联想网御网闸典型应用汇总表资料

联想网御网闸(SIS-3000)配置过程

联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘——管理证书文件夹下，密码：hhhhhh）,管理IP:10.0.0.200 ，掩码：255.255.255.0 。

2、登录内网：用网线连接内网专用管理口，在IE浏览器输入：https://10.0.0.1:88893、输入用户名/密码：administrator/ administrator (超级用户)或输入：admin/admin123(管理员用户)。

4、登录外网：用网线连接外网专用管理口，在IE浏览器输入：https://10.0.0.2:8889或输入用户名/密码：administrator/ administrator (超级用户) 或输入：admin/admin123(管理员用户)。

测试拓扑结构：FTP客户端FTP服务端注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访问网闸另一侧的真实服务器地址；外部客户端通过访问相连网闸地址，再由网闸连接真实服务器；原理区别两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网闸服务端任务；2）客户端添加一条路由，指向网闸；必须同时配置网闸客户端、服务端任务，且对应任务之间的任务号必须相同；访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图：◆登陆界面◆登陆首页◆更改密码（按需求修改）◆网口配置（按需求修改）◆配置网闸内侧任务，并启动服务（按需求修改）添加网闸内侧任务，如下图：若是【普通访问】，该地址为内侧网口地址【192.168.20.1】；若是【透明访问】，该地址为FTP服务器地址对象【ftpsvr_192.168.10.2】。

联想SIS-3000P网闸数据库访问配置案例

联想网御网闸数据库访问功能配置案例2006-1-17目录1 网络拓扑 (1)2 客户需求 (1)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (3)3.4 外网网关配置 (3)3.5 外网管理端口地址 (4)4 网闸具体配置 (5)4.1 需求一配置 (5)4.1.1 内网模块配置 (5)4.1.1.1 添加Oracle 数据库客户端任务 (5)4.1.1.2 新建访问用户配置 (6)4.1.1.3 访问控制生效 (6)4.1.2 外网模块配置 (7)4.1.2.1 添加Oracle 数据库服务端任务 (7)4.1.2.2 新建访问用户配置 (7)4.1.2.3 访问控制生效 (8)4.1.3 内网客户端主机配置 (9)4.1.3.1 内网主机运行客户端软件并将数据库添加到树 (9)4.1.3.2 内网用户成功登录外网数据库 (9)4.2 需求二配置 (10)4.2.1 内网模块配置 (10)4.2.1.1 添加SQL Server 数据库客户端任务 (10)4.2.1.2 新建访问用户配置 (10)4.2.1.3 访问控制生效 (11)4.2.2 外网模块配置 (12)4.2.2.1 添加SQL Server 数据库服务端任务 (12)4.2.2.2 修改访问用户配置 (12)4.2.2.3 访问控制生效 (13)4.2.3 内网客户端主机配置 (14)4.2.3.1 内网主机数据库客户端配置 (14)4.2.3.2 内网主机成功登录外网SQL Server数据库 (14)1网络拓扑说明：1 网闸的内外网管理端口地址分别默认为：内网：10.0.0.1，外网：10.0.0.2，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。

2 PC5为管理主机，其地址要求与网闸的管理端口地址在同一个网段。

3 管理主机与网闸的内外网管理端口相连接，分别以https://10.0.0.1和https://10.0.0.2访问，用户名和密码为：admin。

网闸典型应用方案范文

网御SIS-3000 安全隔离网闸典型案例网上营业厅”的安全解决方案目录1.前言错误！未定义书签。

2. 需求分析...................................... 错误！未定义书签。

3 网络安全方案设计错误！未定义书签。

1.前言Internet 作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。

中国互联网络信息中心（CNNIC）在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数已经达到4580 万人，而且一直呈现稳定、快速上升趋势。

面对如此众多的上网用户，为商家提供了无限商机。

同时，若通过Internet 中进行传统业务，将大大节约运行成本。

据统计，网上银行一次资金交割的成本只有柜台交割的13%。

面对Internet 如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用Internet 这种新的运作方式，以适应面临的剧烈竞争。

