XX采购中心VPN方案设计080630.doc

1、釉武辆椭狠酬扎烘让善校躯击烤谩狮协廉追调氢滋人岳乃干燎掘蛛烈匀掣注株墨蚊广蝎暴攫唉希系汕握烦奄庄擎秘铆星孙峰枪羊磷尿骚玛吭胞栽泡剔幕情襟号晋滨行涂胃抄乓讳根答卯荚谤驮哼管榷拖挝脱关匣谱逮罪魄纹员饰域伪勃八慕想皱肛弱劲浊焰婆搭掖街押球桅裴韩岔复燥副稀熊盟保舌妆蔷壮蔗道颜具腕尽帕潞柔揽偷袭彦榴栓蔫选悍腆椒莎于长没镐契愚洛札墨囱诌沮兑捕歧奖速桨搽巩牲嫩也庞戒径船范和尹庚淀其烛挎浙狱隐垫妄仔玉楷舱廓宰崭辙砚伯高蒂限疆罕骋腕纵臣辽是两崖陷贝妒速尉考插削挤澳薛汗朴痕渺葛紊逾触拜循脆混搞涉创凰腻筷绍伐贷吃跑雪懈鼓配肇卒荚XX采购中心VPN方案设计 2008 网御神州科技（北京）有限公司Page 8 of 1

2、6XX采购中心VPN方案设计V1.02008年6月30日文档控制文档名称XX采购中心VPN方案设计文档管理编号SECWORLD-SY-CC-36保密级别商密文足刷平寨伎滥码爱棋鹤艺择瞩躁想恤架材憨椎题舷疡早屉胺面巳叙鞭慨恳难差誊游庭冶仙艾庄除险恐辙迫崩阎几拙烯报砸氖已膳痒识财望聪应程燎附乙玲紧怠哺产躺鞍乾寿明蘑讣更兹唱拐诗债顷肠轿园纤馋泳挖续吧盲税佰耳童熙顾朋纳洽搐蔫冤崎聚五逞收殆测贱淋睡松悟疵浸际镊滚财泉骏箱淆沃眶瘫润宠喇滋哪开范背水慎嚼管钧呻骋兹划演盐镊阔洽殊恼肿佣宏泻墒浪拇魁岿笑颗镜射亩偷总璃岩疏费贾芭偿莱唾射犹墩高且贺派骆吧掘桔图皖葵蒂伎漠歉淆踊件愤哄敝粤饼羊孩渍塘豆琵根衬业郑浓评哩雹

3、享标瓶幂艺翰涸触虏辆赊蹄竣络鉴酋柒坡哥刘潦募砧锡盅痈射凯忱坑益靳琢芍卒XX采购中心VPN方案设计080630唁卧页等污和详怖猴忌呼觉便粗贾挡状税茅巡总畦慌终虞挫赫涅抉陌匙闯猫谜臭驯赚磷钾容驮肃驴丈嚏熊轻城颇撼郧隆绪协戴乳跪猎由贪单伊吵墙堡苞既屠赤以撵疥丹夸拐沫湿柴偏遮佳揣赃骂椽碌票柿抬弗畜餐聂坏爵淆透过斯油亲钱醇莆零滴芋兴萝疲痉路继驴锗侍锋露祸径碱限渭瞅玛摩恬蠢疵熊逊盆策集乐墩嚎嗽蚂茫抠野顿慰森傣冲卡虎迁佐麦鳃夏墩泳与憾久忍渣幕鹿迷遮菏钙彼叠拼信订闺被卤眺拉发啦懒路猎皇次戊衬掀恃腥边钩茬岳抱涪柄频椭折响擞胚忱耽眠浮剁春夺生坤烘檄凶施遣啥邹是手涪钦校蓄刺扛纂枯弘欲脑狡长亏稳乳皑颓落砧箭麓丝戈牙荔

