【正文】 216。對(duì)安全保密部門(mén)來(lái)說(shuō)，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過(guò)濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。 u 可用性：可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。同時(shí)考慮整個(gè)平臺(tái)的統(tǒng)一管理，監(jiān)控，降低管理成本 安全性與可維護(hù)性隨著應(yīng)用的發(fā)展，系統(tǒng)需要處理的數(shù)據(jù)量將有較大的增長(zhǎng)，并且將涉及到各類的關(guān)鍵性應(yīng)用，系統(tǒng)的穩(wěn)定性和安全性要求都相對(duì)較高，任意時(shí)刻系統(tǒng)的安全隱患都可能給用戶帶來(lái)不可估量的損失。第2章 設(shè)計(jì)原則 實(shí)用性與經(jīng)濟(jì)性實(shí)用性就是能夠最大限度地滿足實(shí)際工作的要求，是每個(gè)系統(tǒng)平臺(tái)在搭建過(guò)程中必須考慮的一種系統(tǒng)性能，它是對(duì)用戶最基本的承諾。 綜合性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我國(guó)發(fā)生的網(wǎng)絡(luò)安全問(wèn)題中，管理問(wèn)題占相當(dāng)大的比例，因此建立網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。校園網(wǎng)內(nèi)部網(wǎng)運(yùn)行著辦公業(yè)務(wù)系統(tǒng)、多媒體教學(xué)等等多種業(yè)務(wù)系統(tǒng)。 校園網(wǎng)的內(nèi)部網(wǎng)一般由辦公網(wǎng)、機(jī)房、教室等多個(gè)網(wǎng)絡(luò)組成。.. . . ..園區(qū)網(wǎng)絡(luò)安全整體解決方案設(shè)計(jì)戴彬彬 計(jì)網(wǎng)0931目錄第1章 項(xiàng)目概述 3 校園網(wǎng)網(wǎng)絡(luò)環(huán)境 而且WWW、MAIL等服務(wù)器也直接連接到了三層核心交換機(jī)中。 該校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)方案必須遵循如下原則：設(shè)計(jì)時(shí)需考慮統(tǒng)一管理的原則。節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變?cè)瓉?lái)網(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。通過(guò)采用先進(jìn)的存儲(chǔ)平臺(tái)，保證對(duì)海量數(shù)據(jù)的存取、查詢以及統(tǒng)計(jì)等的高性能和高效率。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。 u 可審查性：出現(xiàn)的安全問(wèn)題時(shí)提供依據(jù)與手段 　　從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō)，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問(wèn)、讀寫(xiě)等操作受到保護(hù)和控制，避免出現(xiàn)“陷門(mén)”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。 網(wǎng)絡(luò)病毒的防范 216。 學(xué)生用戶上網(wǎng)時(shí)間的控制 216。 完整審計(jì) 第4章 項(xiàng)目網(wǎng)絡(luò)安全解決 網(wǎng)絡(luò)病毒的防范 病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個(gè)特征就是用戶數(shù)比較多，會(huì)有很多的PC機(jī)缺乏有效的病毒防范手段，這樣，當(dāng)用戶在頻繁的訪問(wèn)INTERNET的時(shí)候，通過(guò)局域網(wǎng)共享文件的時(shí)候，通過(guò)U盤(pán)，光盤(pán)拷貝文件的時(shí)候，系統(tǒng)都會(huì)感染上病毒，當(dāng)某個(gè)學(xué)生感染上病毒后，他會(huì)向校園網(wǎng)的每一個(gè)角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務(wù)器。 