【正文】 3526)區(qū)建設(shè)局辦公大樓匯聚節(jié)點(diǎn) (S5516)預(yù)留地址：～鎮(zhèn)節(jié)點(diǎn)1(R2621)…………鎮(zhèn)節(jié)點(diǎn)10(R2621)預(yù)留地址：～內(nèi)網(wǎng)用戶(hù)（各單位內(nèi)部局域網(wǎng)和服務(wù)器）地址規(guī)劃考慮各單位內(nèi)部局域網(wǎng)和服務(wù)器的業(yè)務(wù)模型，建議IP地址的管理和分配采用動(dòng)態(tài)及靜態(tài)結(jié)合的方式。普通用戶(hù)的IP地址由DHCP服務(wù)器動(dòng)態(tài)分配；服務(wù)器地址、設(shè)備管理地址、接口互聯(lián)地址等需要固定IP地址，在經(jīng)過(guò)NAT時(shí)采用NAT與PAT方法。具體的地址規(guī)劃方法與內(nèi)網(wǎng)規(guī)劃方法一致，這里不再多述。建議：原有服務(wù)器盡量采用原有IP地址。新增服務(wù)器采用與原有服務(wù)器接近的IP地址，這樣有利于地址規(guī)劃。當(dāng)然也可以對(duì)原有應(yīng)用服務(wù)器重新進(jìn)行規(guī)劃。具體規(guī)劃方法同內(nèi)網(wǎng)地址規(guī)劃，規(guī)劃時(shí)需要注意保留預(yù)留地址段，保證服務(wù)器地址的可擴(kuò)展性。采用華為公司QuidwayS8016的組網(wǎng)可實(shí)現(xiàn)動(dòng)態(tài)地址分配（DHCP）的功能。外網(wǎng)的節(jié)點(diǎn)設(shè)備標(biāo)識(shí)地址(LOOPBACK地址，標(biāo)識(shí)節(jié)點(diǎn)設(shè)備和網(wǎng)絡(luò)管理)，設(shè)備互聯(lián)地址以及內(nèi)部局域網(wǎng)和服務(wù)器地址的規(guī)劃，方法同內(nèi)網(wǎng)IP地址規(guī)劃?？紤]外網(wǎng)的業(yè)務(wù)模型，建議外網(wǎng)各單位內(nèi)部局域網(wǎng)和服務(wù)器IP地址的管理和分配采用動(dòng)態(tài)及靜態(tài)結(jié)合的方式。普通用戶(hù)的IP地址由DHCP服務(wù)器動(dòng)態(tài)分配；服務(wù)器地址、設(shè)備管理地址、接口互聯(lián)地址等需要固定IP地址，在經(jīng)過(guò)NAT時(shí)采用NAT與PAT方法。具體的地址規(guī)劃方法與內(nèi)網(wǎng)規(guī)劃方法一致，這里不再多述。此外，在外網(wǎng)私有地址規(guī)劃時(shí)盡量保持與原有用戶(hù)IP段相同。對(duì)原有外網(wǎng)用戶(hù)已分配給服務(wù)器的IP地址繼續(xù)采用公網(wǎng)地址。采用華為公司QuidwayNE05E、S8016的組網(wǎng)可實(shí)現(xiàn)NAT的NAT、PAT功能以及動(dòng)態(tài)地址分配的功能。 地址重疊問(wèn)題對(duì)原有地址，出現(xiàn)地址重疊的情況時(shí)，要盡量把重疊分開(kāi)。對(duì)新的設(shè)備和網(wǎng)絡(luò)，由于充分保留了預(yù)留地址段，可以有效避免地址重疊問(wèn)題。對(duì)普通用戶(hù)，由于采用動(dòng)態(tài)地址分配方法，可以有效避免地址重疊問(wèn)題。第六章 VPN互聯(lián)設(shè)計(jì)及流量工程在第二章對(duì)對(duì)本次招標(biāo)的組網(wǎng)實(shí)現(xiàn)技術(shù)進(jìn)行分析，確定了采用三層MPLS VPN技術(shù)可有效的實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)需求、安全控制、端到端QoS等。