随着企业全球化进程的不断深入和移动办公队伍的不断增大,基于标准的虚拟专VPN(VirtualPrivateNetwork）为企业应用带来的方便、成本节省的优势，市场前景诱人。自去年下半年以来，各种VPN厂家、VPN产品如雨后春笋般冒出。在众多防火墙VPN模块以及独立VPN产品中。用户如何构建自己的VPN？ 我们结合使用过的经验和用户调查意见，对Netscreen的优异性能和使用的方便快捷提出利用Netscreen防火墙构建企业关键业务网。 中国国际旅行社由于业务发展的需要，如Intranet与Internet互连的安全性、关键业务的安全性、分布于个大洲的分支机构与总部的业务联系以及移动用户与总部的联系等，使得VPN的使用成为必需。我们根据具体的网络环境和业务要求，设计并实施了如下方案。

　　通过LAN-to-LAN VPN实现分支机构与总部之间的业务联系,位于北京的NetScreen-100a Software Version为 2.6.0r2.1使用Manual KEY实现VPN。在安全策略中加入和香港进行VPN通信的策略即可。位于香港的NetScreen-10的Software Version: 6.0r2.1也加入相同的VPN通道和安全策略即可。所要进行的关键业务都可以在VPN通道中实现。 这里要提到的一点是由于业务的要求，北京内网的用户要求访问CNN等被169等封闭的网站。之前采用的方法是使用位于香港国旅的代理服务器，但由于代理服务器暴露于Internet上，大量的非法用户使用使得流量等成为急需解决的问题。

　　我们在为关键业务使用VPN的同时，也将在北京内网有访问CNN等网站的用户通过VPN通道到达香港国旅后再访问Internet，使得访问不被过滤的同时，加强了安全性，控制住了流量，既节省了投资又保证了流量和安全性。 双方NetScreen应该作一定的策略设置 (在这里使用了Internet上的某个IP地址, 在实际应用中可以用"outside any"或"inside any"代替, 使用后面括号里的命令): 通过Dialup-to-LAN VPN实现移动用户与总部之间的业务联系。

　　NetScreen为移动用户配备了客户端软件NetScreen-Remote。NetScreen-Remote是一种在用户主机（桌面或笔记本电脑）上运行的软件，简化了对网络、设备或公共或非信任网络中其它主机的安全远程接入。通过采用IPSec协议和第二层通道协议[L2TP]，并以证书作为额外的选项，可以实现安全性。为了构建安全的通信通道，必须把这一软件与IPSec网关结合使用（如NetScreen家族安全设备），或与运行IPSec兼容软件的另一台主机结合使用（如NetScreen-Remote）。NetScreen-Remote为通过以太局域网或调制解调器远程拨号接入连接到IP网络的桌面和/或笔记本电脑专门设计。新版NetScreen产品提高了兼容能力、安装和使用简便、并提供了一系列新的VPN功能。另外它还提供了强健的转换机制，允许用户简便地更新以前NetScreen-Remote产品中的配置设定。

　　在总部的硬件NetScreen上设置好拨入的移动用户以及相应的安全策略即可。 通过Hub Spoken VPN实现多个分支机构、总部互相之间的业务联系 NetScreen最新发布的操作系统2.5中又新增加了Hub Spoken VPN的功能，使得多个分支机构之间可以通过总部的NetScreen设备实现分之机构之间的VPN互访，大大提高了VPN使用的方便性。 随着VPN业务的广泛开展，相信方便、快捷、安全可靠的VPN产品一定会在更多领域和企事业单位中得到应用。