IP、MAC地址的盜用對(duì)校園網(wǎng)的影響：在用戶看來(lái)，校園網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)?lái)很多麻煩的網(wǎng)絡(luò)，因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時(shí)候，自己的電腦上會(huì)經(jīng)常彈出MAC地址沖突的對(duì)話框。216。學(xué)生家長(zhǎng)會(huì)對(duì)學(xué)校產(chǎn)生強(qiáng)烈的不滿，會(huì)認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書(shū)育人。因此，需要對(duì)用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。全程安全的設(shè)計(jì)思想 用戶的網(wǎng)絡(luò)訪問(wèn)行為可以分為三個(gè)階段，包括訪問(wèn)網(wǎng)絡(luò)前、訪問(wèn)網(wǎng)絡(luò)的時(shí)候、訪問(wèn)網(wǎng)絡(luò)后。 每一個(gè)用戶的身份在整個(gè)校園網(wǎng)中是唯一，避免了個(gè)人信息被盜用.216。網(wǎng)絡(luò)攻擊的防范 常見(jiàn)網(wǎng)絡(luò)病毒的防范對(duì)于常見(jiàn)的比如沖擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過(guò)部署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪問(wèn)，追查惡意用戶。當(dāng)IGMP源端口檢查打開(kāi)時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。事后的完整審計(jì) 當(dāng)用戶訪問(wèn)完網(wǎng)絡(luò)后，會(huì)保存有完備的用戶上網(wǎng)日志紀(jì)錄，包括某個(gè)用戶名，使用那個(gè)IP地址，MAC地址是多少，通過(guò)那一臺(tái)交換機(jī)的哪一個(gè)端口，什么時(shí)候開(kāi)始訪問(wèn)網(wǎng)絡(luò)，什么時(shí)候結(jié)束，產(chǎn)生了多少流量。 網(wǎng)絡(luò)流量的查看STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的察看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運(yùn)營(yíng)的開(kāi)始，用戶網(wǎng)絡(luò)故障的排除會(huì)成為校園網(wǎng)管理工作的重點(diǎn)和難點(diǎn)，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個(gè)流程：網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的P2P軟件的使用，已經(jīng)對(duì)各種網(wǎng)絡(luò)業(yè)務(wù)的正常開(kāi)展產(chǎn)生了非常嚴(yán)重的影響，有的學(xué)校甚至因?yàn)镻2P軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。 第二：各種新型的，對(duì)網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。：銳捷的流量管理與控制方案銳捷網(wǎng)絡(luò)的流量管理主要通過(guò)RGNTD+日志處理軟件+RGSAM系統(tǒng)來(lái)實(shí)現(xiàn)。而且，對(duì)于以后新出現(xiàn)的功能更加強(qiáng)大的下載軟件，都不必?fù)?dān)心用戶任意使用造成帶寬擁塞。 第三：能夠?qū)W(wǎng)絡(luò)中的各種流量了如指掌，可以對(duì)用戶經(jīng)常訪問(wèn)的資源進(jìn)行分析對(duì)比，為應(yīng)用系統(tǒng)的建設(shè)、服務(wù)器的升級(jí)改造提供數(shù)據(jù)支持；能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量，從而進(jìn)行有效的防范，結(jié)合認(rèn)證計(jì)費(fèi)系統(tǒng)SAM，能夠捕捉到事件源頭，并于做出處理。