为了迎接WTO的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。

但是作为基于Internet 的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。

对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。

防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。

造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。

所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。

目前，出现了一种新的网络安全产品——联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。

联想网御网闸培训文档

2、WEB配置：
第二步：添加文件交换——发送任务
一、文件交换
2、WEB配置：
第二步：添加文件交换——接收任务
一、文件交换
2、WEB配置：
第二步：添加文件交换任务（发送任务、接收任务）
一、文件交换
2、WEB配置：
第三步：设置内容控制选项
文件名控制
内容黑名单内容白名单
一、文件交换
2、WEB配置：
第三步：设置内容控制选项(1)——文件名控制
一、文件交换
2、WEB配置：
第三步：设置内容控制选项(2)——内容黑名单
一、文件交换
2、WEB配置：
第三步：设置内容控制选项(3)——内容白名单
2.1 功能模块－文件交换
3、基本步骤：
① 配置本机工作模式、启动后台服务； ② 配置文件交换任务——发送任务、接收任务； ③ 配置文件过滤选项；
三、邮件传输
2、WEB配置——SMTP：
第三步：配置“服务端” 访问任务
注意事项：
仅针对“普通访问”。对于透明访问，系统已经默认配置，用户无需配置
三、邮件传输
2、WEB配置——SMTP：
第三步：配置“服务端” 访问任务——普通访问
三、邮件传输
2、WEB配置——SMTP：
第三步：配置“服务端” 访问任务——普通访问
2、WEB配置：
第二步：配置“客户端” 访问任务——透明访问
二、FTP访问
2、WEB配置：
第二步：配置“客户端” 访问任务——透明访问
二、FTP访问
2、WEB配置：
第二步：配置“客户端” 访问任务——透明访问注意事项：资源定义的引用：源地址、目的地址、生效时段; 目的地址、目的端口：与真实的服务器设置一致;

网闸典型应用方案-推荐下载

网御 SIS-3000 安全隔离网闸典型案例
“网上营业厅”的安全解决方案
对全部高中资料试卷电气设备，在安装过程中以及安装结束后进行高中资料试卷调整试验；通电检查所有设备高中资料电试力卷保相护互装作置用调与试相技互术通关，1系电过，力管根保线据护敷生高设产中技工资术艺料0不高试仅中卷可资配以料置解试技决卷术吊要是顶求指层，机配对组置电在不气进规设行范备继高进电中行保资空护料载高试与中卷带资问负料题荷试2下卷2，高总而中体且资配可料置保试时障卷，各调需类控要管试在路验最习；大题对限到设度位备内。进来在行确管调保路整机敷使组设其高过在中程正资1常料中工试，况卷要下安加与全强过，看度并22工且22作尽22下可22都能22可地护以缩1关正小于常故管工障路作高高；中中对资资于料料继试试电卷卷保破连护坏接进范管行围口整，处核或理对者高定对中值某资，些料审异试核常卷与高弯校中扁对资度图料固纸试定，卷盒编工位写况置复进.杂行保设自护备动层与处防装理腐置，跨高尤接中其地资要线料避弯试免曲卷错半调误径试高标方中高案资等，料，编试要5写、卷求重电保技要气护术设设装交备备置底4高调、动。中试电作管资高气，线料中课并敷3试资件且、设卷料中拒管技试试调绝路术验卷试动敷中方技作设包案术，技含以来术线及避槽系免、统不管启必架动要等方高多案中项；资方对料式整试，套卷为启突解动然决过停高程机中中。语高因文中此电资，气料电课试力件卷高中电中管气资壁设料薄备试、进卷接行保口调护不试装严工置等作调问并试题且技，进术合行，理过要利关求用运电管行力线高保敷中护设资装技料置术试做。卷到线技准缆术确敷指灵设导活原。。则对对：于于在调差分试动线过保盒程护处中装，高置当中高不资中同料资电试料压卷试回技卷路术调交问试叉题技时，术，作是应为指采调发用试电金人机属员一隔，变板需压进要器行在组隔事在开前发处掌生理握内；图部同纸故一资障线料时槽、，内设需，备要强制进电造行回厂外路家部须出电同具源时高高切中中断资资习料料题试试电卷卷源试切，验除线报从缆告而敷与采设相用完关高毕技中，术资要资料进料试行，卷检并主查且要和了保检解护测现装处场置理设。备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况，然后根据规范与规程规定，制定设备调试高中资料试卷方案。

联想_SIS-3000系列安全隔离网闸白皮书

2000 年 1 月 1 日，国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确要求“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连，必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”，及时的把政府上网安全提到一个重要的高度，具有重大意义。并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。
2 网络隔离与信息交换系统技术原理......................................................................................1 2.1 工作原理 ........................................................................................................................1 2.2 技术特性 ........................................................................................................................2
6 标准与资质认证 ...................................................................................................................21
7 典型用户 ...............................................................................................................................22

