gateway或是其他任何与IPSec相容的VPN设备，BV－611都可以让您的总公司与分公司的网路间透VPN来互相存取资料。所有的通讯资料都经过加密并且验证过，BV－611支援IKE动态交换加解密的金钥匙（Key）。
    VPN建立安全的远端用户存取（Remote Access）功能。越来越多的企业用户使用Internet与外地分公司，海外工厂，供应商，事业伙伴或全球外勤人员传送重要业务资料，建立私密通道的加密网路功能也更显重要，BV－611的IPSec VPN模组可以让您透过支援IPSec标准的VPN Client软件，提供拨接或远端的使用者透过VPN来存取内部局域网上的资料。而连线过程都经过加密处理。
    提供PPTP的隧道协议，可以让您公司的出差的用户通过单机拨入进来。

BV-611的硬件规格

 
其次是BV-601
    它是一款VPN/FIREWALL架构的防火墙。由于其功能特点与BV-611相差不大，因此具体就不作介绍了，各位可以看上面的介绍，那它们之间的区别是什么呢？大家可以从下表中了解到：

 
    因此，如果您公司的规模比较大的话，我还是建议您使用BV－611。

最后是NS-1000
    它是一款VPN/ROUTER架构的路由器，它提供五条VPN通道，适合于做VPN的客户端。
该路由器与目前市面上的路由器最大热点在于使用了最新款的ARM9- 166Mhz RISC CPU处理器，其超高效能表现超越了所有的目前其他的宽频网络设备。配合内嵌式系统支持平台，整合了4 Port 10/100Mbps 高速以太网络自动侦测交换器，每一端口都具备MDI/X 自动判别跳线与非跳接网络线连结能力，值得一提的是NAT转换效能最高可达95Mbps以上（备注：NAT转换效能测试视测试封包大小以及档案传输与计算机间的存取能力而定，此测试数据(95Mbps)，这个是使用Smartbit封包测试仪器所得数据，若为FTP双向测试转换效率约为50~60Mbps以上）。