軟件防火墻以checkpoint 公司的FirewallI為代表，其實(shí)現(xiàn)是通過(guò) dev_add_pack的辦法加載過(guò)濾函數(shù)（Linux，其他操作系統(tǒng)沒(méi)有作分析，估計(jì)類似），通過(guò)在操作系統(tǒng)底層做工作來(lái)實(shí)現(xiàn)防火墻的各種功能和優(yōu) 化。另外一種就是基于PC架構(gòu)的使用經(jīng)過(guò)定制的通用操作系統(tǒng)的所謂硬件防火墻。國(guó)內(nèi)廠家的防火墻硬件平臺(tái)基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是可以節(jié)省硬件開(kāi)發(fā)成 本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量而已。各廠家的區(qū)別僅僅在于對(duì)Linux系統(tǒng)本身和防火墻部分（，）所 作的改動(dòng)量有多大。目前國(guó)內(nèi)廠家也已經(jīng)認(rèn)識(shí)到這個(gè)問(wèn)題，有些在做一些底層的工作，但有明顯成效的，似乎還沒(méi)有。以上諸多工作，其實(shí)基本上都沒(méi)有對(duì)內(nèi)核源碼做太大改動(dòng)，因此從個(gè)人角度來(lái)看算不上可以太夸大的地方。我們也可以登記自己的處理函數(shù)，在功能上作 擴(kuò)展（如加入簡(jiǎn)單的IDS功能等等）。A．管理上的安全性防火墻需要一個(gè)管理界面，而管理過(guò)程如何設(shè)計(jì)的更安全，是一個(gè)很重要的問(wèn)題。這樣做的顯著特點(diǎn)就是降低了設(shè)計(jì) 上的難度，由于管理通信是單獨(dú)的通道，無(wú)論是內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)還是DMZ內(nèi)主機(jī)都無(wú)法竊聽(tīng)到該通信，安全性顯然很高，而且設(shè)計(jì)時(shí)也無(wú)需考慮通信過(guò)程加密 的問(wèn)題。對(duì)加密這個(gè)領(lǐng)域了解不多，不做詳細(xì)討論。 另外對(duì)于ICMP攻擊，可以通過(guò)關(guān)閉ICMP 回應(yīng)來(lái)實(shí)現(xiàn)。第二，防火墻將內(nèi)網(wǎng)的實(shí)際地址隱蔽起來(lái)，外網(wǎng)很難知道內(nèi)部的IP地址，攻擊難度加大。事實(shí)上，內(nèi)網(wǎng)主機(jī)可能會(huì)透過(guò)防火墻下載執(zhí)行攜帶木馬的程序而感染。內(nèi)部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。防火墻本身防止郵件詐騙非常簡(jiǎn)單，不接收任何郵件就可以了。另外有一些其他的網(wǎng)絡(luò)安全性分析工具本身具有雙刃性，這類工具用于攻擊網(wǎng)絡(luò)，也可能會(huì)很有效的 探測(cè)到防火墻和內(nèi)部網(wǎng)絡(luò)的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率，從而提高了防火墻的安全性。但如果防火墻采用了透明模式，即采用類似網(wǎng)橋的方式運(yùn)行，用戶將不必重新設(shè)定和修改路由，也不需要知道防 火墻的位置，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用。此時(shí)防火墻相當(dāng)于一個(gè)ARP代理的功能。另外， 防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時(shí)實(shí)現(xiàn)應(yīng)用層代理、過(guò)濾等功能），此時(shí)需要端口轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)（？這個(gè)地方不是十分清 楚，也沒(méi)找到相關(guān)資料）。內(nèi)網(wǎng)主機(jī)在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時(shí)防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時(shí)不是透明模式）。目前國(guó)內(nèi)大多防火墻都實(shí)現(xiàn)了透明代理，但實(shí)現(xiàn)了透明模式的并不多。防火墻的可靠性也表現(xiàn)在兩個(gè)方面：硬件和軟件。國(guó)內(nèi)已經(jīng)有部分廠家意識(shí)到了這個(gè)問(wèn)題，開(kāi)始自行設(shè)計(jì)硬件。