【文章內(nèi)容簡(jiǎn)介】 列中，其它的數(shù)據(jù)被放在一般優(yōu)先級(jí)的輸出隊(duì)列中。這種對(duì)重要業(yè)務(wù)和對(duì)時(shí)間敏感數(shù)據(jù)的智能管理特性使本交換機(jī)更適合于的各種應(yīng)用。本交換機(jī)提供了端口流量控制特性，如：IGMP Snooping技術(shù)，它支持組廣播數(shù)據(jù)流的傳輸。IGMP Snooping 緩沖IP組播信息，且只向參加該組播的交換機(jī)端口轉(zhuǎn)發(fā)該數(shù)據(jù)。通過(guò)結(jié)合數(shù)據(jù)隊(duì)列， Snooping，可使多媒體和實(shí)時(shí)數(shù)據(jù)優(yōu)先轉(zhuǎn)發(fā)，同時(shí)對(duì)端口的實(shí)時(shí)監(jiān)控，有限度限制用戶用BT的下載速度，從而避免了帶寬被某用戶因?yàn)橛肂T而造成小區(qū)帶寬被單獨(dú)占有，為其他用戶保證了正常的網(wǎng)絡(luò)傳輸速度，這樣既保證了傳輸性能又避免了不要的網(wǎng)絡(luò)帶寬損耗，將廣播風(fēng)暴的影響減少到了最少。 VLAN （虛以局域網(wǎng)）提供了很高級(jí)別的安全性，VLAN之間不能直接通信，同時(shí)有效地抑制了廣播風(fēng)暴。VLAN的劃分非常方便，可以將網(wǎng)絡(luò)中不同交換機(jī)下用戶劃到同一個(gè)VLAN中，也可以將一臺(tái)交換機(jī)下不同用戶劃分到不同的VLAN中，不需要對(duì)網(wǎng)絡(luò)布局作任何變更。為此，S4108M/S2916F1/s29224F1 提供了一項(xiàng)劃分VLAN的功能，使網(wǎng)絡(luò)管理員可以根據(jù)需要將用戶劃分為幾個(gè)不同的VLAN。這樣既便于管理，又可以提供安全性。被劃分到相同VLAN的用戶可以?xún)?nèi)部共享網(wǎng)絡(luò)資源，并保證各VLAN之間訪問(wèn)的獨(dú)立性。鏈路聚合（Trunk） 也叫端口聚合，交換機(jī)多個(gè)端口可以聚合一起，用以增加網(wǎng)絡(luò)鏈接帶寬，同時(shí)提供網(wǎng)絡(luò)鏈路備份。端口Trunk可以平衡流經(jīng)每個(gè)端口的負(fù)載。S4108M/S2916F1/s29224F1 全面支持Trunk協(xié)議，最多可支持4，8，12組Trunk。應(yīng)用本交換機(jī)可以組建一個(gè)高性能的網(wǎng)絡(luò)，兼顧可用性，可維護(hù)性，可擴(kuò)充性，可適應(yīng)性，可管理性和VLAN安全性；適應(yīng)多媒體下需要，具有開(kāi)放性和互操作性，保護(hù)用的已投資。采用S4108M/S2916F1/s29224F1作為整個(gè)小區(qū)接入用戶的最終匯聚，在網(wǎng)絡(luò)應(yīng)用中，S4108M/S2916F1/s29224F1在多業(yè)務(wù)能力、安全功能、服務(wù)創(chuàng)建能力以及可擴(kuò)展性方面將會(huì)有值得稱(chēng)道的表現(xiàn)。它不僅具備用戶接入管理、身份認(rèn)證、帶寬許可、MAC地址管理和服務(wù)質(zhì)量（QOS）、遠(yuǎn)程監(jiān)控等功能，可以針對(duì)不同的業(yè)務(wù)提供靈活的計(jì)費(fèi)方式，這樣既能夠?yàn)橛脩籼峁┒喾N類(lèi)型的服務(wù)，又滿足了運(yùn)營(yíng)商對(duì)網(wǎng)絡(luò)可運(yùn)營(yíng)性的要求，從而實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)業(yè)務(wù)調(diào)度和管理。同時(shí)，S4108M/S2916F1/s29224F1采用ACL功能，在保證網(wǎng)絡(luò)安全的同時(shí)，能夠節(jié)省防火墻的投資，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，從而實(shí)現(xiàn)了以經(jīng)濟(jì)的構(gòu)架獲取可運(yùn)營(yíng)、可管理、可增值的高性能網(wǎng)絡(luò),為廣州地區(qū)全面實(shí)現(xiàn)智能化小區(qū)作出了強(qiáng)而又力的解決方案。