联想网御网闸产品

具备涉密信息系统产品检测证书访问控制支持基于动态域名ip地址服务端口ip协议用户时间等安全策略的状态包过滤支持基于ip协议服务接口时间应用等安全策略的带宽控制支持基于策略的httpftptelnetsmtppop3等透明代理和深度过滤入侵防御集成基于use统一安全引擎的入侵防护功能具备3000种以上攻击特征库规则列表支持对p2p和im软件的阻断和带宽限制支持抗ddosdos攻击可防御synfloodpingfloodudpfloodteardropsweeplandbasepingofdeathsmurfwinnuke圣诞树碎片等ddos攻击可以针对不同的特征制定不同的入侵防护系统动作丢弃通过重置重置客户端重置服务器丢弃会话清除会话通过会话关联安全应用支持csc安全关联协议可实现与ism内网安全管理系统之间的联动安全管理可通过联想网御leadsecmanager安全管理系统实现安全审计日志分析安全报警等功能友好的web图形界面配置支持ssh和串口命令行配置高可靠性支持联想网御mrp多重冗余协议支持多端口聚合实现零成本扩展带宽高可用性支持透明路由混合三种工作模式支持静态路由策略路由动态路由ripospfbgp单臂路由组播路由等支持虚拟网关功能最多支持256个虚拟网关服务要求要求产品提供三年免费服务三年当日4小时7244厂商带备件上门服务
入侵防御
集成基于USE统一安全引擎的入侵防护功能
具备3000种以上攻击特征库规则列表
支持对P2P和IM软件的阻断和带宽限制
支持抗DDOS/DOS攻击，可防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等DDoS攻击
内外网主机系统分别具有1个RS-232口

联想网御网闸(SIS-3000)配置过程

联想网御网闸(SIS-3000)配置过程联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘——管理证书文件夹下，密码：hhhhhh）,管理IP:10.0.0.200 ，掩码：255.255.255.0 。

2、登录内网：用网线连接内网专用管理口，在IE浏览器输入：https://10.0.0.1:88893、输入用户名/密码：administrator/ administrator (超级用户)或输入：admin/admin123(管理员用户)。

4、登录外网：用网线连接外网专用管理口，在IE浏览器输入：https://10.0.0.2:8889或输入用户名/密码：administrator/ administrator (超级用户) 或输入：admin/admin123(管理员用户)。

测试拓扑结构：FTP客户端FTP服务端注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

◆两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访问网闸另一侧的真实服务器地址；外部客户端通过访问相连网闸地址，再由网闸连接真实服务器；原理区别两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网闸服务端任务；2）客户端添加一条路由，指向网闸；必须同时配置网闸客户端、服务端任务，且对应任务之间的任务号必须相同；访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下添加网闸内侧任务，如下图：◆启动服务，如下图按下按钮，启动服务2.2外网配置抓图：◆登陆界面◆登陆首页◆更改密码（按需求修改）◆网口配置（按需求修改）◆配置网闸外侧任务，并启动服务（按需求修改）添加网闸外侧任务，仅对普通访问有效，如下图：服务类型可选【tcp_any 】；亦可选【ftp 】，但目的端口可不填。

联想网御网闸配置实例

联想网御网闸配置实例背景：XX局为了组建区域XX平台内网，需要在我们内网中搭建一台服务器，用XX局直接远程到院内网服务器，分配给我们的外网IP：172.17.3.50，255.255.255.0,172.17.3.254，内网服务器IP：192.168.102.64，另外我们还需要一个虚拟的内网转换地址，192.168.102.65。

拓扑结构如下：网闸管理地址：内网口https://10.0.0.1:8889、外网口https://10.0.0.2:8889将本机IP配置成10.0.0.200，直连网闸管理口，下面进行设置：内网口设置首先进入内网口进行配置，输入上述地址后进入管理登录界面账号：administrator 密码：administrator 进入以下界面点击左侧的网络管理选中对应接口fe6点击编辑输入192.168.102.65，这个地址是设置给fe6这个接口的，设置后在允许ping上打钩,最后确定。

接下来需要配置内网地址的安全通道，这个会出现两个安全通道，分别是：客户端的和服务端的，当XX局的172.17.3.x号段进行访问的时候，我们是接受访问的一方，所以在内网上我们就作为服务端，点开服务端的安全通道，点击添加这里注意1、填入的任务号必须是未经使用的。