針對(duì)標(biāo)書(shū)中給出設(shè)備的實(shí)際布局，即同一單位可能位不同的物理位置，系統(tǒng)內(nèi)服務(wù)器、公共服務(wù)器等都位于主服務(wù)器機(jī)房，MPLS VPN將跨全市整個(gè)政務(wù)網(wǎng)平臺(tái)等，我們也必須考慮。結(jié)合以上兩點(diǎn)我們對(duì) VPN實(shí)現(xiàn)進(jìn)行以下劃分為Server VPN（包括公共服務(wù)器VPN、橫向服務(wù)器VPN、縱向服務(wù)器VPN）、用戶(hù)VPN（各部門(mén)的內(nèi)部網(wǎng)絡(luò)VPN）、公共應(yīng)用VPN。因此，做為用戶(hù)而言，它實(shí)際上可能有的4各VPN單位內(nèi)部網(wǎng)絡(luò) VPN、橫向服務(wù)器VPN、縱向服務(wù)器VPN、公共應(yīng)用VPN。 內(nèi)網(wǎng)VPN設(shè)計(jì)根據(jù)內(nèi)網(wǎng)的建設(shè)目標(biāo)，是可以為某一系統(tǒng)提供專(zhuān)用的虛擬通信通道，組建系統(tǒng)橫向、縱向的互聯(lián)網(wǎng)絡(luò)，如：－為區(qū)政府提供與各部門(mén)通信的橫向虛擬通道－為區(qū)局提供與各涉密部門(mén)通信的橫向虛擬通道－為視頻會(huì)議服務(wù)提供公共的虛擬通信通道，保證視頻會(huì)議的帶寬要求。即在橫向上要實(shí)現(xiàn)部門(mén)間的主機(jī)跨部門(mén)訪(fǎng)問(wèn)，并防止越權(quán)訪(fǎng)問(wèn)；在縱向上實(shí)現(xiàn)各部門(mén)的內(nèi)部互聯(lián)。為實(shí)現(xiàn)這些建設(shè)目標(biāo)，保證政務(wù)網(wǎng)各系統(tǒng)的安全，必須要為各系統(tǒng)的網(wǎng)絡(luò)互聯(lián)提供安全隔離及網(wǎng)絡(luò)服務(wù)質(zhì)量保證，使用MPLS VPN及VLAN技術(shù)是在IP網(wǎng)上解決這種安全隔離的最好手段。下面分別從兩個(gè)方面分別說(shuō)明。橫向VPN構(gòu)建：在內(nèi)網(wǎng)城域網(wǎng)中，使用VPN技術(shù)來(lái)進(jìn)行各系統(tǒng)的網(wǎng)絡(luò)隔離及特殊應(yīng)用的橫向訪(fǎng)問(wèn)互通，如為機(jī)要、區(qū)法院等本區(qū)內(nèi)訪(fǎng)問(wèn)提供專(zhuān)用的VPN通道，保證網(wǎng)絡(luò)安全，如圖所示。以機(jī)要主機(jī)本地訪(fǎng)問(wèn)來(lái)說(shuō)明本地橫向VPN的組網(wǎng)。城域網(wǎng)內(nèi)，對(duì)在本地有訪(fǎng)問(wèn)要求的系統(tǒng)及應(yīng)用，如每個(gè)單位對(duì)機(jī)要服務(wù)器進(jìn)行訪(fǎng)問(wèn)的機(jī)要主機(jī)，與本單位其他機(jī)器位于不同的VLAN,實(shí)現(xiàn)了本地安全隔離。