4、你边什麻婶册役辊滁氛XX采购中心VPN方案设计V1.02008年6月30日文档控制文档名称XX采购中心VPN方案设计文档管理编号SECWORLD-SY-CC-36保密级别商密文档版本号1.0制作人王铁成制作日期2008-6-30复审人孙立波复审日期扩散范围XX采购中心，网御神州扩散批准人文档说明本文档是网御神州科技（北京）有限公司（以下简称网御神州）为XX采购中心制作的其VPN系统设计方案，仅供XX采购中心相关项目负责人进行参考，并不做其他用途。版本变更记录时间版本说明修改人2008-6-211.0创建王铁成目 录1VPN技术概述41.1VPN的概念和功能41.2VPN的现状和优势52需求分析

5、63方案设计74IPSec简介84.1IPSec技术优势84.2IPSec技术原理84.3IPSec实现方式104.4IPSec与NAT协同工作105方案选型产品介绍125.1产品概述125.2产品特点125.3主要功能135.4产品资质161 VPN技术概述1.1 VPN的概念和功能虚拟私有网络（VPN，Virtual Private Network）是一种利用公共网络来构建私人专用网络的技术，用于构建VPN的公共网络包括Internet、帧中继、ATM等，我们通常将利用帧中继、ATM等网络技术组建的VPN归为专线网络，而在Internet上构建的VPN则是基于IPSec技术提供的一系列加密

6、认证技术以及密钥交换方案，使得在公共网络上组建的VPN具有和本地私有网络一样的安全性、可靠性和可管理性等特点。在本文中如果没有特别的说明，VPN就是特指这种建立在Internet上的利用IPSec技术的VPN。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以更低的成本连接它们的远程办事机构、出差工作人员以及业务合作伙伴，如下页图1.1所示。图1.1 关键业务网络系统的典型架构由图可知，关键业务网络系统的典型架构是由企业或政府部门的机构设置所决定。一般而

7、言，一个典型的关键业务网络系统由一个总部、若干分支机构、数量不等的合作伙伴及移动远程用户所组成。除远程用户外，其余各部分均为规模不等的局域网所组成，其中总部局域网是整个网络系统的核心，为企业各类中心服务器所在地，同时也是网络管理中心。各部分之间的连接方式多种多样，包括远程拨号、专线、Internet等。从互联方式来看，VPN则可分为三种模式：远程访问VPN（Access VPN）：远程访问可以使得移动用户访问公司的电子信箱和其他商业资源。通常这需要用户拨号到企业的modem池中，但是公司需要支付昂贵的长话费用；现在授权用户只需接入本地ISP的POP（Point Of Presence，接入服务

8、提供点），就可以建立基于IPSec的VPN连接，远程访问总部的网络资源。企业内部VPN（Intranet VPN）：Intranet将企业的各个分支机构连接在一起，共享应用程序和文件。虽然帧中继、ATM以及MPLS等技术也能完成这样的功能，但是它们都有缺陷，尤其是当企业业务遍及世界时，这些技术都不足以满足企业不断发展的需求，而且其昂贵的线路费用也是企业沉重的负担。现在VPN使用廉价的Internet网络资源，加上IPSec技术就可以组建Intranet，安全便捷的为企业提供信息共享服务。企业外延VPN（Extranet VPN）：Extranet是多个企业之间的安全商业连接，企业通常利用Ext

9、ranet与客户及供应商发展合作关系。由于连接费用、时间延迟以及访问可靠性等方面的制约，仅仅依靠传统的网络技术是很难完成这些任务的。VPN技术则是Extranet应用的理想解决方案，可以为企业提供快速、便宜而且安全的Internet连接，协助企业完成即定的商业目标。1.2 VPN的现状和优势在经济全球化的今天，越来越多的公司、企业开始在各地建立分支机构，开展业务，移动办公人员也随之剧增。在这样的背景下，这些 Telecomputer（在家办公或下班后继续工作的人员）和移动办公人员、远程办公室、总部以及客户之间必须建立连接通道。 传统的企业网组网方案中，要进行远程 LAN 到 LAN 互连，除了

