轻轻风聆博客

我們自身的需求:1. 一定要用ADS線路2. 讓分部的IP與總部的IP地址同段3. 確保所有分店可以正常連線到總部的正航系統,主要是IP和帶頻問題4. 確保資料的準確性和安全性,以免出現在資料傳輸中出現數據丟失,單據不完整5. 減輕資訊課的工作量,方便管理6. 上網規則管理,不通話上某些網站7. 測試只能上MSN,不能上QQ8. 網上鄰居訪問,方便操作9. 印表機速度要正常10. 確保ADSL的穩定性,斷線後是否自動重拔,並不會影響到客戶端使用者11. 使用多條ADSL時突然斷掉一條不會對任何客戶端造成影響,比如說死機12. ftp訪問,中斷點繼續下載13. 內網權限控制,只能讀不能寫,防止內部病毒入侵14. 指定那一臺電腦能用VPN,那臺不能,防止其他人在外部連接到公司服務器15. 移動用戶連接VPN,一定要用加密狗16. 必須要對網絡流量進行控管,程式運行的優行權17. 防火牆一定要對防止黑客攻擊或木馬入侵18. 一定要以最節約成本的方式19. 一定要有後期的服務20. 無需依賴第三方服務，免費長期使用一. 網絡基本概述:用VPN實現所有分店及加盟店共用同一台伺服器，保證了資料的安全性和準確性，方便了使用者的操作及管理，衆舜機房共有3臺伺服器，（其中Master伺服器為正航服務器，Application伺服器用於分享正航服務的數據庫，Terminal伺服器為客戶端電腦登入的服務器）網路線路結構:總部用2條普通電信ADSL，帶寬總爲上詢1M，下詢6M，用戶端都是1條512K的ADSL，所有用戶端均使用遠端桌面的方式來登錄用戶端代理伺服器，佔用帶寬非常小，6M的帶寬已經足夠。客戶端網絡構構方式:所有用戶端均使用512K的ADSL,其中(A.E.B.H.G.Q)店使用VPN軟件客戶端,(M.P.J.T.U) 使用帶Key的VPN軟件客戶端,以遠端桌面的方式來登錄Terminal伺服器使用正航系統二. 網路伺服器架構說明(一). 正航伺服器架構為了讓伺服器滿足於三層式及Internet需求，所以在安裝時伺服器的類型分為三類：1. 主伺服器(Master Server)：主要負責序號及用戶管理的伺服器，也是鎖定序號的伺服器，所以在一套網路版正航系列的環境下，一定要有一個主伺服器。目前主伺服器的安裝，是與資料庫安裝一起，所以在安裝完成正航系列的資料庫端程式，主伺服器已經一起被安裝起來。 2. 應用程式伺服器(Application Server)：用來運行中間層伺服、排程報表、拋轉…等ERP功能的伺服器。如果要使用三層式功能，因為所有的中間層邏輯都是在主伺服器安裝，如果都集中到主伺服器運行，那麼容易造成主伺服器效能瓶頸。所以需要安裝其他的應用程式伺服器來分散主伺服器的負擔。在一套網路版正航系列的環境下，可以安裝多個應用程式伺服器伺服器。目前預設安裝，主伺服器是與資料庫伺服器一起，所以建議如果要使用三層式架構，則至少安裝一台應用程式伺服器，而主伺服器就不要讓使用者直接連線。應為應用程式伺服器在運行時需要連線到資料庫伺服器及存取CHIPath，所以應用程式伺服器應當安裝在與主伺服器相同的局域網中（當然，Client端可以透過TCP/IP功能，由遠端連線到應用程式伺服器當中）。 3. Terminal伺服器(Terminal Server)：所有客戶端都通過Terminal來連線到Terminal Server上使用正航系統,其客戶端無需再裝任何客戶端軟件 (二). 網路伺服器架構圖建議架構圖：架構說明： 采用三層式架構圖,可以減輕主伺服器的負擔, 減少網路頻寬的瓶頸。 安裝順序：1.主伺服器-->2.應用伺服器-->3.Termainal服務器-->4.Client端三、VPN解決方案的完善程度作爲專業的VPN廠商，深信服科技堅持不斷創新，在傳統的VPN技術基礎上，針對國內固定IP的匱乏、複雜的Internet接入方式、操作人員技術能力較低等多種不利因素進行了技術和産品上的創新，爲用戶提供了一種高安全、高性能、高穩定性的VPN解決方案，在VPN應用的多個關鍵環節上充分體現了她的專業性。