這個(gè)VLAN的劃分由信息網(wǎng)的管理者統(tǒng)一進(jìn)行規(guī)劃實(shí)施；在城域網(wǎng)不同的網(wǎng)絡(luò)節(jié)點(diǎn)，這些機(jī)要主機(jī)也分屬于不同的VLAN；如果沒(méi)有任何路由措施，這些位于不同VLAN的主機(jī)是不能互通的；在骨干網(wǎng)PE處（S8016），利用MPLS技術(shù)，將這些需要相互訪(fǎng)問(wèn)的機(jī)要主機(jī)的VLAN，引入到同一個(gè)VPN(VPN1)內(nèi)進(jìn)行路由，從而實(shí)現(xiàn)在城域網(wǎng)內(nèi)機(jī)要主機(jī)對(duì)機(jī)要服務(wù)器的互訪(fǎng)。由于這些各部門(mén)機(jī)要主機(jī)不需要跨級(jí)縱向訪(fǎng)問(wèn)（如鎮(zhèn)訪(fǎng)問(wèn)區(qū)），因此VPN1的范圍只設(shè)置在本地城域網(wǎng)中（如區(qū)直機(jī)關(guān)），從而防止非法的跨級(jí)互通。這樣既可實(shí)現(xiàn)城域網(wǎng)內(nèi)的跨部門(mén)主機(jī)訪(fǎng)問(wèn)，又保證防止不同城域網(wǎng)間主機(jī)的越權(quán)訪(fǎng)問(wèn)。縱向VPN構(gòu)建：在內(nèi)網(wǎng)廣域網(wǎng)上，利用MPLS VPN組網(wǎng)實(shí)現(xiàn)各系統(tǒng)間縱向網(wǎng)絡(luò)的互聯(lián)，以及相互之間的安全隔離，如機(jī)要局內(nèi)部的鎮(zhèn)與區(qū)之間的互聯(lián)、視頻會(huì)議系統(tǒng)在區(qū)市之間的互聯(lián)等，如圖所示。下面以機(jī)要系統(tǒng)內(nèi)部縱向訪(fǎng)問(wèn)說(shuō)明。如圖所示，在城域網(wǎng)中，機(jī)要局內(nèi)部部門(mén)主機(jī)位于VLAN21內(nèi)，與其它部門(mén)主機(jī)（包括機(jī)要局能被其它部門(mén)訪(fǎng)問(wèn)的服務(wù)器）相互隔離，確保不被非法訪(fǎng)問(wèn)。在VLAN統(tǒng)一的出口處，內(nèi)網(wǎng)廣域網(wǎng)的PE設(shè)備，將機(jī)要局VLAN21的路由及數(shù)據(jù)引入到相應(yīng)的VPN3內(nèi)。由于VPN3只引入了機(jī)要局內(nèi)部主機(jī)所在的VLAN，因此可與其它系統(tǒng),如視頻會(huì)議實(shí)現(xiàn)橫向隔離，保證網(wǎng)絡(luò)安全。對(duì)于具有橫向和縱向訪(fǎng)問(wèn)的應(yīng)用，如能被公共訪(fǎng)問(wèn)的視頻會(huì)議服務(wù)，可被同級(jí)不同機(jī)構(gòu)間互通，也可以在跨級(jí)（區(qū)與鎮(zhèn)）間互通，可以結(jié)合利用這兩種設(shè)置來(lái)進(jìn)行實(shí)現(xiàn)。從網(wǎng)絡(luò)安全及管理安全上看，VPN/VLAN的管理都應(yīng)該由網(wǎng)絡(luò)中心進(jìn)行統(tǒng)一規(guī)劃，在邊緣接入處提供相應(yīng)的VPN/VLAN的接口，以確保整個(gè)網(wǎng)絡(luò)的安全。 外網(wǎng)VPN設(shè)計(jì)根據(jù)外網(wǎng)的建設(shè)目標(biāo)，是可以為某一系統(tǒng)提供專(zhuān)用的虛擬通信通道，組建系統(tǒng)橫向、縱向的互聯(lián)網(wǎng)絡(luò)，即在橫向上要實(shí)現(xiàn)部門(mén)間的主機(jī)跨部門(mén)訪(fǎng)問(wèn)，并防止越權(quán)訪(fǎng)問(wèn)；在縱向上實(shí)現(xiàn)各部門(mén)的內(nèi)部互聯(lián)。