2綜合布線系統(tǒng)對(duì)于現(xiàn)代化的大樓來(lái)說(shuō)，綜合布線就如體內(nèi)的神經(jīng)，它采用了一系列高質(zhì)量的標(biāo)準(zhǔn)材料，以模塊化的組合方式，把語(yǔ)音、數(shù)據(jù)、圖像和部分控制信號(hào)系統(tǒng)用統(tǒng)一的傳輸媒介進(jìn)行綜合，經(jīng)過(guò)統(tǒng)一的規(guī)劃設(shè)計(jì)，綜合在一套標(biāo)準(zhǔn)的布線系統(tǒng)中，將現(xiàn)代建筑的各個(gè)子系統(tǒng)有機(jī)地連接起來(lái)，為現(xiàn)代建筑的系統(tǒng)集成提供了物理介質(zhì)。我們采用的布線方式是：在小區(qū)與城域網(wǎng)之間鋪設(shè)光纖主干, 包括核心主干和二級(jí)主干, 根據(jù)距離可以選擇不同類(lèi)型及型號(hào)的光纖及其他相關(guān)設(shè)備, 并依據(jù)各區(qū)相距的距離, 選擇光纖鋪設(shè), 結(jié)構(gòu)為環(huán)型或網(wǎng)狀星形。 各樓宇內(nèi)部鋪設(shè)五類(lèi)以上雙絞線, 在住戶家中預(yù)留RJ45 信息插座。 圖32 小區(qū)綜合網(wǎng)絡(luò)圖3邏輯傳輸網(wǎng)絡(luò)的設(shè)計(jì)邏輯傳輸網(wǎng)絡(luò)的設(shè)計(jì)主要包括策略路由、流量平衡及控制、IP劃分等方面的內(nèi)容。1策略路由策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制。應(yīng)用了策略路由，路由器將通過(guò)路由圖決定如何對(duì)需要路由的數(shù)據(jù)包進(jìn)行處理，路由圖決定了一個(gè)數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。 應(yīng)用策略路由，必須要指定策略路由使用的路由圖，并且要?jiǎng)?chuàng)建路由圖。一個(gè)路由圖由很多條策略組成，每個(gè)策略都定義了1個(gè)或多個(gè)的匹配規(guī)則和對(duì)應(yīng)操作。一個(gè)接口應(yīng)用策略路由后，將對(duì)該接口接收到的所有包進(jìn)行檢查，不符合路由圖任何策略的數(shù)據(jù)包將按照通常的路由轉(zhuǎn)發(fā)進(jìn)行處理，符合路由圖中某個(gè)策略的數(shù)據(jù)包就按照該策略中定義的操作進(jìn)行處理。 策略路由可以使數(shù)據(jù)包按照用戶指定的策略進(jìn)行轉(zhuǎn)發(fā)。對(duì)于某些管理目的，如QoS需求或VPN拓?fù)浣Y(jié)構(gòu)，要求某些路由必須經(jīng)過(guò)特定的路徑，就可以使用策略路由，一個(gè)策略可以指定從某個(gè)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包只能轉(zhuǎn)發(fā)到某個(gè)特定的接口。2 流量控制網(wǎng)絡(luò)結(jié)構(gòu)中包括骨干和接入兩部分。網(wǎng)絡(luò)骨干指小區(qū)中心機(jī)房與各樓宇間連線部分，采用高速核心級(jí)以太網(wǎng)骨干交換機(jī)，網(wǎng)絡(luò)接入指各個(gè)樓宇內(nèi)到各用戶部分，采用自適應(yīng)速率工作組級(jí)以太網(wǎng)交換機(jī)，可以根據(jù)用戶數(shù)量，確定交換機(jī)端口密度及級(jí)連結(jié)構(gòu)。網(wǎng)絡(luò)布線結(jié)構(gòu)和線纜的選擇設(shè)計(jì)應(yīng)嚴(yán)格遵從以太網(wǎng)設(shè)計(jì)要求，如采用10／100／1000Mbit／s以太網(wǎng)時(shí)，應(yīng)考慮骨干光纖的種類(lèi)及允許傳輸?shù)木嚯x等，對(duì)相關(guān)網(wǎng)絡(luò)布線參數(shù)嚴(yán)格把關(guān)，如：遠(yuǎn)端串?dāng)_、回波損耗等。