netst 2000系列防火墙在网络层安全主要解决网络互联时在网络通信层的安全问题：网络进出访问控制、网络和数据链路层数据的加密、防止黑客入侵(入侵检测)。

    8.2.1包过滤

    包过滤是在通讯协议的网络层上，对符合事先设置的安全规则定义的ip包进行包过滤，将不符合事先设置的、安全规则定义的，p包进行排除。

    8.2.2网络地址转换

    netst 2000系列防火墙提供的网络地址转换功能，实现内外网络采用两套ip地址。netst 2000系列防火墙同时支持隐藏性地址转换和静态地址转换，对所有内部客户端提供公网连接。

    netst 2000系列防火墙通过多重地址转换(mat)功能可以保护内部网络服务器的安全，也可以分散外部网络服务到不同的ip地址。

    8.2.3tcp／udp端口映射

    当内部网络中具有假ip地址的多台主机需要对外提供服务时，系统提供将一台真ip地址主机的多个端口，映射到内部多台主机不同端口的功能。用户访问真ip地址主机的相应端口，即可访问内部主机提供的服务。它的好处是解决了企业ip地址不足的问题，更重要的是，隐藏了提供服务主机的网址，从而保证服务主机的安全。

    8.2.4入侵检测与告警

    netst 2000系列防火墙提供了内置的入侵检测和告警功能。当检测到带有恶意攻击特性的请求，并且与入侵特征库匹配时，即开启入侵报警模块，通知管理员。管理员收到警报后可以及时的对恶意访问做出相应的防范处理。

    netst 2000系列防火墙还可以与ids系统联动，增强系统安全性，提高系统性能。

    8.2.5地址绑定

    ip与mac地址绑定是比较通用的网络安全防范措施，保护内部网中的主机的ip地址不被盗用。netst 2000系列防火墙能够对指定接口所连接的网络中主机的ip和mac地址进行绑定，防止ip盗用，并对非法ip的访问提供详细的记录，以便管理员查看。netst 2000系列防火墙的ip与mac地址绑定提供两种安全策略供用户选择：默认允许／禁止不在ip和mac地址对应表中的ip包通过。管理员指定进行绑定操作的接口并配置绑定表，再选择mac-ip绑定选项，则绑定接口上接收到的报文其源mac地址与源ip地址如果不能匹配，就会被防火墙丢弃，这使得盗用的ip不能访问网络，从而实现绑定。