為實(shí)現(xiàn)這些建設(shè)目標(biāo)，保證政務(wù)網(wǎng)各系統(tǒng)的安全，必須要為各系統(tǒng)的網(wǎng)絡(luò)互聯(lián)提供安全隔離及網(wǎng)絡(luò)服務(wù)質(zhì)量保證，使用MPLS VPN及VLAN技術(shù)是在IP網(wǎng)上解決這種安全隔離的最好手段。下面分別從兩個(gè)方面分別說(shuō)明。城域網(wǎng)橫向互訪(fǎng)VPN構(gòu)建：在外網(wǎng)城域網(wǎng)中，使用VPN技術(shù)來(lái)進(jìn)行各系統(tǒng)的網(wǎng)絡(luò)隔離及特殊應(yīng)用的橫向訪(fǎng)問(wèn)互通，保證網(wǎng)絡(luò)安全，如下圖所示。城域網(wǎng)內(nèi)，對(duì)在本地有訪(fǎng)問(wèn)要求的系統(tǒng)及應(yīng)用，如共享WWW訪(fǎng)問(wèn)服務(wù)器，在本單位可與其他機(jī)器位于不同的VLAN,實(shí)現(xiàn)了本地安全隔離，保證本地其它機(jī)器的安全。在城域網(wǎng)不同的網(wǎng)絡(luò)節(jié)點(diǎn)，這些需要橫向互訪(fǎng)的主機(jī)設(shè)備也分屬于不同的VLAN，如在區(qū)法院與區(qū)檢察院，這些主機(jī)是位于不同的VLAN的，這樣避免了在一個(gè)VLAN內(nèi)有太多的主機(jī)；當(dāng)然，如果VPN內(nèi)沒(méi)有太多的主機(jī)，則可以將這些主機(jī)在城域網(wǎng)內(nèi)設(shè)置在1個(gè)VLAN內(nèi)，直接在二層互通，可以提高網(wǎng)絡(luò)效率；如果沒(méi)有任何路由措施，這些位于不同VLAN的主機(jī)是不能互通的；在核心層PE處（核心路由交換機(jī)S8016），利用MPLS技術(shù)，將這些需要相互訪(fǎng)問(wèn)的主機(jī)的VLAN，引入到同一個(gè)VPN(VPN1)內(nèi)進(jìn)行路由，從而實(shí)現(xiàn)在城域網(wǎng)不同單位主機(jī)信息的互訪(fǎng)。而其它沒(méi)有被引入的VLAN，不能訪(fǎng)問(wèn)這個(gè)VPN1的成員的主機(jī)。從而實(shí)現(xiàn)了城域網(wǎng)內(nèi)的跨部門(mén)主機(jī)訪(fǎng)問(wèn)，又防止對(duì)各單位內(nèi)部不需要橫向訪(fǎng)問(wèn)主機(jī)的安全性。縱向VPN構(gòu)建：橫向VPN解決了城域網(wǎng)內(nèi)的互通及安全隔離，在外網(wǎng)廣域網(wǎng)上，則要利用MPLS VPN組網(wǎng)實(shí)現(xiàn)各系統(tǒng)間縱向網(wǎng)絡(luò)的互聯(lián)，以及相互之間的安全隔離，如區(qū)公安局內(nèi)部辦公主機(jī)各鎮(zhèn)分局、派出所之間的互聯(lián)、以及和市公安局之間的互聯(lián)等，如下圖所示。如圖所示，在城域網(wǎng)中，不同部門(mén)的主機(jī)位于不同的VLAN內(nèi)；這些主機(jī)與其它部門(mén)主機(jī)相互隔離，確保不被非法訪(fǎng)問(wèn)。在VLAN統(tǒng)一的出口處，外網(wǎng)廣域網(wǎng)的PE設(shè)備，將各主機(jī)所在的VLAN引入到相應(yīng)的VPN中，通過(guò)廣域網(wǎng)實(shí)現(xiàn)VPN內(nèi)的互通。