骨干網(wǎng)采用千兆或百兆以太網(wǎng)技術(shù)，每個(gè)用戶端采用10／100 Mbit／s以太網(wǎng)技術(shù)，并且與出口帶寬相結(jié)合，進(jìn)行流量控制和帶寬調(diào)整，可以采用VLAN技術(shù)縮小用戶的廣播域，提高帶寬使用效率。網(wǎng)絡(luò)設(shè)備的選擇，骨干交換機(jī)擔(dān)負(fù)著全網(wǎng)運(yùn)營(yíng)的重?fù)?dān)，應(yīng)具備高性能（如大吞吐能力），高可擴(kuò)展性（如具有堆疊能力），可配置高端口密度及大吞吐量擴(kuò)展卡，高可靠性，具有冗余設(shè)計(jì)，部件可以帶電插拔，易于更換，良好的服務(wù)質(zhì)量及網(wǎng)絡(luò)控制能力和可管理性，支持通用的網(wǎng)管協(xié)議，如SNMP、RMON等。接入交換機(jī)構(gòu)成的用戶接入網(wǎng)絡(luò)，應(yīng)保持靈活性，可以在樓宇內(nèi)任意擴(kuò)展接入端口數(shù)量。支持高速上行和多個(gè)接入端口，具有一定的網(wǎng)絡(luò)服務(wù)質(zhì)量和控制能力。3 IP劃分IP(Internet protocol互聯(lián)網(wǎng)協(xié)議)地址是在Internet上的站點(diǎn)及相關(guān)設(shè)備的地址，它是由Internet指定數(shù)字委員會(huì)(IAAA)確定的，確保了它在世界上的唯一性。在IPv4技術(shù)應(yīng)用于互聯(lián)網(wǎng)的今天，IP地址資源到2010年將近枯竭，在Ipv6技術(shù)應(yīng)用之前，我們要合理使用IP地址資源。當(dāng)申請(qǐng)到一個(gè)建網(wǎng)的IP地址之后，必須合理地劃分子網(wǎng)，每個(gè)子網(wǎng)中的IP地址要合理使用，既要滿足當(dāng)今的需要，也要預(yù)留將來(lái)網(wǎng)絡(luò)擴(kuò)展時(shí)所需，以便有足夠的各類(lèi)服務(wù)器連入Internet。按照小區(qū)現(xiàn)有用戶500戶左右的規(guī)模,結(jié)合以上分配原則,網(wǎng)絡(luò)中心將給小區(qū)4公寓分配6個(gè)連續(xù)的C類(lèi)IP地址。其中每個(gè)樓層一個(gè)C類(lèi)地址(254個(gè)連續(xù)可用IP地址),每個(gè)房間預(yù)分配5個(gè)IP地址。小區(qū)4公寓網(wǎng)絡(luò)IP地址分配如表1,。DN S:。每個(gè)房間的起始IP的選擇方法如下:以本樓的網(wǎng)絡(luò)IP地址為基礎(chǔ),在其第3段加上本房間所在的樓層號(hào),然后再在其第4段加上本房間所在的房間號(hào)5。表1 小區(qū)網(wǎng)絡(luò)IP分配表樓層IP范圍網(wǎng)關(guān)1層2層3層4層5層6層4網(wǎng)絡(luò)管理平臺(tái)的實(shí)現(xiàn)作為一個(gè)公共的網(wǎng)絡(luò)服務(wù)平臺(tái)，網(wǎng)絡(luò)的可管理性主要包括用戶的安全認(rèn)證、計(jì)費(fèi)、管理等方面。對(duì)于網(wǎng)絡(luò)的配置管理、故障管理和性能管理，以太網(wǎng)的管理是比較簡(jiǎn)單的，如出現(xiàn)流量過(guò)大，需要進(jìn)行網(wǎng)絡(luò)擴(kuò)容及網(wǎng)絡(luò)優(yōu)化等，主要依靠該平臺(tái)保持用戶服務(wù)的可用性。1用戶認(rèn)證與計(jì)費(fèi)與公司內(nèi)部局域網(wǎng)不同，智能小區(qū)網(wǎng)絡(luò)主要向用戶提供網(wǎng)絡(luò)接入服務(wù)，應(yīng)從網(wǎng)絡(luò)通信層次上控制用戶的上網(wǎng)服務(wù)，給予用戶認(rèn)證，并提供全網(wǎng)的計(jì)費(fèi)策略，建立計(jì)費(fèi)服務(wù)平臺(tái)，目前計(jì)費(fèi)的依據(jù)主要有基于流量或時(shí)間兩種方式，關(guān)鍵是如何在原始數(shù)據(jù)上建立自己的資費(fèi)模式。