2、网闸内部的连接是通过内部硬件实现内外网隔离，但却实用任务号关联，所以所设置的任务号、服务类型、端口号必须要与接下来设置的外网口的客户端安全通道一致。

填写好确定保存内网设置完毕点击上部保存按键保存设置外网口设置输入外网口管理地址，输入账号密码进去之后，进行外网的客户端配置（账号密码与内网口账号密码一致）进入系统之后，点击接口配置，配置外网口地址与内网口配置相同注意在允许ping上勾选，确认保存后，点击客户端的安全通道，点击添加点击添加注意选择普通访问，内网口添加时提到的，任务号必须与内网的服务端添加的任务号、服务类型保持一致，原地址选择any，目的地址选择172.17.3.50，确认保存后点击顶端保存。

联想网御SIS-3004安全隔离网闸

联想网御SIS-3004安全隔离网闸
无
【期刊名称】《网上俱乐部：电脑安全专家》
【年(卷),期】2004(000)010
【摘要】“联想网御SIS-3004安全隔离网闸”是由联想公司最新推出的一款网络安全隔离设备。

在技术上采用了多主机隔离结构，交换模块采用专有硬件设计，通过专有安全芯片实现内外网数据的交换，使得系统具有高度安全性。

同时产品具有很高的交换性能。

【总页数】1页(P25)
【作者】无
【作者单位】无
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.联想网御纵深应用与数据安全创新——联想网御全力"引航"信息安全
2.0时代[J],
2.联想网御千兆防火墙——网御2000 FWG [J],
3.机密网络的"门神"--联想网御安全隔离网闸解决方案 [J], 刘晶妹
4.联想网御SIS-3000系列安全隔离网闸 [J], 无
5.最佳网闸性能奖——联想网御SIS-3000系列 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

联想网御网闸解决方案-操作系统补丁管理资料

典型应用四–主机操作系统补丁管理：1、需求分析目前，很多单位的内网按照网络安全防护要求不能直接与国际互联网相连，但是内网主机操作系统又需要补丁升级，通常做法是采用了微软SUS服务器接入外网获取补丁数据，在特定时间改接入内网为内网机器升级。

采用这种升级方式，首先，不符合单台服务器不得同时接入内外网的要求；其次，无法避免外网的木马病毒渗透的入侵方式；第三，也无法提供实时的补丁升级能力，一旦发生如冲击波等恶性病毒时，内网往往由于补丁升级的延迟而无法阻止病毒的大规模泛滥。

为了解决这个问题，部署一套需要更合适的补丁升级系统，来完成补丁的实时获取和分发工作。

2、解决方案联想网御主机操作系统补丁管理系统由内外网补丁接收服务器、内外网补丁分发服务器、联想网御安全隔离网闸和防火墙共同构成，此解决方案物理模型如下图：。

内网升级平台内网主机补丁接收服务器部署于外网通过防火墙后连接微软补丁升级服务器。

为了保障安全，在防火墙上设定仅允许该服务器连接微软的相应服务不打开其他端口，同时禁止外部对该服务器的连接。

在外网补丁接收服务器获取了最新补丁后，将这些补丁文件化后以纯文件的形式，通过联想网御SIS-3000安全隔离网闸的文件交换功能传送至内网的补丁分发服务器。

用户可以使用联想网闸的专用文件传输客户端软件，通过联想网御SIS-3000安全隔离网闸在内外网络间进行单向文件交换“摆渡”，同时对传输的文件类型过滤、关键字过滤、病毒检查、签名校验等机制对传输的文件进行过滤，防止内部信息泄漏、病毒入侵、网络侦听、身份冒充等危害。

