企业总部采用高性能的pro5060utm设备， 该设备具备防火墙功能， vpn 功能、网关防病毒，入侵防御，反间谍软件等功能。
  考虑到分公司连接到总部的连接量，针对各公司的internet接入规模，我们采用不同的sonicwall防火墙设备，推荐规模--产品对应表如下：

 第三章 方案说明
  针对不同的网络规模，我们设计了不同的安全配置来解决安全问题，同时也达到了资源的合理配置、资金的合理利用。
3．1防火墙连接方案
3．1．1总公司
  鉴于总公司的规模比较大，而且企业规模和业务应用模式在呈增长趋势，为应对今后日益扩大的企业规模和业务应用，在配置总公司internet出口防火墙时，必须考虑到设备的可扩展性，因此，我们在总部的internet出口出配置一台高性能的sonicwall pro5060c/utm防火墙，sonicwall pro5060c/utm防火墙有6个10/100/1000mbps自适应端口（1个wan、1个lan，一个dmz端口和3个自定义端口），支持无限用户, 支持多达4000条点到点vpn 隧道和6000个客户端vpn隧道，能够满足公司总部与分公司数据传输和内部访问的安全需要.
  公司总部的局域网接在lan口上，防火墙会阻止所有未经许可的访问到lan口上的电脑；通过这种解决方案有效地保证公司局域网、各类服务器免受来自互联网黑客的各种攻击。移动用户采用vpn 客户端和总部连接。
  sonicwall pro5060utm内部集成的网关防病毒，入侵检测和防御及反间谍软件服务，确保应用层的安全，防护针对windows操作系统和数据库诸如oracle和sql server的攻击，还可以阻断不必要的应用如qq2005 等等，提高员工的工作效率。
3．1．2分公司
  由于分公司的网络应用规模比较小，接入带宽以及连接到总公司的网络流量比较小，因此，针对不同的网络规模，我们为其在internet的出口分别对应配置不同型号的sonicwall utm防火墙。由于sonicwall产品是utm设备，不用担心黑客的攻击。不象其他网络全产品公司，有些型号的产品是收购其他公司，所以不同型号的产品功能有很大区别，sonicwall 全线产品都是sonicwall 公司开发，具备同样的安全防护功能。sonicwall 产品除了支持ddn专线等固定ip地址的线路外，还支持dhcp、pppoe、pptp或l2tp，甚至isdn或电话线拨号。不用担心现在的购买的sonicwall 产品，将来因公司的发展要更换线路而不适用。
3．1．2．1基于adsl拨号上网的分支
  由于前述的adsl的线路特点，充分考虑到网络实时连接的高可用性，我们推荐使用sonicwall tz170sp utm产品，该产品内置modem，可以在主adsl链路断开时自动通过电话拨号上网，解决了实时连接到互联网及总公司的需求。
3．1．2．2针对adsl接入方式且有无线连接需求的分支
  我们采用tz170spw/utm设备，该设备不仅可以冗余internet连接，在主adsl连接断开时自动采用modem拨号方式实时连接到互联网及公司总部，同时解决了无线连接的问题。
3．1．2．3针对小用户（<25用户）的分支
  我们采用sonicwall pro1260/utm设备,该设备内置24个以太口交换机模块,可以在不额外添置局域网交换机的情况下有效利用防火墙的交换机模块解决内部上网连接的需求。
3．1．2．4针对有一定规模接入的分支
  我们采用sonicwall pro2040/utm设备，该设备主要设计用来应对有一定规模网络连接的分支机构的网络安全解决方案。utm功能的实施可以在深层次上解决更多的安全问题。
3．2 vpn 解决方案
3．2．1分公司和总公司的vpn连接
vpn在网络中拓扑示意图如下图所示。

下面是vpn的实现过程。如图下图所示：