一方面是可靠性體系建立不起來(lái)，一方面是為了迎 合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴(kuò)充和修改中，其可靠性更不能讓人恭維。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求。一般另有可選功能：VPN、帶寬管理等等。VPN、帶寬管理往往成為標(biāo)準(zhǔn)模塊。c． 100－數(shù)百用戶這個(gè)區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這樣的中高端 防火墻國(guó)內(nèi)較少，有也是25－100用戶的升級(jí)版，其可用性令人懷疑?？偟膩?lái)說(shuō)，防火墻的價(jià)格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功 能越多，價(jià)格就越貴。下邊對(duì)一個(gè)中小型企業(yè)級(jí)防火墻的研發(fā)費(fèi)用作個(gè)簡(jiǎn)單的估計(jì)。顯然，這個(gè)數(shù)字只是一個(gè)局外人估計(jì)的下限，實(shí)際的研發(fā)應(yīng)該超出這個(gè)數(shù)字很多。防火墻的靈活性主要體現(xiàn)在以下幾點(diǎn)：a． 易于升級(jí)b． 支持大量協(xié)議c． 易于管理（如納入通用設(shè)備管理體系（支持SNMP）而不是單列出來(lái)）d． 功能可擴(kuò)展這里對(duì)功能可擴(kuò)展做一簡(jiǎn)單討論。另外，靈活性 一開(kāi)始也往往不是前期設(shè)計(jì)所能設(shè)計(jì)的很完美的，它需要和用戶具體實(shí)踐相配合。同時(shí)能夠有效降低安全管理的難度，提高安全管理的有效性?！　【钟蚓W(wǎng)防火墻作用：　　(1)　實(shí)現(xiàn)單向訪問(wèn)，允許局域網(wǎng)用戶訪問(wèn)INTERNET資源，但是嚴(yán)格限制INTERNET用戶對(duì)局域網(wǎng)資源的訪問(wèn)。　　(5)進(jìn)行流量控制，確保重要業(yè)務(wù)對(duì)流量的要求?！　∪肭謾z測(cè)　　安裝位置：局域網(wǎng)DMZ區(qū)以及托管機(jī)房服務(wù)器區(qū)?！　【W(wǎng)絡(luò)防病毒軟件控制中心以及客戶端軟件　　安裝位置：局域網(wǎng)防病毒服務(wù)器以及各個(gè)終端　　防病毒服務(wù)器作用：　　(1)　作為防病毒軟件的控制中心，及時(shí)通過(guò)INTERNET更新病毒庫(kù)，并強(qiáng)制局域網(wǎng)中已開(kāi)機(jī)的終端及時(shí)更新病毒庫(kù)軟件?！　?5)　監(jiān)控郵件收發(fā)軟件，根據(jù)預(yù)定處理方法處理帶毒郵件?！　?2)　拒絕轉(zhuǎn)發(fā)來(lái)自局域網(wǎng)用戶的垃圾郵件并將發(fā)垃圾郵件的局域網(wǎng)　　用戶的IP地址通過(guò)電子郵件等方式通報(bào)網(wǎng)管?！　?dòng)態(tài)口令認(rèn)證系統(tǒng)的作用：　　通過(guò)定期修改密碼，確保密碼的不可猜測(cè)性?！　?3)　收集交換機(jī)等網(wǎng)絡(luò)設(shè)備的工作狀況等信息?！　OS流量管理　　安裝位置：如果是專門(mén)的產(chǎn)品安裝在路由器和防火墻之間?！　?3)　限制非業(yè)務(wù)流量的帶寬?！　?3)　防止局域網(wǎng)感染病毒主機(jī)通過(guò)攻擊的方式感染重要終端。　　二、安全服務(wù)解決方案　　在安全服務(wù)方案中，采用不同的安全服務(wù)，定期對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)、改進(jìn)，以達(dá)到動(dòng)態(tài)增進(jìn)網(wǎng)絡(luò)安全性，最大限度發(fā)揮安全設(shè)備作用的目的。一方面，通過(guò)網(wǎng)絡(luò)拓?fù)浞治觯軌蛐纬删W(wǎng)絡(luò)整體拓?fù)鋱D，為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)日常管理等管理行為提供必要的技術(shù)資料。　　服務(wù)作用：嚴(yán)格控制中心機(jī)房的人員進(jìn)出、設(shè)備進(jìn)出并及時(shí)登記設(shè)備的配置更新情況，有助于網(wǎng)絡(luò)核心設(shè)備的監(jiān)控，確保網(wǎng)絡(luò)的正常運(yùn)行。　　