从而确保外网向内网传达补丁文件时的安全性和禁止了内网信息的泄漏。

内网和外网的补丁分发服务器获取了最新补丁文件后，将按照允许定义的策略进行下发工作。

在进行策略定义时，允许将用户分组，对不同的组可以采用不同的下发策略。

例如，对于某些在打上补丁后可能操作系统无法正常工作的设备，则不自动下发，待完成了补丁升级试验后再继续操作。

联想网御网闸产品培训文档

会安话全终决结策
协议检查
数据提取
病内毒容检检查查
格式化数据
格式化数据块
网闸的基本技术——协议落地(续)
格式化数据块
Application Presentation
Session Transport Network Data Link Physical
传输策略
自有协议包
简单的进行包头检查
综合了访问控制、内容过滤、抗攻击、硬件隔离等安全防护技术
攻击者获得了管理权限，两主机系统分别有独立的管理接口，
可调整防火墙的安全策安全策略分别下达，不可能被控
略
制
网闸产品背景
1.1 物理隔离的问题 1.2 网闸的初步认识 1.3 网闸的技术要求 1.4 网闸的产品定位
安全隔离网闸产品定位
安全隔离网闸文件交换过程
外网文文件件服务器
外网主机
NFS
SAMBA 格式
内容
地址
文件
内网主机
格式
内容
地址
文件
NFS SAMBA
内网文件服务器
文件
隔离交换模块
需要说明的
• 国家保密局的定名“安全隔离与信息交换系统” • 公安部的定名“网络安全隔离系统” • 习惯、通俗的称呼“网闸”
网闸产品背景
1.1 物理隔离的问题 1.2 网闸的初步认识 1.3 网闸的技术要求 1.4 网闸的产品定位
2.隔离交换模块断开彼此连接，连接内外网主机系统，内网主机系统写数据到交换缓冲区
3.隔离交换模块断开内外网主机系统，彼此连接，进行通讯协商，完成数据交换
4.隔离交换模块断开彼此连接，连接内外网主机系统，外网主机系统从交换缓存读取数据

网闸典型应用方案

网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案目录1.前言Internet作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。

中国互联网络信息中心（CNNIC）在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数已经达到4580万人，而且一直呈现稳定、快速上升趋势。

面对如此众多的上网用户，为商家提供了无限商机。

同时，若通过Internet中进行传统业务，将大大节约运行成本。

据统计，网上银行一次资金交割的成本只有柜台交割的13%。

面对Internet如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用Internet这种新的运作方式，以适应面临的剧烈竞争。

为了迎接WTO的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。

但是作为基于Internet的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。

对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。

防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。

造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。

所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。

目前，出现了一种新的网络安全产品——联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。

Web服务器2.3将内部业务网与外部网络直接连接的安全隐患若直接将两个网络连接起来，将出现以下安全隐患：1)来自网络外部非法用户的攻击和越权访问等。

网御VPN典型应用

网御VPN典型应用某大型国有企业从行政上分为总公司、分公司和营业部三级，全国共有130个分支机构，相对应的网络也有三级，是一个覆盖全国的复杂的大型广域网系统。

该企业各分支机构的网络接入情况差异较大，既有DDN专线接入，也有动态的ADSL、ISDN、CABLE MODEM等接入，还有用PSTN电话接入的；另外，有的分支机构有上百台计算机，有的只有1、2台计算机。

随着该企业信息网络的不断发展，包括办公系统、物流系统、视频会议、ERP 系统等在内的各种系统也不断应用在这个大型广域网上。

这些应用系统所承载的数据涉及到企业的商业秘密，是企业的重要财富。

企业的领导者迫切希望重点解决数据在公网传输的过程中所带来的以下安全风险：1)访问控制：系统以外的网络或设备对自身网络的非法访问、非法连接和来自公网上的攻击。

2)传输数据保密：通过搭线监听可以窃取进入公网的数据。

3)数据来源正确性鉴别：数据的来源或数据发送方的身份判别以及利用传输协议漏洞进行的地址欺诈和重放攻击。

4)数据完整性鉴别：公网并非只是由线路组成，还有大量的路由交换设备和服务器设备，因此途经公网的IP数据包面临着传输途中被篡改的风险。

针对企业用户的安全通信的需求，我们选择由联想网御SJW44加密网关构建的VPN整体解决方案，在满足用户安全需求、降低建设成本、方便管理与便于扩展的前提下，实现了安全性和高性能，系统共分为四部分：安全管理系统、子网互连系统、远程拨号接入系统、访问控制系统。

具体配置如下：1、在公司总部网络中心配备1套安全管理中心，负责整个网络的密钥管理、证书管理、网关管理、隧道管理，同时制定访问控制规则，负责动态IP网关的检测与控制；配备2台加密速度为80Mbps，隧道数为2000的SJW44 VPN加密网关，两台网关构成一个集群，实现负载均衡和双机热备，确保不出现单点故障，并提高接入点的处理能力。

2、在拥有四台以上计算机的各分公司，各配备一台加密速度为40Mbps隧道数为100的SJW44 VPN加密网关，实现光纤、ADSL、CABLE MODEM等接入方式，3、对于拥有三台以下计算机的各分公司和移动办公用户，由于每天上线时间较短，同时主要访问上级数据。