正是憑藉深信服科技對以下幾項VPN關鍵技術的突破，SINFOR VPN能夠在任何IP網路環境下，爲用戶提供“無所不聯”的VPN互聯解決方案。1、動態IP定址的實現實際上，目前國內靜態Internet IP的租用費用極高，如果VPN産品不能支援在動態IP環境下的使用，用戶將面臨高昂的使用成本。作爲專業的VPN廠商，對於這種需求，深信服科技提出自己的動態定址專利技術―――基於WEB的動態定址，使用這種技術，用戶無需依賴廠商的伺服器，只需將深信服科技免費提供的WEBAGENT腳本上傳到WEB上的一個虛擬主機或託管伺服器上（幾乎每個用戶都有自己的WEB伺服器），即可利用這個腳本來實現動態定址，此Web文件僅僅是對IP位址的變化進行監控，而所有的資料傳輸、隧道建立等等都是直接通過Internet進行的，因此對Web伺服器負擔非常小，幾乎不佔用網路資源。在定址過程中，所有資訊均使用DES加密。實現方式如下圖： 由於採用了DES加密，非法用戶無法從WebAgent中獲得總部的配置資訊，在總部使用動態IP的情況下非法用戶無法通過INTERNET直接連接總部，避免來自INTERNET的直接攻擊。因此，Web定址技術相對其他定址技術(如動態DNS)有如下優點：不依賴于專門的第三方服務提供商、定址安全、更節省成本、更穩定。2、穩定性深信服科技的Sinfor DLAN VPN採取了軟、硬體分離的方案來適應企業對穩定性的要求。用戶可以根據自身對穩定性的需求選擇適合的硬體設施（如相應穩定級別的PC機或伺服器）作爲VPN網路的硬體平臺。軟、硬體的分離使得用戶可以自主選擇合適的應用環境，整體投資相對於同檔次的專用VPN高端硬體極大的降低。與低端VPN産品相比，解決了由於硬體檔次過低而帶來的不穩定因素，專業的VPN軟體又帶來了更安全、更可靠、性能更出衆的VPN應用。對於那些沒有專業IT管理人員的用戶來說，深信服科技同樣提供了專用的VPN硬體設備，可以免去維護作業系統的麻煩。另外在VPN運行過程中的幾個不穩定因素上Sinfor DLAN均做了技術處理，做到盡可能穩定，主要有以下幾個方面：（1） 互爲備份的Web定址技術爲保證定址的穩定性，Sinfor DLAN使用了互爲備份的WebAgent定址機制，當第一個WebAgent失效時，整個系統將會自動切換到備份的第二個WebAgent。（2） 可以備份的VPN線路由於Internet接入不可能完全可靠，在網路不穩定的情況下容易造成應用的中斷，對於某些重要的網路（如總部模式），由於其重要性，在網路規劃時必須充分考慮到由於Internet線路帶來的穩定隱患，需要妥當的備份線路方案。爲了解決這個先天缺陷，深信服公司在産品中應用了另一項創新專利技術－多線路捆綁技術，使用該技術，Sinfor DLAN VPN能夠在一台VPN閘道上同時利用多達十條的Internet線路構建VPN隧道，並結合深信服科技首次提出的VPN內的QOS技術，實現了更快、更穩定、更可靠的VPN應用。更快：多條Internet的並發使用大大拓寬了VPN的線路帶寬；更穩定：多條線路中只要有一條工作正常，Sinfor DLAN VPN即可保持VPN隧道暢通，用戶不會覺察到線路的中斷和恢復；更可靠：結合VPN內的QOS技術，Sinfor DLAN VPN能夠確保管理員實現規定的重要資料能夠在網路繁忙時得到優先傳送，避免重要應用的耽誤。注：多線路技術目前只有DLAN軟體能夠提供，M5100硬體閘道暫無此功能。a) 斷線重連，自動恢復爲了保證撥號網路的穩定性，Sinfor DLAN中集成了自動撥號軟體，在撥號中斷後，5秒內可以重撥。網路物理連接恢復正常後，VPN隧道將在1分鐘內自動建立，從而保證系統迅速恢復。