防病毒軟件病毒庫(kù)定期升級(jí)　　服務(wù)對(duì)象：防病毒服務(wù)器、安裝防病毒客戶端的終端　　服務(wù)周期：每周一次　　服務(wù)內(nèi)容：(1)　防病毒服務(wù)器通過(guò)INTERNET更新病毒庫(kù)?！　》?wù)作用：(1)　找出對(duì)應(yīng)服務(wù)器操作系統(tǒng)中存在的系統(tǒng)漏洞?！　》?wù)作用：通過(guò)流量簡(jiǎn)圖找出流量異常的時(shí)間段，通過(guò)檢查流量較大的主機(jī)，找出局域網(wǎng)中的異常主機(jī)。　　白客滲透　　服務(wù)對(duì)象：對(duì)INTERBET提供服務(wù)的服務(wù)器　　服務(wù)周期：半年一次　　服務(wù)內(nèi)容：服務(wù)商在用戶指定的時(shí)間段內(nèi)，通過(guò)INTERNET，使用各種工具在不破壞應(yīng)用的前提下攻擊服務(wù)器，最終提供檢測(cè)報(bào)告。　　服務(wù)作用：一旦核心設(shè)備出現(xiàn)故障，使用備件替換以減少網(wǎng)絡(luò)故障時(shí)間?！　∫陨鲜欠?wù)解決方案，眾所周知，安全產(chǎn)品一般是共性的產(chǎn)品，通過(guò)安全服務(wù)，能夠配制出適合本網(wǎng)絡(luò)的安全設(shè)備，使得安全產(chǎn)品在特定的網(wǎng)絡(luò)中發(fā)揮最大的效能，使得各種設(shè)備協(xié)同工作，增強(qiáng)網(wǎng)絡(luò)的安全性和可用性。其主要作用是在用戶網(wǎng)絡(luò)發(fā)生重要安全事件后，通過(guò)及時(shí)、高效的安全服務(wù)，達(dá)到盡快恢復(fù)網(wǎng)絡(luò)應(yīng)用的目的?！　∽饔茫阂坏┚W(wǎng)絡(luò)出現(xiàn)異常，為用戶提供及時(shí)、有效的網(wǎng)絡(luò)服務(wù)。通過(guò)備份文件的復(fù)原，盡快恢復(fù)網(wǎng)絡(luò)的電子資源?！　?shí)時(shí)檢索日志文件　　支持范圍：　遭到實(shí)時(shí)的攻擊(如DOS，SYN FLOODING等)，需要及時(shí)了解攻擊源以及攻擊強(qiáng)度?！　∽饔茫杭词咕W(wǎng)絡(luò)中出現(xiàn)病毒，通過(guò)及時(shí)有效的技術(shù)支持，在最短的時(shí)間內(nèi)查處感染病毒的主機(jī)并即時(shí)查殺病毒，恢復(fù)網(wǎng)絡(luò)應(yīng)用。　　綜上所述，局域網(wǎng)的安全由三大部分組成，涵蓋設(shè)備、技術(shù)、制度、管理、服務(wù)等各個(gè)部分?！　?3)支持方面，要求服務(wù)商提供故障排除服務(wù)，以提高網(wǎng)絡(luò)的可靠性，降低網(wǎng)絡(luò)故障對(duì)網(wǎng)絡(luò)的整體影響。　　(3)支持方面，要求服務(wù)商提供災(zāi)難恢復(fù)、實(shí)時(shí)日志檢索、實(shí)時(shí)查殺病毒、實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控等技術(shù)支持?！　?3)支持方面，要求能夠?qū)崟r(shí)或者時(shí)候查找攻擊源?！　?duì)于企業(yè)網(wǎng)絡(luò)而言，一個(gè)沒(méi)有配備防火墻的網(wǎng)絡(luò)無(wú)異于“開(kāi)門(mén)揖盜”，安全性無(wú)從談起。　　嵌入式防火墻 : 就是內(nèi)嵌于路由器或交換機(jī)的防火墻。由于互聯(lián)網(wǎng)使用的協(xié)議多種多樣， 所以不是所有的網(wǎng)絡(luò)服務(wù)都能得到嵌入式防火墻的有效處理。如果用戶的服務(wù)器裝有企業(yè)級(jí)操作系統(tǒng)，購(gòu)買(mǎi)基于軟件的防火墻則是合理的選擇?！　√厥夥阑饓?: 側(cè)重于某一應(yīng)用的防火墻產(chǎn)品。而硬件防火墻經(jīng)過(guò)廠商的預(yù)先包裝，啟動(dòng)及運(yùn)作要比軟件防火墻快得多。防火墻的功能與性能考慮　　用戶節(jié)點(diǎn)數(shù)　　在選購(gòu)防火墻時(shí)，用戶需要考慮保護(hù)的節(jié)點(diǎn)數(shù)。生產(chǎn)企業(yè)防火墻的供應(yīng)商大都提供作為選件的中央管理控制臺(tái)。NAT使用戶能夠把專用或非法IP地址轉(zhuǎn)換成合法的公共地址。多對(duì)多尋址將其他網(wǎng)絡(luò)上幾組不同的IP地址映射成內(nèi)部或外部的IP地址。　　對(duì)簡(jiǎn)單網(wǎng)絡(luò)而言，一對(duì)一NAT功能就已足夠。用戶要牢記VPN必須有兩個(gè)端點(diǎn)。捆綁密碼加速器是為了提高VPN