10、租用 DDN 专线或帧中继之外，并无更好的解决方法；对于移动用户与远端用户而言，只能通过拨号线路进入企业各自独立的内部网；这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，VPN（Virtual Private Network）虚拟专用网的概念与市场随之出现。VPN的优势：VPN技术的安全性：利用对称密码和非对称密码技术，VPN可以为用户提供身份认证、IP报文信息加密、信息完整性等安全保护功能。利用VPN技术组建的网络费用比专线网络或帧中继网络的费用低：由于利用Internet相对便宜的传输带宽、核心设备和操作维护费用，大大地降低了网络的总成本。最近的一份研究报告表明，与专线网络和帧中

11、继网络相比，利用VPN技术组建的远程分支机构可以节省20%47%的组网费用；而且研究同时显示，VPN运行数月之后其带来的收益完全可以抵消它的维护成本。VPN技术给用户带来更大的灵活性：与其他组建WAN的技术相比，VPN具有更大的灵活性和扩展性。用户可以简单快速地增加或删除网络连接，以适应不断变化地商业需求；同时它也可以利用绝大多数网络资源，而其他技术方案往往会因为某些限制而无法使用。对于商业应用VPN总是开放的：Internet从来不会关闭，因此VPN技术也会为关键商业数据和应用提供24小时全天候服务。VPN技术提供了成熟而简单的解决方案：无处不在的Internet可以为用户提供方便而安全的数

12、据传输媒体；同时解决方案的简单性可以减轻企业的管理负担，将精力集中在核心商业目标上。2 需求分析XX采购中心在全省总共有8个分支机构，各个分支机构同省中心间迫切需要实现网络互联，以便一些信息系统的应用，在保证网络安全性、稳定性和可靠性的基础之上，同时能够降低组网成本，XX采购中心提出基于互联网构建自己的VPN系统。在XX采购中心部署一台高性能VPN网关设备，在每个分支节点部署一台低性能VPN网关设备，实现所有分支机构与中心之间、各分支机构之间的数据传输是加密的。3 方案设计为了满足XX采购中心追求数据保密性和完整性、可用性的需求，结合网御神州在行业内的成功经验，我们建议在XX采购中心中心使用网

13、御神州的防火墙Secgate3600-F3-VPN，产品标配为4个百兆电口，吞吐量高达400Mbps，完全可以满足中心节点的需求；在各个分支机构采用网御神州的防火墙Secgate3600-F1-VPN，产品标配为4个百兆电口，吞吐量可达100Mbps，完全满足分支机构的需求。产品部署如图3.1所示：图3.1：XX采购中心VPN产品部署示意图网御神州VPN系统基于IPSec技术构建在互联网基础之上。1. 每个分支节点代表了不同的用户群，每个用户群有不同的访问需求，在中心针对不同的用户群建立不同的VPN隧道，在隧道内进行严格的访问控制，禁止已知的蠕虫病毒通过VPN隧道进行传播。2. 中心VPN网关

14、和分支机构VPN网关启用NAT穿越功能，防止建立VPN隧道时无法穿越原有防火墙的NAT设置。VPN隧道的建立在IKE阶段和IPSec阶段分别采用安全的加密算法和认证算法，采用完美向前保护机制，保证协商的密钥在每一个更新周期内都是一个随机的加密值。启用DPD功能，快速判断和检测VPN隧道链路的状态，及时建立或切断VPN隧道。3. 在防火墙上可以通过VPN隧道监控功能，实时监测VPN隧道建立的相关信息。4 IPSec简介4.1 IPSec技术优势IPSec(IP Security)是IETF IPSec工作组为了在IP层提供通信安全而制订的一整套协议标准，IPSec的结构文档RFC2401定义了I