b) 冗餘容量設計，應對突發電信網經常因爲話務高峰而癱瘓，資料網路也如此，如果網路設備的容量承載不了突然增長的業務負荷，那麽系統就可能癱瘓。Sinfor DLAN的設計容量大大超過一般用戶的實際容量，達到一個閘道支援5000個網路用戶，1024條VPN隧道(硬體1500條隧道)，80M的VPN隧道帶寬，這種冗餘容量的設計保證VPN網路即使遇到業務突發高峰，也能穩定運行。3、安全性多數用戶在使用VPN的時候非常關注産品的安全性，但往往用戶對安全的考慮會陷入一些誤區，僅僅看産品是否有加密或是有沒有賬號驗證，但這些因素都是安全的一個基本面，要想實現更嚴格的安全措施，僅僅依靠加密或賬號驗證是遠遠不夠的，作爲專業的VPN産品，Sinfor DLAN VPN在安全方面有更爲完美的表現。（1） 資料加密：資料加密的目的是爲了是資料在傳輸過程中不會因爲被截獲或是偵聽而造成機密的泄露，目前資料加密技術都相對成熟，各個廠商所採用的加密機制均能較大程度防止資料被竊取，區別僅在於加密的強度和性能，Sinfor DLAN VPN採用了AES 128加密演算法，AES 128 的性能大約是 3DES 的3倍左右，具有比當前 3DES 更好的安全性和更快的速率，已經爲衆多國際領先的VPN廠商採用，因此，Sinfor DLAN VPN能夠在保證資料安全的同時提供了更好的性能。（2） 身份驗證從VPN實際應用的角度考慮，用戶接入的安全是更爲重要的。因爲資料的傳輸安全即使出現隱患，也需要較專業的人員才能破譯，造成的也僅僅是部分資訊的損失，而一旦有非法用戶成功接入，那整個企業網路都將暴露給入侵者。Sinfor DLAN VPN採用了深信服科技的發明專利技術（基於硬體特徵的身份認證技術）來解決用戶的接入認證問題。該技術將接入用戶的身份鑒別與電腦的硬體特性進行綁定，由於每台電腦具備唯一的硬體身份（如網卡的MAC位址、CPU的特徵碼等），而且具有不可僞造的特性，Sinfor DLAN VPN在部署的時候會要求遠端用戶用DLAN軟體生成本機對應的硬體身份證書，並將這個證書和該用戶的賬號綁定，這樣，當該用戶賬號請求接入時，DLAN VPN用戶端（可能是MDLAN、SDLAN、PDLAN中的任何一種）會自動重新採集本機硬體資訊生成證書，並發送給總部進行硬體特性的比對。這就保障了只有指定的電腦設備才能接入企業VPN網路，即便接入的用戶名、密碼等賬號資訊泄露也不會造成非法用戶的接入，無需使用人員有很高的電腦安全知識就能確保VPN系統的安全，大大降低用戶使用VPN的技術門檻。對於那些使用筆記本電腦的移動辦公人員來說，由於電腦使用者身份的不可控性，僅僅使用硬體身份進行驗證是不夠的，對此，深信服科技還使用了USB KEY這種真正的硬體設備來實現用戶驗證，VPN部署時，總部可規定特定VPN移動用戶和某個USB KEY的綁定，這樣，當這個用戶賬號試圖登錄時，使用者必須將指定USB KEY插入電腦USB口，並輸入該USB KEY對應的密碼，否則即便用戶賬號正確也無法實現接入，確保了使用者身份的唯一性。（3） 內網許可權控制前面的分析提到，由於VPN網路可能向不同類型的用戶（如內部員工、供應商、客戶等）開放，如果VPN用戶成功接入總部就能進行不受控制的訪問，這樣的VPN網路是非常危險的，因爲管理員並不知道一個合法用戶在單位的網路內進行了什麽樣的操作。因此，考慮到以上安全銀行，Sinfor DLAN VPN還增強了對內網的安全設置，保障了第三個層次――內網資源訪問的安全。大部分VPN産品是一旦確認了遠端用戶的合法身份，用戶就可以不受限制的訪問全部內網資源。而實際上，大部分企業並不希望遠端用戶能不受限制的進行訪問，而是有條件的進行訪問，尤其是接入的VPN用戶並非是企業內部工作人員（如供應商、客戶、合作夥伴等）時，對VPN用戶訪問許可權需要更嚴格的設定。