最普遍的模式為固定費(fèi)率，即我們常說(shuō)的包月制，存在著不符合用戶真實(shí)情況，沒(méi)有體現(xiàn)多用多付出的基本原則，只適合于提供服務(wù)初期或提供優(yōu)惠政策時(shí)；基于時(shí)間的資費(fèi)模式，比較合理，但因?yàn)槭腔谝蕴W(wǎng)技術(shù)，只要開(kāi)機(jī)就會(huì)監(jiān)測(cè)到相關(guān)的IP、MAC地址，如果開(kāi)機(jī)而沒(méi)上網(wǎng)，也會(huì)計(jì)費(fèi)，對(duì)用戶也是一種損失；基于流量的計(jì)費(fèi)模式是目前最合理、最公平的，每一個(gè)用戶都有固定的地址，只有在用戶使用網(wǎng)絡(luò)服務(wù)時(shí)才產(chǎn)生流量，依據(jù)此地址的進(jìn)出流量提供報(bào)表作為計(jì)費(fèi)依據(jù)是可行的。但是應(yīng)該考慮到在以太網(wǎng)廣播域內(nèi)部的廣播、組播部分的流量，大部分是用于地址發(fā)現(xiàn)和網(wǎng)絡(luò)正常運(yùn)營(yíng)中產(chǎn)生的流量，可以平均分?jǐn)偨o各個(gè)用戶。記流量這種模式，對(duì)設(shè)備硬件及網(wǎng)管系統(tǒng)有一定要求：能夠基于每一個(gè)地址統(tǒng)計(jì)流量；有足夠的存儲(chǔ)空間存儲(chǔ)計(jì)費(fèi)數(shù)據(jù)；有相關(guān)的賬務(wù)系統(tǒng)，可以給用戶提供賬單。以上三種方式可以結(jié)合使用或者靈活組合，如時(shí)間模式中可以夜間半價(jià)，流量模式中可以計(jì)算下行流量等。對(duì)于多功能系統(tǒng)網(wǎng)絡(luò)服務(wù)運(yùn)營(yíng)平臺(tái),以及管理高效的智能化社區(qū)的網(wǎng)絡(luò)建設(shè),僅僅有高速的物理網(wǎng)絡(luò)是遠(yuǎn)遠(yuǎn)不夠的,還需要客戶服務(wù)運(yùn)營(yíng)管理,用以形成強(qiáng)大的后臺(tái)支撐系統(tǒng),推薦采用在城域網(wǎng)中心提供集中的管理計(jì)費(fèi)。通過(guò)采用集中計(jì)費(fèi)管理,就不用在每個(gè)小區(qū)設(shè)置網(wǎng)絡(luò)中心,從而大大節(jié)約管理成本,使運(yùn)營(yíng)商處于有利的競(jìng)爭(zhēng)地位。2網(wǎng)絡(luò)設(shè)備管理對(duì)于一個(gè)完整的社區(qū)網(wǎng)絡(luò)而言,由于存在著大量的網(wǎng)絡(luò)設(shè)備,所以為了保障整個(gè)網(wǎng)絡(luò)正常運(yùn)作,就需要使用網(wǎng)管軟件來(lái)對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)作進(jìn)行監(jiān)控。網(wǎng)絡(luò)安全的正常運(yùn)行、網(wǎng)絡(luò)資源的合理使用,都離不開(kāi)完善的網(wǎng)管系統(tǒng)。網(wǎng)管系統(tǒng)通過(guò)SNMP、RMON等網(wǎng)絡(luò)管理協(xié)議,對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程的監(jiān)控,通過(guò)探測(cè)每臺(tái)網(wǎng)絡(luò)設(shè)備的工作狀態(tài),來(lái)保證整個(gè)網(wǎng)絡(luò)的可靠性,一旦網(wǎng)絡(luò)設(shè)備出現(xiàn)問(wèn)題,則網(wǎng)管系統(tǒng)就會(huì)及時(shí)準(zhǔn)確的發(fā)現(xiàn)問(wèn)題所在,并發(fā)出警告信息。