网络出口工作在网络的边缘，是内部网络与Internet之间的桥梁。根据互联网出口所连接的不同功能，可以将其细分为四个功能区，分别为核心设备区、互联网应用区、用户接入区和远程接入区。其中，核心设备区主要负责互联网出口链路的有效利用和应用系统的服务保障。互联网应用区分为DMZ区、应用数据库区和管理区三个安全区域，其中DMZ区用来放置针对公众提供信息发布的Web服务器以及相应的应用服务器；应用数据库区放置用于存储前端服务器所产生的相关数据信息的数据库服务器；管理区主要用于对整个互联网出口设备进行统一管理和各个用户的管理和审计。用户接入区主要提供本地用户的接入，并保证对接入用户的身份认证。远程接入区通过相应的防火墙设备提供远程VPN的功能，并可以与CA体系对接，实现CA证书方式认证。

1.路由器

整个互联网出口充分考虑到架构和设备的冗余，与运营商线路连接的设备采用专用的出口路由，并且部署两台互为备份。出口路由通过硬件优化，可以承载大容量的、并且在一台设备上同时实现多线路的负载均衡和智能DNS功能，满足用户对出口设备的各种要求。针对大量用户同时访问互联网时，需要完成NAT地址转化。

2.流控设备和行为管理设备

为了保证整个互联网出口能够很好地为各种应用提供服务，在出口使用专业应用控制引擎，为各种应用服务器保障服务质量，并且提供对各种P2P程序的控制，使带宽资源得到合理的应用。

3.防火墙和入侵防御系统 (www.daowen.com)

互联网出口作为与外部网络连接的唯一出口，其安全性也是非常重要的，高性能万兆防火墙可以在大业务量的情况下，很好地进行安全检测，保证数据包的线速转发。

图6-7展示了某高校校园网的出口，流控防火墙作为出口设备，承担了出口设备的NAT、策略路由和防火墙三大功能，还集成了流量控制功能。在本例中，出口设备流控防火墙承担了路由器的功能。

图6-7 出口Internet示例