對(duì)于其它具有橫向和縱向訪(fǎng)問(wèn)的應(yīng)用，如能被公共訪(fǎng)問(wèn)的WWW站點(diǎn)等，可被同級(jí)不同機(jī)構(gòu)間訪(fǎng)問(wèn)，也可以在跨級(jí)（區(qū)與鎮(zhèn)）間互通，可以結(jié)合利用這兩種設(shè)置來(lái)進(jìn)行實(shí)現(xiàn)；對(duì)于只需要縱向互聯(lián)訪(fǎng)問(wèn)的網(wǎng)絡(luò)（如各系統(tǒng)內(nèi)部辦公網(wǎng)），在各地的PE處只引入本系統(tǒng)VLAN信息，即可實(shí)現(xiàn)系統(tǒng)內(nèi)全區(qū)的互通，并與其它系統(tǒng)隔離保證安全。在外網(wǎng)中，VPN穿透防火墻時(shí)，需要防火墻能支持VPN（MPLS），或至少支持VLAN透?jìng)?，這樣才能保障VPN的完全實(shí)施。在VPN SERVER處終結(jié)Internet來(lái)的用戶(hù)隧道（L2TP等），然后將VPN SERVER后面開(kāi)MPLS VPN連接各政府部門(mén)內(nèi)部網(wǎng)。從網(wǎng)絡(luò)安全及管理安全上看，VPN/VLAN的管理都應(yīng)該由信息中心進(jìn)行統(tǒng)一規(guī)劃，在邊緣接入處提供相應(yīng)的VPN/VLAN的接口。 MPLS VPN實(shí)現(xiàn)業(yè)務(wù)隔離和完善的QOS保證由于建成后的政務(wù)網(wǎng)在同一物理網(wǎng)絡(luò)上同時(shí)運(yùn)行多個(gè)系統(tǒng)，因此該網(wǎng)絡(luò)必須支持系統(tǒng)隔離，而且要能夠隔離不斷增加的新業(yè)務(wù)。MPLS VPN就是一種非常優(yōu)秀的技術(shù)，可以滿(mǎn)足可擴(kuò)展的業(yè)務(wù)隔離與QOS保證的需求。該技術(shù)已經(jīng)為國(guó)內(nèi)外各大運(yùn)營(yíng)商采用。在政務(wù)網(wǎng)中，其具體的實(shí)施模式如下：在局域網(wǎng)中，在交換機(jī)中配置VLAN，用來(lái)隔離不同業(yè)務(wù)，在其上聯(lián)路由器上配置MPLS VPN，該路由器可以為不同VLAN（即虛接口），創(chuàng)建不同的MPLS VPN。在廣域網(wǎng)中，通過(guò)MPLS VPN實(shí)現(xiàn)了業(yè)務(wù)隔離。通過(guò)VLAN技術(shù)與MPLS VPN技術(shù)的配合，政務(wù)網(wǎng)可以實(shí)現(xiàn)端到端的業(yè)務(wù)隔離。結(jié)合本方案具體如下：在用戶(hù)接入側(cè)，可以通過(guò)劃分VLAN的方法實(shí)現(xiàn)二層隔離, 交換機(jī)上傳VLAN，將需要實(shí)現(xiàn)VPN功能用戶(hù)的標(biāo)識(shí)提供給PE設(shè)備。這些VLAN分別對(duì)應(yīng)到相同或不同的VRF，通過(guò)設(shè)置適當(dāng)?shù)腞oute Target即可實(shí)現(xiàn)。具體實(shí)施如下： 通過(guò)PE實(shí)現(xiàn)各VPN的內(nèi)部互聯(lián)和彼此間的隔離。 以VLAN隔離各VPN，并由交換機(jī)將各VLAN透?jìng)鞯絇E，其中各VLAN ID必須唯一。 在PE路由交換機(jī)上以一個(gè)VLAN子接口對(duì)應(yīng)一個(gè)MPLS VPN的site，并與透?jìng)魃蟻?lái)的VLAN對(duì)應(yīng)。 在PE路由器上通過(guò)配置MPLS VPN將需要互聯(lián)的企業(yè)用戶(hù)所對(duì)應(yīng)的VLAN劃分到同一個(gè)VPN中，使其路由可達(dá)，達(dá)到互聯(lián)的目的；同時(shí)，由于VPN路由的獨(dú)立性，對(duì)VPN外的用戶(hù)不可見(jiàn)。 