網(wǎng)管的另一重要的任務(wù)是記錄網(wǎng)絡(luò)的運(yùn)行狀態(tài),這將為日后網(wǎng)絡(luò)資源的合理調(diào)配提供準(zhǔn)確的數(shù)據(jù),另外通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)流量,可計(jì)算出各網(wǎng)絡(luò)使用單位對(duì)網(wǎng)絡(luò)運(yùn)行所應(yīng)承擔(dān)的費(fèi)用。網(wǎng)管系統(tǒng)是由安裝在網(wǎng)絡(luò)設(shè)備中的網(wǎng)絡(luò)管理模塊和網(wǎng)絡(luò)管理工作站組成:位于設(shè)備中的網(wǎng)管模塊負(fù)責(zé)收集設(shè)備本身運(yùn)行狀態(tài)的各項(xiàng)指標(biāo)和參數(shù),然后將其發(fā)送到指定網(wǎng)管工作站上；網(wǎng)管工作站負(fù)責(zé)接收這些信息,然后對(duì)其進(jìn)行分析和整理,做出必要的反應(yīng)。3數(shù)據(jù)通信安全管理由于社區(qū)網(wǎng)絡(luò)是提供公共接入服務(wù)的運(yùn)營(yíng)管理平臺(tái),所以在為用戶提供了高速接入的同時(shí),用戶數(shù)據(jù)通信的安全性將是一個(gè)需要迫切解決的問(wèn)題。由于傳統(tǒng)以太網(wǎng)技術(shù)本身的一些弱點(diǎn),如:廣播、SPT等,對(duì)整個(gè)網(wǎng)的服務(wù)可靠性造成威脅。同時(shí)如果不采取措施,以太網(wǎng)內(nèi)的用戶,將面臨本地黑客從網(wǎng)絡(luò)第二層次的直接竊聽(tīng)甚至攻擊。本方案中使用寬帶以太網(wǎng)VCN交換機(jī),利用VCN交換機(jī)端口的硬件特性從網(wǎng)絡(luò)二層上完全隔離了每個(gè)端口的用戶數(shù)據(jù)流而實(shí)現(xiàn)用戶數(shù)據(jù)的安全性,同時(shí)由于通過(guò)硬件提供網(wǎng)絡(luò)安全,因此不會(huì)降低網(wǎng)絡(luò)的整體性能。由于VCN交換機(jī)從物理上解決了安全問(wèn)題,因此在該種交換機(jī)中不存在VLAN問(wèn)題,從而大幅度減少整個(gè)網(wǎng)絡(luò)的VLAN數(shù)目,使得整個(gè)網(wǎng)絡(luò)更容易實(shí)現(xiàn)。另外對(duì)于一個(gè)完整的社區(qū)網(wǎng)絡(luò)來(lái)說(shuō),不僅僅要考慮到內(nèi)部用戶在社區(qū)內(nèi)數(shù)據(jù)通信的安全性,同時(shí)也要考慮到內(nèi)部用戶在社區(qū)外時(shí)訪問(wèn)社區(qū)內(nèi)網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性,所以對(duì)于一個(gè)移動(dòng)用戶通過(guò)公網(wǎng)來(lái)訪問(wèn)社區(qū)網(wǎng)絡(luò)的安全性問(wèn)題,一般通過(guò)虛擬私有網(wǎng)絡(luò)(VPN)來(lái)實(shí)現(xiàn),這些對(duì)于處于網(wǎng)絡(luò)二層上的VCN交換機(jī)而言也是完全透明的。采用3COM VCN社區(qū)專(zhuān)用寬帶接入交換機(jī),利用其獨(dú)有的數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制,則可以在節(jié)約以上成本的情況下,完全的實(shí)現(xiàn)內(nèi)網(wǎng)安全。4網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理一般涉及兩方面問(wèn)題，由于以太網(wǎng)技術(shù)本身的一些弱點(diǎn)，如：廣播、SPT等，對(duì)整網(wǎng)的服務(wù)可靠性造成威脅。同時(shí)如果不采取措施，以太網(wǎng)內(nèi)的用戶，將面臨本地黑客從網(wǎng)絡(luò)第二層次的直接竊聽(tīng)甚至攻擊。對(duì)于以上問(wèn)題，一般采用虛擬網(wǎng)絡(luò)技術(shù)從用戶端口到網(wǎng)絡(luò)出口專(zhuān)用邏輯通路。