最终实施：防火墙+VPN 如何部署安全的ERP网络系统？

   为了找到合适的，并且安全的数据传输方式，小李进行了很多尝试，最终选择了H3C的VPN设备(SecPath系列安全网关)来解决跨广域网数据安全传输的问题。

　　在连锁行业的各门店接入中，并不需要单独购买防火墙和VPN产品，需要寻找一种将VPN接入技术和基于状态检测的防火墙设备以及智能检测系统结合起来，通过设计的软件架构有机统一起来，并精心挑选性能高超的网络处理器进行产品设计，以使安全接入、企业网安全防护、内网的安全检测在一款设备中体现出来，同时还能保护投资，降低了安全网络的建设成本。H3C的SecPath F100系列安全网关是面向从SOHO到中型型企业分支机构等用户开发的新一代专业安全产品，特别适合部署在连锁行业的各个门店中。
　　
　　在防火墙功能方面，F100系列安全网关支持外部攻击防范可以防治连锁门店的电脑被病毒感染后攻击其他们店或总部的电脑、流量监控功能可以实施监控总部与各门店的流量情况提早发现异常、这些能够有效的保证网络的安全；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理。
　　
　　在VPN功能方面，F100系列安全网关能够支持多种VPN业务，如IPSec VPN、动态VPN、SSL VPN等，可以根据连锁集团的经营战略和应用软件如B/S架构或C/S架构方便灵活的构建多种形式的VPN。
　　
　　在网络特性方面，F100系列安全网关能够提供较强的路由能力，支持RIP/OSPF/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。
　　SecPath F100-系列防火墙结合VPN的典型组网图如下所示：

　　
　　
　　根据以上组网图，可以清楚的看到，SecPath F100系列安全网关在充当连锁行业各门店与总部接入VPN设备的同时，可以为门店内部网络充当安全防护的防火墙，有效的抵挡了来自Internet和其他门店的各种攻击和威胁。
　　
　　针对IPSec VPN组网，H3C更是有着完整的VPN解决方案，包括VPN Manager管理系统、BIMS大规模智能部署系统、动态VPN、VPN高可靠性，通过以上功能模块，可组建安全可靠的IPSec VPN网络，易于管理，有效降低用户运维成本。SecPath F100-S虽然价格比较便宜，但是以上功能仍然一应俱全，具有超高的性价比。

附：
VPN Manager：对运行状况进行实时监控

　　VPN Manger是VPN网络的控制管理部件，可以在总部对各门店的F100系列安全网关进行集中管理和控制。总部的管理员可以在VPN隧道上操纵各个设备，包括IPSec策略的设置，监控隧道状态信息，远程调整隧道的建立，真正实现整个VPN网络的Easy Manage。
　　
BIMS (Branch Intelligent Management System) 门店统一管理，节省管理员出差费用

　　BIMS智能管理系统实现从网络管理中心来集中对SecPath F100系列安全网关的管理，如配置文件下发、设备软件升级等。BIMS采用HTTP协议进行通信，可穿透绝大多数的防火墙，而且协议简单、易扩展。BIMS可以解决对各门店的是动态IP地址或经过NAT后的集中管理，尤其是在对象连锁行业这样的业务应用基本相同、数量庞大并且分布广泛的接入VPN网络终端设备进行管理时，该系统会较高提升管理的效率，大大节约管理成本。

　　IPSec VPN的数据机密性及低成本的相结合的特点，使得该技术在连锁业门店互连中的应用越来越广泛。H3C SecPath F100系列安全网关完善的功能、强大的性能、低廉的售价，可以为连锁业用户构建一个功能强大而且的灵活安全VPN网络。一切从用户需求出发的设计理念，保证了产品及方案最大化地贴近用户需求，真正使得网络安全可靠，用户使用放心。