IPSEC為政務(wù)提供了安全保障鑒于政務(wù)網(wǎng)各部門(mén)的特殊安全性要求，在總體建設(shè)上就安全性而言，采用隔離＋加密，雙管齊下的方式比較有效。即在各鎮(zhèn)級(jí)節(jié)點(diǎn)的接入路由器上配置IPSEC協(xié)議，對(duì)報(bào)文進(jìn)行加密處理。到了區(qū)骨干網(wǎng)上，運(yùn)行著MPLS VPN。在區(qū)匯聚路由器上進(jìn)行IPSEC終結(jié)，通過(guò)MPLS VPN上承載IPSEC報(bào)文，既提供了加密功能，又沒(méi)有降低性能（因?yàn)镸PLS是按照標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)，與所承載的報(bào)文無(wú)關(guān)）。因此，把IPSEC技術(shù)與MPLS VPN技術(shù)結(jié)合起來(lái)，是非常好的一種安全解決方案。 VPN安全策略龍崗政務(wù)網(wǎng)，采用的是MPLSVPN組網(wǎng)方式，其本身已經(jīng)能夠提供一定的安全機(jī)制，MPLSVPN可以將不同用戶(hù)的數(shù)據(jù)流分開(kāi)，可以利用標(biāo)記來(lái)判斷分組所屬的VPN，從而可以防止數(shù)據(jù)的誤發(fā)。然而MPLS并沒(méi)有描述對(duì)于用戶(hù)數(shù)據(jù)的加密機(jī)制以及用戶(hù)的認(rèn)證過(guò)程，所以，當(dāng)對(duì)于數(shù)據(jù)的加突以及用戶(hù)的認(rèn)證有較高的要求時(shí)，需要將MPLS與IPSEC等安全協(xié)議結(jié)合起來(lái)進(jìn)行使用。VPN安全性要求充分安全：在VPN的每個(gè)節(jié)點(diǎn)上都有防火墻和認(rèn)證機(jī)制以保護(hù)VPN資源不受非法訪(fǎng)問(wèn)，同時(shí)需要保證在傳輸過(guò)程中進(jìn)行數(shù)據(jù)包的加密和認(rèn)證保護(hù)。即VPN需要提供整個(gè)網(wǎng)絡(luò)的端到端的安全性。安全管理：VPN的安全管理機(jī)制應(yīng)該是很容易建立和維護(hù)，同時(shí)安全管理系統(tǒng)必須也是安全的。安全可用性：安全系統(tǒng)應(yīng)該與其他VPN用戶(hù)一樣能登錄到VPN，以便在VPN的任何節(jié)點(diǎn)都能對(duì)安全系統(tǒng)進(jìn)行管理。對(duì)于采用加密算法的系統(tǒng)，還要求加密解密設(shè)備有足夠的吞吐量，使VPN用戶(hù)并不能感到存在VPN設(shè)備。在專(zhuān)網(wǎng)中，一般只是使用用戶(hù)名和密碼對(duì)用戶(hù)進(jìn)行識(shí)別，而對(duì)于專(zhuān)網(wǎng)對(duì)公網(wǎng)的接口設(shè)備上，特別在VPN中，需要進(jìn)行以下幾個(gè)方面的保護(hù)：l用戶(hù)身份的識(shí)別和鑒權(quán)l(xiāng)數(shù)據(jù)的完整性保證，保證網(wǎng)絡(luò)的可用性和VPN的私有性l實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的安全狀態(tài)l基于策略的安全管理，以保證網(wǎng)絡(luò)資源的安全用戶(hù)身份識(shí)別和鑒權(quán)網(wǎng)絡(luò)用戶(hù)的正確識(shí)別和鑒權(quán)對(duì)VPN的實(shí)施非常關(guān)鍵，通過(guò)使用AAA服務(wù)器對(duì)訪(fǎng)問(wèn)單位網(wǎng)絡(luò)資源的用戶(hù)進(jìn)行認(rèn)證、鑒權(quán)和計(jì)費(fèi)。