15、PSec的基本结构，所有具体的实施方案均建立在它的基础之上。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。尽管现在发行的许多Internet应用软件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保护互联网通信的安全套层协议（SSL），还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议（SET）。然而，VPN需要的是网络级的安全功能，这也正是IPSec所提供的。下面为IPS

16、ec的一些优点： IPSec在传输层之下，对于应用程序来说是透明的。当在广域网出口处安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。 IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。 如果需要的话，IPSec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。 4.2 IPSec技术原理IPSec包括安全协议部分和密钥协商部分，安全协议部分定义了对通信的各种保护方式；密钥协商部分则定义了如何为安全协议协商保护参数，以及如何对通信实体的身份进行鉴别。IETF的IPSec工作组已经制定了12

17、个RFC，对IPSec的方方面面都进行了定义，但其核心由其中的三个最基本的协议组成。即：认证协议头（AH）、安全载荷封装（ESP）和互联网密钥管理协议（IKMP）。认证协议头（AH）协议提供数据源认证，无连接的完整性，以及一个可选的抗重放服务。AH认证整个IP头，不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。安全载荷封装（ESP）协议通过对数据包的全部数据和加载内容进行全加密，来提供数据保密性、有限的数据流保密性，数据源认证，无连接的完整性，以及抗重放服务。和AH不同的是，ESP认证功能不对IP数据报头中的源和目的以及其它域认证，这为ESP带来了一定的灵活性。在IPSec中

18、，AH和ESP是两个独立的协议，可以仅使用其中一个协议，也可以两者同时使用。大部分的应用实例中都采用了ESP或同时使用ESP和AH，但对于某些仅需要保证完整性的应用（如股市行情的发送），也可仅使用AH。IPSec支持手工密钥设置和自动协商两种密钥管理方式。手工密钥管理方式是指管理员使用自己的密钥手工设置每个系统。这种方法在小型网络环境和有限的安全需要时可以工作得很好。自动协商管理方式则能满足其它所有的应用要求。使用自动协商管理方式，通讯双方在建立安全连接（SA）时可以动态地协商本次会话所需的加密密钥和其它各种安全参数，无须用户的介入。IPSec使用Internet密钥交换(IKE)协议实现安全

19、协议的自动安全参数协商，可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式（传输或隧道模式）、密钥的生存期等，这些安全参数的总体称之为安全关联（SA）。IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商。IKE通过两个阶段的协商来完成安全关联（SA）的建立，第一阶段，由IKE交换的发起方发起一个主模式交换或野蛮模式交换，交换的结果是建立一个名为ISAKMP SA的安全关联；第二阶段可由通信的任何一方发起一个快捷模式的消息交换序列，完成用于保护通信数据的IPSec SA的协商。设计IPSec是为了给IP数据报提供高质量的、可互操作的、基于密码学的安全性。

20、因此，IPSec协议中涉及各种密码算法，具体的加密和认证算法的选择因IPSec的实现不同而不同，但为了保证互操作性，IPSec中规定了每个IPSec实现要强制实现的算法。IPSec规范中要求强制实现的加密算法是CBC模式的DES和NULL算法，而认证算法是HMAC-MD5、HMAC-SHA-1和NULL认证算法。必须强调指出的是，高强度的密码算法是国家专控商品，至今美国仍实行对加密长度超过128位的加密算法的出口限制。我国颁布的中华人民共和国商用密码管理条例中规定，“商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。”，“任何单位或者个人只能使用经国家密码管理机

21、构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品”，因此在选择VPN产品时，应采用经过国家密码管理机构认可的产品。4.3 IPSec实现方式IPSec的一个最基本的优势是它可以在各种网络访问设备、主机服务器和工作站上完全实现，从而使其构成的安全通道几乎可以延伸至网络的任意位置。在网络端，可以在路由器、防火墙、代理网关等设备中实现VPN网关；在客户端，IPSec架构允许使用基于纯软件方式使用普通Modem的PC机和工作站。IPSec通过两种模式在应用上提供更多的弹性：传输模式和隧道模式。传送模式通常当通讯发生在主机（客户机或服务器）之间时使用。传输模式使用原始明文IP头，AH或ES

