万联证券业务需求 
      万联证券有20多加营业厅，每个营业厅有自己的固定带宽的internet线路，并且有固定的公网  IP 地址，每天，从早上开始，每个营业厅都需要连回总部的核心业务系 统做相关的业务操作，考虑到专线的成本问题，万联证券决定使用VPN技术，但是 由于分支机构（营业厅）没有自己的专业  IT 维护人员，营业厅相关人员  安全意识不 强，需要对这些数据流进行内容过滤，防范可能由营业厅进入到总部核心业务区的 安全风险如病毒、攻击等。
       另外，万联证券总部还有一条冗余ISP线路，提供必要的冗余，防止主链路出现意外中断导致所有的业务系统全部失效，因此，需要各营业厅能够在侦测到总部主 链路失效时自动和备链路建立VPN连接。

  网络拓扑图

方案说明
>  总部的主链路部署一台SonicWALL Pro4060 ，在所有和分支机构建立的 VPN 隧道内启用UTM功能，实时查杀隧道中可能存在的安全威胁，如病毒、攻 击等， VPN 隧道的使用方式为野蛮模式。 
>  在总部的备份线路上部署一台SonicWALL   NSA240作为备份线路的备用 VPN设备，在该设备上开启UTM功能，实时查杀隧道中可能存在的安全威胁， 如病毒、攻击等，VPN 隧道的使用方式为野蛮模式，并且将 NSA240  的identifiter更改为和Pro4060一样，这样，当主链路失效时，分支机构（营业厅）  的所有防火墙就会自动将VPN协商切换到备用的NSA240上，和这台NSA240 建立隧道，使得用户能够继续访问总部的核心业务系统。  在   20  多家分支机构（营业厅）是部署  Pro1260 ，并开启UTM防火墙和总部主链路
>   建立 VPN   隧道，使用野蛮模式，同时在Pro1260上设置 VPN 冗余网关，实现链路自动冗余，一旦侦测到主链路失效，  pro1260 上的VPN DPD 和keep alive 检查机制将会自动终止失效的VPN信息并主动和总部的备份链路实现VPN连接。

设备选型 
    总部使用Pro4060 作为主链路的VPN 防火墙，NSA240 作为总部备份链路的 VPN 防火墙，20 多家分支机构使用  Pro1260 作为营业厅上网路由器和  VPN  防火墙， 部分新开的营业厅则使用NSA240作为上网路由器和VPN防火墙。

实施周期  
    在万联证券网络管理人员的配合下，整理出网络的拓扑图和IP地址分配，各自的 VPN 网段后，通过1个多月的逐步替换实施，总部及 20 多家营业厅均稳定运行至 今已经超过 3 年。