Sinfor DLAN VPN提供了對內網訪問許可權的細緻設定，可以對不同的用戶分配不同的許可權規則，避免內部出現的安全隱患，一個合法的VPN用戶接入總部後，他對總部資源的訪問許可權能夠被限定在一個很小的範圍內，例如總部有多個應用系統（如OA、財務等等），一個普通的業務人員在聯入VPN後只能訪問OA提供，而公司領導則可以同時訪問所有的應用系統，所有的這些許可權都可以通過簡單的配置迅速完成，極大的方便了IT安全部門的管理工作。（4） VPN産品自身的安全由於VPN産品工作在Internet上，且VPN本身有作業系統存在（即便是硬體VPN，其基本是工作在Linux作業系統上），因此，VPN産品難免面臨來自Internet的攻擊（如DOS攻擊可耗盡伺服器或設備的資源），必須有足夠的保護措施，最有效的方法是通過將 VPN 與防火牆技術緊密的集成在一起來實現真正的安全。深信服科技提供的Sinfor DLAN VPN集成了基於狀態檢測的包過濾防火牆，在企業接入INTERNET的時候爲企業網路和VPN産品提供保護。主要有以下特色：1) 管理員許可權分級分爲一般用戶(查看運行狀態和日誌)、超級管理員（設置防火牆的配置）、日誌備份人員（比一般用戶多了日誌備份許可權）2) 流量監控視覺化的顯示當前和歷史流量資訊，爲管理員檢查網路問題提供參考，後續將加入單個用戶的流量排名。3) 集成DHCP服務不需要對內網的機器進行任何配置，自動分配IP。可以按將MAC地址或機器和固定IP進行綁定。4) 集成自動撥號服務斷線重撥，5秒內重新連接。實現防火牆軟體設備化，開機即可上網、代理，無需撥號。5) 狀態檢測的防火牆功能基於連接狀態檢測技術，將屬於同一連接的所有包作爲一個整體的資料流程看待，通過規則表與連接狀態表的共同配合大大地提高了系統的性能。同時由於不是孤立看待每一個IP包，因此黑客很難僞造一個連續的狀態，也大大加強了系統的安全性。6) 內置多種攻擊防禦在Sinfor DLAN中內置了對多種攻擊行爲的識別和防禦，包括各種分片攻擊和DOS攻擊(含各種Flooding攻擊、Jolt2、Ping of death、ICMP Smurf Attack 等)。系統對於攻擊的防禦方式是丟棄。可以通過升級內核而升級對更多DOS攻擊的防禦功能。7) 防火牆規則可以升級可以從Sinfor的網站導入最新的安全規則，實現防火牆的安全升級。8) 上網控制通過設置防火牆規則限制內網用戶上網，可以進行用戶分組，支援MAC IP綁定，支援分時段管理(7*24小時自由定義)。上網控制具有流量排名功能，可分別排列上行，下行流量的前五名用戶，具有訪問記錄功能，可列出最新的100條上網訪問紀錄9) 虛擬測試Sinfor DLAN內置了虛擬測試環境，通過視覺化的對各種安全設置規則進行測試，從而杜絕人爲錯誤導致的安全漏洞。(事實上由於人爲錯誤導致的安全漏洞在網路攻擊事件中比例高達40%)10) 分級的安全管理，配置更方便分爲高、中、低和自定義 4個安全級別，用戶可以根據需要靈活配置。使用內置的高、中、低 安全級別，使得網路防火牆的配置和個人防火牆一樣容易；即使不懂網路也可以配置出安全的防火牆。11) 強大的QOS功能將網路服務進行分級，優先順序高的服務獲得更多網路帶寬。共5個優先順序別(1-4加特權級)。不僅實現了發送QOS（優先的服務優先發送），還實現了接收的QOS功能(該技術是領先的，大多數防火牆都無法實現對接收的資料進行QOS控制)。12) 備份功能對防火牆的配置和日誌都能進行備份，從而保證在出現災難後能迅速恢復系統。或通過配置備份功能實現對多個網路的重復配置。13) 完善的日誌系統強大的日誌功能，可以迅速的對防火牆上的資料流程量進行記載，隨時查看防火運行狀態。14) URL過濾功能獨特的URL過濾功能，可以針對網址進行網頁的訪問控制，設置規則一目了然；也可以對各種分類網址進行遮罩，輕鬆搞定。URL支援字典搜索，最大支援10000條。15) 多線路功能（專業版功能）支援多達4條上網線路，每條線路都有流量k線圖，擁有4總多線路帶寬分配演算法，針對不同的需求和環境選擇最合適的分配演算法，帶有4條線路的自動撥號工具。