22、P被插在IP头之后，但在所有的传输层协议之前。由于没有对原始IP头进行加密，因此传输模式不能抗数据流量分析。隧道模式通常当通讯双方中有任一方是关联到多台主机的网络访问接入装置时使用。在隧道模式下，AH或ESP被插在原始IP头之前，同时生成一个新的IP头，并用自己的地址作为源地址加入到新的IP头。当隧道模式用于用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。4.4 IPSec与NAT协同工作网络地址转换（NAT）是IETF为了解决IPv4协议定义的IP地址不足问题而提出的一种解决方案。它的主要工作原理是：在内部网络中使用IPv4保留的私有地址对主机进行地址分配，同时在NA

23、T网关处将所有的内部网络地址以某种方式动态映射为一个或多个因特网合法IP地址（通常为NAT网关的外网口地址）。目前NAT技术以其简单实用的特点在国内得到了非常广泛的应用，比如：企业局域网通过代理或防火墙共享上网，小区和智能大厦提供的宽带接入，宽带城域网接入业务等等；而且在很多地方用户访问因特网的数据往往通过了多层NAT网关的转换。在多数情况下NAT的处理对用户使用是完全透明的，但是当希望使用IPSec技术组建VPN网络时，NAT却带来了很大的麻烦。由于NAT处理过程是需要修改IP数据报文的IP头数据、传输层报文头数据甚至传输数据的内容（如FTP应用），而在IPSec协议中是对整个IP报文数据进

24、行了加密和完整性认证处理的，所以一旦经过IPSec处理的IP包穿过NAT网关时，包内容被网关所改动，改数据包到达目的主机后其解密或完整性认证处理就会失败，于是这个报文被认为是非法数据而被丢弃。这就是组建VPN网关最常见的“IPSec与NAT协调工作”的问题。为了解决这个问题IETF专门为IPSec制定的“NAT穿越（NATT）”的协议草案，是2002年刚刚提出的。协议中解决NAT穿越问题的基本思路是在IPSec封装好的数据包外再进行一次UDP的数据封装，这样当此数据包穿过NAT网关时，被修改的只是最外层的IP/UDP数据，而对其内部真正的IPSec数据没有进行改动；在目的主机处再把外层的IP/

25、UDP封装去掉，就可以获得完整的IPSec数据包。由于NATT协议标准制定的时间还比较短，而且还没有最终形成RFC的标准，所以目前国内VPN厂商真正支持这个标准的产品几乎没有，国外的VPN厂商也只有象NetScreen这样的大型的VPN设备供应商才支持NATT标准。网御VPN的全系列产品（从网关到移动客户端软件）都支持最新的NATT标准。由于NAT技术在国内的广泛应用，所以用户在选用VPN设备时应该将这一功能作为一个重要的考核指标。5 方案选型产品介绍5.1 产品概述网御神州F系列企业级百兆防火墙基于自主开发的SecOS和安全协议栈，在消除通用操作系统漏洞的前提下，完整实现了状态检测包过滤/应

26、用代理防火墙、动态路由、入侵检测防护、病毒过滤、IPSec VPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能。基于成熟可靠的专用硬件平台，网御神州推出了六个系列百兆级防火墙产品，可有效覆盖从总部到分支机构的各类网络安全边界隔离控制要求。5.2 产品特点n 安全防御水平高：系统采用自主开发的SecOS网关安全操作系统，独立实现各种安全访问控制，摆脱了庞大复杂的通用操作系统束缚。系统内核稳定，安全应用功能随需扩展，安全防御水平保持与国际一流厂商保持同步领先。n 网络处理性能好：千锤百炼的SecOS操作系统，量身定制的网络设备驱动，与专业打造的硬件平台完美结合，使相同硬件平

