VPN设备在部署时，经常会需要与防火墙配合使用，下面我们来介绍一下主要的几种部署方式，客户可结合自己的网络状况及应用需求，选择适合的部署方案。
　　
　　一、串联模式
　　
　　串联模式下,分为防火墙透明模式/路由模式、防火墙NAT模式。
　　
　　1、防火墙透明模式、 防火墙路由模式：
　　
　　即将VPN部署在防火墙前面，置于网络的公网出口，如图一所示：
　　
　　
　　
　　
　　
　　
　　图一 防火墙透明模式、路由模式
　　
　　在防火墙透明模式下和路由模式下，VPN放置在网络的公网出口上，其特点就是客户的网络设备(包括主机、路由器、工作站等)和所有计算机的设置（包括IP地址和网关）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，用户管理也非常简便。
　　
　　2、防火墙NAT模式
　　
　　即将VPN设备接在防火墙与内网交换机之间。如图二所示：
　　
　　
　　图二 防火墙NAT模式
　　
　　此模式下，对于内网中的计算机，也不需要做改动，用户管理很方便。因VPN设备是放在防火墙的后面的，没有公网地址，所以远程管理不是很方便。在此模式下做部署时，需要详细了解防火墙的设置，因为在防火墙的权限没有放开的情况下，会导致VPN设备不可用。如果两个均部署在防火墙后面的VPN设备需要互访，需通过第三方（有公网IP地址的VPN设备）中转，如果连接点较多，应使用一台高性能的第三方设备以减轻压力。
　　在此模式下，要求VPN设备支持NAT-T协议。
　　
　　串连模式下部署的不足，是增加了单点故障，并可能造成性能上的瓶颈。
　　
　　二、并联模式：
　　
　　并联方式即指将VPN设备与防火墙、路由器并行接入原有网络，如图三所示：
　　
　　
　　图三　VPN设备和防火墙并行
　　
　　并联方式需要多个公网IP地址或多根公网线路，在用户IP及线路资源充裕情况下,可以采用此部署方法，VPN设备与防火墙设备各走各路，互不干扰。
　　
　　串连模式下部署的不足，是在客观上造成多个公网出口，病毒等的入侵渠道会有所增加。
　　
　　三、单臂技术
　　
　　所谓单臂技术是指：VPN设备只接一个WAN口到内网交换机中，LAN口不需要接线，即把VPN设备当作一台内网服务器或主机，专门处理VPN报文的加解密。
　　
　　如图四所示：
　　
　　
　　图四　单臂技术
　　
　　单臂技术方式能在对用户环境最小改动的前提下部署VPN，增加了VPN设备对网络环境的适应能力 。
　　因VPN设备WAN口不连公网，没有公网地址，所以远程管理同样不是很方便，并且也需要详细了解防火墙的设置，以防因防火墙的权限影响VPN设备使用。多个同样部署的VPN设备互访，也需通过第三方（有公网IP地址的VPN设备）中转，如果连接点较多，应使用一台高性能的第三方设备以减轻压力。
　　
　　综上所述，VPN设备在与不同的防火墙模式结合使用时，有多种的部署方案，每种部署方案均有各自的优势和不足，用户在选择时，请结合自己的防火墙设备的特点、网络状况及主要应用需求、灵活选择。上海冰峰网络愿为您提供高效、安全的VPN解决方案。