16) 時間管理時間計劃支援半小時的精確度，更體貼用戶的設計。4、可管理性和可擴展性如何對整個VPN網路進行有效的管理、維護和監控，並能自主的管理至關重要的基礎網路平臺，也是企業IT人員非常重視的問題。Sinfor DLAN VPN提供了整網管理和維護的工具。在總部能夠即時監控各分支機搆的接入狀況和當前狀態；能對各分支節點進行遠端的配置、備份和恢復。Sinfor DLAN VPN還具有可獨立部署的日誌系統，完備的記錄所有的操作使用資訊，便於故障的診斷和管理。 由於IT技術的發展日新月異、技術更新非常快，這就使得用戶在投資任何IT系統時都會考慮系統的擴展性問題。如果購買了一個趨於淘汰的系統，肯定是極大的投資失敗；如果系統僅僅能滿足現階段的需求、而不能適應未來的發展，也不是一個成功的選擇。舉個簡單的例子，VPN對各種新型的Internet接入方式能否同步支援，就是關係到企業VPN網路擴展的重要問題。Internet的發展正在改變著所有人的生活和工作模式，當然Internet自身也在不斷的發展。從最早期的電話撥號（Modem）、到ISDN一線通；從ADSL、小區寬帶、到已經初步應用的xDSL；以及迅速發展的各種無線接入方式如GPRS、CDMA1X、WLAN等等，馬上又要誕生並一定會迅速發展的還有3G、NGN網路。如果VPN網路不能跟上Internet的發展，很快就會使得企業的網路受到相應的限制。Sinfor DLAN VPN是目前極少能全面支援各種Internet接入方式的VPN産品，産品的體系架構設計就做到了與接入方式的全面相容。軟硬體一體化平臺的靈活性也充分得到了體現，不需要考慮新型上網方式的特殊介面。産品的升級和發展異常方便，也能保證用戶的長期投資。作爲專業的VPN産品，利用Sinfor DLAN所構建的VPN網路可以實現非常方便的平滑擴容，遠端節點無需過多複雜配置，也無需考慮所在地的Internet 接入模式，即可順利接入原有的VPN網路，實現快速方便的VPN應用。5、對移動用戶的支援如何將越來越多的移動用戶納入公司整體網路，幫助移動用戶安全、方便的訪問公司資源，也是VPN網路需要解決的問題。移動用戶不可能帶著硬體設備來接入公司VPN網路，有些低端的VPN産品解決移動用戶的方式是直接調用作業系統自帶的VPN功能，採用PPTP虛擬撥號的方式接入總部，只有基本的用戶名密碼驗證，安全級別非常低； Sinfor DLAN VPN對移動用戶也提供了強大的支援，並且支援“移動IP”。移動用戶不但能夠接入企業VPN網路，而且能夠獲取與在局域網內時相同的內網IP地址，並能夠通過該IP地址與內部網路相互通信。這就使得移動用戶不但可以訪問企業網路，同時在外出時、也能夠被局域網所找到，完全象在同一個局域網內一樣。Sinfor DLAN VPN的移動用戶可以選擇使用一個USB的KEY作爲身份認證的依據，只有擁有對應USB KEY、並且知道這個KEY的密碼的用戶才能通過總部的認證；使用USB KEY的另一個好處在於移動端可以做到零配置，用戶在安裝軟體用戶端以後無需任何配置，只需將KEY插入電腦並輸入密碼，Sinfor DLAN 軟體即可自動讀取KEY內加密保存的配置資訊，並根據這些資訊聯入對應總部，而拔出這個KEY以後，VPN用戶端自動退出，本地沒有保留任何配置資訊，這使得隨身攜帶、即插即用的VPN成爲可能，尤其對那些移動辦公人員衆多、不可能每人一台筆記本電腦的大型用戶來說，這個特性尤其方便，只需要爲移動用戶分配一個KEY，這些移動用戶即可利用其出差地任意一台能夠上網的電腦實現VPN接入。