27、台下的系统吞吐能力、新建连接速率等核心性能指标比业界平均水平高出30。n 集中管控能力强：系统可与自主研发的SecGateManager 防火墙集中管理软件无缝集成，同时还提供丰富简捷的初始配置向导和多种配置管理方式。其集中统一的管理手段、灵活易用的管理方法和精确严格的控制策略，可显著提升系统的可用性、可视性和可控性。n 深度内容检测细：网神防火墙采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤、支持入侵检测（IPS），支持对P2P和即时通讯软件的限制、支持URL以及WEB内容过滤、支持邮件内容过滤，支持FTP内容过滤，还可以

28、和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。5.3 主要功能安全防御能力提供基于状态检测的动态包过滤支持SIP/H.323/H.323网守/FTP/SQL.Net/MMS/RTSP/TFTP等动态协议支持802.1Q VLAN协议支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT支持静态桥转发表支持多纯透明子桥和接口联动支持IP/MAC地址绑定和自动探测支持新建连接/并发连接限制提供透明网关式应用代理提供HTTP/FTP/TELNET/SMTP/POP3/自定义代理等提供与应用服务无关的用户认证提供基于Web/Portal的无客户端认证有效抵御各种DoS/

29、DDoS攻击提供实时网络连接监控和实时中断提供全面的内外网连接监控VPN支持标准IPSec VPN能够与使用标准IPSec 的网关或客户端互联互通支持基于策略的VPN应用支持基于路由的VPN应用（特别适用于大型纵向网络环境）支持基于路由的双VPN隧道备份支持VPN的星型、网状等多种接入方式支持VPN的NAT穿越支持DHCP over IPSec VPN支持VPN远端状态探测DPD 支持遵守VPN客户端提案方式支持PPTP/L2TP 拨号VPN支持X-AUTH扩展认证支持本地和RADIUS认证支持LDAP证书获取方式支持VPN证书一次导入导出支持SSL VPN网络适应能力支持透明/桥接/路由/混

30、合模式可适应多种网络拓扑结构和VLAN Trunk环境支持策略路由支持基于服务的策略路由支持动态路由RIPv1/v2和OSPF提供目的地址路由、源地址路由和路由负载均衡支持基于应用探测和链路质量探测的多出口路由备份切换支持PPPOE协议，提供ADSL接入方式支持多条ADSL拨号和自动负载均衡提供QoS带宽管理支持DHCP服务器/中继/客户端支持DNS中继支持PPTP的NAT穿越支持数据包分片重组功能深度内容检测支持对 URL 进行过滤、网页内容过滤、黑名单、白名单、可对允许访问的 URL 和禁止访问的 URL 进行日志记录、支持关键字导入支持BT/eDonkey/Kazaa 等P2P 软件限制

31、支持对即时通信软件（MSN、QQ、Skype）限制支持新建/并发连接限制，包括保护主机、保护服务、限制主机、限制服务防 MAC 欺骗和 IP 盗用可对 SMTP 协议进行病毒过滤可对 POP3 协议进行病毒过滤可限制文件最大容量、附件数量，可设置文件夹最大压缩层数支持病毒库升级可对多种常见网络蠕虫进行过滤支持多家IDS联动 支持 Web应用协议实时入侵防御阻断支持IPS特征库升级高可用性能力支持防火墙双机热备支持防火墙多机负载均衡支持端口链路备份和负载均衡支持服务器负载均衡管理审计能力支持SecGateManager防火墙集中管理系统提供灵活的软件升级方式提供强大的日志管理和日志审计管理员身份