但由于一般網(wǎng)絡(luò)將承載數(shù)以百計(jì)的用戶，網(wǎng)絡(luò)管理員通過(guò)靜態(tài)設(shè)置，管理同樣數(shù)量的虛擬網(wǎng)和路由，其繁雜度和不靈活性可想而知。與此同時(shí)還要考慮此種設(shè)置方案下，網(wǎng)絡(luò)設(shè)備的承載能力。由此可見(jiàn)，社區(qū)網(wǎng)絡(luò)設(shè)計(jì)中網(wǎng)絡(luò)運(yùn)營(yíng)管理平臺(tái)的設(shè)計(jì)建設(shè)與接入網(wǎng)相配套是非常關(guān)鍵的。根據(jù)本網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)的安全控制要求,網(wǎng)絡(luò)管理系統(tǒng)要求能夠?qū)φ麄€(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)的劃分和管理以及交換機(jī)配制管理,以保證網(wǎng)絡(luò)用戶在各自的職權(quán)范圍內(nèi)進(jìn)行操作,避免對(duì)其它用戶造成干擾和侵犯。因此使用3COM公司的Network Supervisor作為網(wǎng)管軟件,提供上述的各種功能。5網(wǎng)絡(luò)服務(wù)平臺(tái)的優(yōu)化網(wǎng)絡(luò)服務(wù)平臺(tái)的優(yōu)化我們主要研究防火墻的建立。防火墻的作用表現(xiàn)在：1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻 這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害。 根據(jù)美國(guó)國(guó)家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來(lái)單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門(mén)之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。 2）只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻 防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開(kāi)始談起，原始的防火墻是一臺(tái)“雙穴主機(jī)”，即具備兩個(gè)網(wǎng)絡(luò)接口，同時(shí)擁有兩個(gè)網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過(guò)相應(yīng)的網(wǎng)絡(luò)接口接收上來(lái)，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問(wèn)規(guī)則和安全審查，然后將符合通過(guò)條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對(duì)于那些不符合通過(guò)條件的報(bào)文則予以阻斷。因此，從這個(gè)角度上來(lái)說(shuō)，防火墻是一個(gè)類(lèi)似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個(gè)分離的物理網(wǎng)段之間，并在報(bào)文轉(zhuǎn)發(fā)過(guò)程之中完成對(duì)報(bào)文的審查工作。3）防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力 這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻都要面對(duì)黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專(zhuān)門(mén)的防火墻嵌入系統(tǒng)外，再?zèng)]有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說(shuō)是相對(duì)的。 防火墻產(chǎn)品