對(duì)于使用如L2TP等二層隧道構(gòu)成的VPN可以通過(guò)PAP或CHAP等方法對(duì)用戶(hù)進(jìn)行認(rèn)證，用戶(hù)的安全配置數(shù)據(jù)存貯在A(yíng)AA服務(wù)器上，單位邊緣設(shè)備與AAA服務(wù)器采用RADIUS協(xié)議。網(wǎng)絡(luò)資源的安全性網(wǎng)絡(luò)資源、應(yīng)用的訪(fǎng)問(wèn)控制也是VPN安全的一個(gè)重要方面，通常使用防火墻、訪(fǎng)問(wèn)控制列表、數(shù)據(jù)過(guò)濾器等手段來(lái)保證網(wǎng)絡(luò)資源的安全性。在VPN中防火墻是必不可少的，它位于單位網(wǎng)絡(luò)的邊緣，用于將私網(wǎng)和公網(wǎng)進(jìn)行隔離。防火墻的主要功能如下：用戶(hù)認(rèn)證和鑒權(quán)：對(duì)訪(fǎng)問(wèn)單位內(nèi)部網(wǎng)絡(luò)的用戶(hù)進(jìn)行用戶(hù)認(rèn)證和鑒權(quán)，只有合法用戶(hù)才能訪(fǎng)問(wèn)單位內(nèi)部網(wǎng)絡(luò)資源。同時(shí)防火墻也可以對(duì)單位內(nèi)部用戶(hù)進(jìn)行認(rèn)證和鑒權(quán)，使某些用戶(hù)只能訪(fǎng)問(wèn)單位特定的網(wǎng)絡(luò)資源，或者在訪(fǎng)問(wèn)公網(wǎng)時(shí)使某些用戶(hù)只能使用特定的服務(wù)。數(shù)據(jù)包過(guò)濾：對(duì)來(lái)自公網(wǎng)的數(shù)據(jù)包使用訪(fǎng)問(wèn)控制列表可以根據(jù)數(shù)據(jù)包類(lèi)型或者其他變量來(lái)決定接收還是拒絕訪(fǎng)問(wèn)。網(wǎng)絡(luò)地址轉(zhuǎn)換：為了節(jié)省公網(wǎng)IP地址，防火墻支持NAT功能，完成私有地址和公網(wǎng)地址的轉(zhuǎn)換，同時(shí)通過(guò)NAT功能，達(dá)到使私網(wǎng)和公網(wǎng)隔離而保護(hù)私網(wǎng)資源的目的。數(shù)據(jù)的完整性和可靠性在公共網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)，VPN需要保證用戶(hù)數(shù)據(jù)的完整性和可靠性。從使用簡(jiǎn)單的使用隧道或封裝對(duì)數(shù)據(jù)流進(jìn)行隔離，到使用復(fù)雜的加密算法都是為了保證VPN內(nèi)數(shù)據(jù)的可信度。在VPN實(shí)現(xiàn)中，通常使用IPSec協(xié)議完成認(rèn)證、加密和密鑰管理，IPSec已經(jīng)成為IP網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全的實(shí)時(shí)監(jiān)控對(duì)于網(wǎng)絡(luò)的惡意入侵的控制需要對(duì)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控，以保證網(wǎng)絡(luò)正常工作時(shí)能發(fā)現(xiàn)網(wǎng)絡(luò)安全的薄弱點(diǎn)，因?yàn)槿魏我惶幍陌踩┒磳?dǎo)致整個(gè)網(wǎng)絡(luò)的安全失敗。網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)控系統(tǒng)將對(duì)外部和內(nèi)部資源的任何非法訪(fǎng)