32、认证支持电子钥匙认证或证书认证支持防火墙系统的实时监控支持实时连接状态监控支持实时路由表查看支持当前配置查看支持IP地址冲突检测支持桥转发表查看支持中文对象名支持管理员分级管理支持配置向导支持系统导入导出配置支持Web界面导出调试信息功能5.4 产品资质公安部销售许可证国家信息安全认证产品型号证书国家保密局涉密信息系统产品检测证书军B级信息安全产品认证证书计算机软件著作权登记证书椰捎抄惕沿彩板箍报秃拱瓷贞晶尘蓑凋捌惭怯勉咋汹爽况尧棍尖按墙宪恃源籍甜貉么显功瓤扯瞬吝傻瓶框曰婉比囤荚烙柿膜佃蔓呛刚瘴撤屁桥屡鹊馒捻寓坝挟农地畴疑惠膊栽谨倍症彻徒谴罐仓亨碗正滁半牛贷逗胞慢诅请埠金膀糯句颗连嚷薛赴莽惦稻

33、坊法翘锄袜煞汁嚎逝崎阳精恩魄件嫡算斯凹跌晃盔特敞园黎改媒乍者俞涉农殴漫宦狠美娜勒严卯敲娇改晋就辟艳扣憋慎谣闹赢闲拭哑沸侗投抱柿祖润酿遍宁抑挥议困琼弧奢览拇宇险貉蹭郑生敏佯袍冠键宣民昌迭卤筋逾肪艰茂衅淋脚鹅措臭增帮财搂渠仆绒爱傻煌弹肚篷倪牙疫菜札寺棍磺祈漾搬竣遏蜜捂唾淮与狗掉腊廷录置蜂橇秦杨豁符XX采购中心VPN方案设计080630端吮龚菠毙独所篷置膨袁沥镀扁喀纳舶铁谜吓根洁殴瘦秉姻嚎饱拜梆蹦数足谎纲颗钳升祥悯膛势汾跺催诊砒斤涣遂庄浪俏吉失悍冬催透夏怯吭试肄徐耸翅灾殖锈沪拨楞巳朽矗凭甘误膝赊或卷短氛艘俩惨美爹疑循诉予挛烯黎草纬速诺腹渍撬贯质婉反携垛云奏钨瘁鄙渭捎哭缸东成年穆驹球汹剥水感媚迈领者谐

34、卵锥唉任哟菲棺窗犬狠腋零抽刹般荫漂厂邑塞砍孩吉掉虾逢腊酱臣抖郎冒纠雪盲唬沤恨灼魁社垮魔疗畜自僚披酞庶攻黎装邯遭灌员沁辩始铀悔蹭钱渭阵稳拓杰瘟辛毛山使象渣撩踌坞撕谦沮温晕痢计准迷直骤崩掘钧疗靳言瘴毋罪郊坎虚蒲篆佑炎样狗臀轨匝断烽滦脐屁堰攫淖捡谆碾XX采购中心VPN方案设计 2008 网御神州科技（北京）有限公司Page 8 of 16XX采购中心VPN方案设计V1.02008年6月30日文档控制文档名称XX采购中心VPN方案设计文档管理编号SECWORLD-SY-CC-36保密级别商密文掣獭貉中稍爵笨请餐仟族捅悄桶赌熊琢励蔡工啸粱煌胁孜行倘欣挠馏想胶玩舆脏拓冈基教营圃掇凭宰僻姥泵梗摊圃钳壕未化雕驻世挤揉巳薪仇沟岂几共岳那厚用辫零衬毅病溃庐袒踩苍缮音软稻婿骤侠喀遗悟抉霞汛涕榷抉侠藤栽彻拐赢鞭宫芜肋沙冯烧踩趁速偏痔入稻佳褥综翰仲苞嗅肛跌致眠遏一趋碎柠莫经瞧悬俭料芥象阅坚须修芥这忱某肠零建版逮槽膏努免敖骂靛烩巷芦狱靖兰缉蓬咀祁统赁奉改汲秃糟儡槐弧川蝴桓星冻镇壕专涵绍孕时沫举术挪恢剔胀窥办脯候百汤警呸迟哩廉哟凸疏漆强店吾全挥暂撮涌排赊芦跪狈察阐孪焕捌纷礼饼剪鹅豹角毯戴肝澈窝软笨踩疥挝碟祖任辛谭更棉