网络给企事业单位的发展以及个人的生活带来了深远影响，通过Internet可以很方便的进行异地数据的存取，显著提高了企事业单位的工作效率和人们的生活质量。不过人们在享受高科技给生产生活带来便利的同时，不能忽视互联网开放所带来的数据安全问题。为了保证数据安全传输以及专业人员的正常访问，企业应重视利用防火墙构建VPN的应用。

　　1利用防火墙构建VPN介绍

　　1.1体系结构设计

　　对安全隧道代理（STA）而言，当VPN用户代理（UA）将请求建立在安全隧道基础上后，接受安全隧道代理请求，并通过VPN管理中心对其进行控制和管理。这种安全隧道可以建立在公用互联网上，用于用户端信息的透明传输，在这个过程中密钥的分配以及用户身份的认证和管理之间相互独立，彼此互不干扰，不过其都在VPN密钥分配中心以及用户认证管理中心管理下进行。用户代理主要包括用户认证（UAF）、访问控制（ACF）以及安全隧道终端功能（STF）三种形式，对于一套完整的VPN服务来讲应由以上三个部分提供用户高层应用服务，其中VPN安全传输平面（STP）由VPN管理中心（MC）和安全隧道代理（STA）组成，而安全传输平面的辅助平面公共功能平面（CFP）则有用户认证管理中心（UAAC）和VPN密钥分配中心（KDC）两部分构成，它除了负责密钥的分配和管理密钥外，还能提供相对独立的用户认证给VPN用户代理。用户认证管理中心（UAAC）和VPN用户代理进行直接联系，不但可以向安全隧道代理提供用户代理身份认证，而且必要情况下，还可以和安全隧道代理（STA）进行联系。另外，安全隧道代理和VPN用户代理还可以提供双向的身份认证。

　　1.2软件介绍

　　本文介绍的设计方法建立在CheckPointFirewall-1硬件防火墙基础之上，该类软件防火墙在市场上出现较早，其最大的优点是能够移植到不同平台上，例如可以在WinNT、Unix以及Win2K等平台上使用，除此之外，该防火墙还具备较强的中和性能。

　　2使用防火墙构件VPN步骤介绍

　　Firewall-1中为了覆盖所有VPN操作，可将新的规则加入PolicyEditor规则集中，例如为了在网络中建立加密通信通道，仅需要加入两条规则就能实现交换密钥的功能。另外，如有其他需求还应将Encrypt加入规则集中的Action这一列。具体操作流程介绍如下：①单击“开始”找到“程序”中的CheckPointManagementClients这一行，单击其中的PolicyEditorNGFP2，会出现CheckPointPolicyEditor的命令窗口，输入要实现功能的命令后，单击OK按钮保存设置。②找到Rules中的AddRule用户添加规则，单击Below，同时找到PolicyEditor的RuleBase面板中单击“桌面安全等级”即DesktopSecurity|Standard。③在InboundRules中找到Action单击后选择QueryColumn。④在RuleBaseQueryClause对话框选择Notinlist这一栏单击Encrypt，通过单击Add按钮将Encrypt添加到InList这一栏中，设置完毕后单击Close关闭，对于OutboundRules的设置参考上述的③、④。⑤单击Rules，找到AddRule，单击Below。⑥在InboundRules区域中，在列表的最下面位置找到新规则，并在Source这一栏中右击Any，选择Add后，将AddObject打开。⑦选择LocalGateway即本地网关，单击OK保存设置。⑧找到InboundRules区域，找到添加规则后，通过单击Below添加另一条VPN规则。⑨单击RemoteGateway后单击OK。⑩右击Action这一栏下的Accept，选择Encrypt。右击Track栏中的None，选择Log。在高亮显示的InboundRules区域中通过单击Rules、Below按钮添加另外的VPN规则。在Source栏中右击Any，选择Add后会出现AddObject对话框，单击RemoteGateway，然后单击OK。同样在高亮的OutboundRules区域进行类似的设置，最后单击OK保存设置。右击Action栏中的Accept，单击Encrypt，并右击Track下的None，选择log，然后单击File文件按钮选择Save保存按钮，将设置的规则进行保存，最后选择File中的Exit将CheckPointPolicyEditor回到桌面。