Sinfor DLAN對移動用戶的支援還體現在其強大的接入適應性上，作爲移動用戶，往往會面臨各種各樣的接入地點（如在酒店、機場或是合作夥伴辦公室），可能遇到的Internet接入方式也無所不有（從簡單的撥號到通過NAT或Proxy代理上網），一般的VPN用戶端只能工作在撥號或是NAT環境下，而使用Sinfor DLAN的移動用戶則無需考慮可能面臨的接入方式，Sinfor DLAN能夠穿透支持socks4或socks5的Proxy（如ISA或Wingate），用戶在任何網路環境下均可實現VPN接入，大大提高了工作效率。而目前的大部分Firewall，多數是基於Linux， Linux的好處就是資源豐富，大量的免費開放源代碼。包括Firewall和VPN的內核都有開放源代碼的。但這往往也成爲很多廠商的劣勢，由於有現成東西，所以也就沒有花精力去吸收、去改進，很多開放源代碼不具備的功能廠商也束手無策。由於不專業，産品也就趨於同質化，沒有什麽特色可言，例如：上述SINFOR VPN的五項關鍵功能就不具備。四、VPN的性能在安全邊界設備中，VPN和Firewall是相對獨立的兩個功能分支模組。但SINFOR VPN設計時，充分考慮了兩者的融合和效率，並在閘道的設計中運用了諸如：Hash快速索引技術，硬體加密技術等，實現設備總體性能和VPN性能比較高。如:百兆甚至千兆閘道M5100、M5400系列能夠實現Firewall和VPN吞吐率的線速。而目前的大部分firewall，VPN功能往往作爲一個獨立的模組加進設備，而不是在設備開發一開始就充分考慮了融合和嵌入，所以性能往往大折扣，效率不夠高。尤其是大量廠商的設備採用linux系統，其中有現成的VPN功能模組（如:freesone），很多廠商並沒有吃透，只是做了個介面，沒有做什麽系統優化，導致設備同質性很強，遇到系統內核問題時束手無策。SINFOR VPN、Firewall和ROUTE模組全部由自主實現，進行過充分融合和優化，掌握所有的技術，定制和維護能力非常強。五、VPN用戶端SINFOR VPN有配套的支援所有windows平臺的VPN用戶端軟體（配套USB KEY）。能夠綁定硬體，可進行集中管理等。而目前的大部分firewallVPN不能解決認證問題，不能支援用戶端同時連接多個閘道，不支援硬體身份認證載體等。這也是由於很多Firewall廠商只是利用現成的linux下的開源vpn模組的結果，並沒有修改和改進的能力。 六、VPN網路管理SINFOR VPN除了和普通的Firewall一樣，具有面向單機的設備配置軟體。更有一套完備的集中管理平臺，專門面向大量的VPN的部署：可解決全網閘道通訊策略的集中發放和管理，日誌集中存放.而普通Firewall上帶有的VPN模組，基本上只能基於單機配置，沒有配套的VPN策略分發中心等。産品的可管理性基本是面向單機的，沒有面向全網的管理體系。而且維護和管理非常複雜。七、硬體平臺方面大部分firewall廠商VPN功能往往作爲一個獨立的模組加進設備，相容性差，由於進行複雜加密演算法大量佔用CPU，導致防火牆和VPN的功能不能充分發揮，設備可靠性差。衆所周知，軟體的運行還是得依靠硬體載體來解決，而VPN作爲一個密碼類産品，所有的資料的傳輸都得經過VPN設備的加密和解密，這也就要求VPN設備必須具有極高的硬體性能 。雖然市場上有很多廠商吹噓嵌入式設備的穩定及安全性優勢，但他們的高端設備全部無一例外的都使用工控設備。SINFOR系列VPN設備全部採用高性能的工控機作爲硬體栽體，這也就決定著SINFOR設備比低端的嵌入式設備價格高。結束語： 衆所周知，中國的網路環境非常複雜，線路的穩定性不高，國外的一些設備進入中國不無例外的都會出現水土不服的現象，而SINFOR系列VPN産品針對中國網路環境作了大量優化，例如在網路斷開後隧道自動癒合時間以及雙線路備份方面有著無可企及的優勢。NERGEAR和NETSCREEN作爲國外專業的防火牆設備提供商，在防火牆技術方面與深信服科技相比有巨大優勢，但作爲純VPN設備，在中國並不適合使用，而SINFOR系列產品在政府、金融、貿易等的大量成功案例可以很好的證明他的可靠性。