項目背景分析

1、項目背景分析xx 公司已經(jīng)應(yīng)用計算機(jī)作為生產(chǎn)管理的工具。 隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展 和迅速在普及， xx 公司的計算機(jī)應(yīng)用和局域網(wǎng)絡(luò)規(guī)模也在不斷壯大。目前 xx 公司已經(jīng)建 立了三十個分公司（辦事處） ，各分支機(jī)構(gòu)內(nèi)部也全部采用計算機(jī)作為業(yè)務(wù)工具，并建立 了自己的局域網(wǎng)絡(luò)，部分公司已經(jīng)接入 Interent 。隨著 xx 公司業(yè)務(wù)發(fā)展的需求，各分公司有著越來越多的業(yè)務(wù)信息需要同總公司交互。 但現(xiàn)階段 xx 公司的計算機(jī)網(wǎng)絡(luò)系統(tǒng)仍然局限于各分公司自己建設(shè)一個局域網(wǎng)，這些小的 局域網(wǎng)只能滿足分公司內(nèi)部的網(wǎng)上辦公系統(tǒng)，不能實現(xiàn)整個公司的網(wǎng)上辦公需求。分公司 與總公司的信息交流仍然使用傳統(tǒng)的

2、電話、傳真、人力等方式，或者在沒有進(jìn)行任何安全 措施保護(hù)的情況下使用互聯(lián)網(wǎng)。對整個公司來說，分公司仍然是信息孤島。 xx 公司的信息 網(wǎng)絡(luò)建設(shè)已經(jīng)滯后于業(yè)務(wù)發(fā)展的步伐。新的 ERP系統(tǒng)的使用也迫切地需要將各分公司與總 公司的局域網(wǎng)連接在一起形成一個大的內(nèi)部 intranet 廣域網(wǎng)絡(luò)。公司的信息部門時刻跟蹤最新技術(shù)的發(fā)展，發(fā)現(xiàn) VPN技術(shù)的應(yīng)用已經(jīng)完善，公司的計 算機(jī)網(wǎng)絡(luò)已經(jīng)可以采用最新的 VPN技術(shù)實現(xiàn)各分公司與總部網(wǎng)絡(luò)之間的安全廣域網(wǎng)連接。目前，各種病毒、網(wǎng)絡(luò)攻擊等安全事件頻繁發(fā)生， 已經(jīng)成為企業(yè)安全的一個重要威脅； 技術(shù)的突破，已經(jīng)使各種病毒具有了黑客工具的性質(zhì)，一旦企業(yè)被病毒感染，會自

3、動打開 相應(yīng)的端口或服務(wù)，使企業(yè)門戶大開，而病毒通過互聯(lián)網(wǎng)可以輕易的突破沒有經(jīng)過嚴(yán)密防 護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)，給企業(yè)帶來各種威脅：開放服務(wù)、發(fā)出大量垃圾郵件或帶病毒郵件等 等。黑客和帶黑客性質(zhì)的病毒，不僅會破壞 xx 公司的運(yùn)行環(huán)境，破壞機(jī)器上的數(shù)據(jù)，更 有可能盜取機(jī)密的數(shù)據(jù)和信息！潛在的風(fēng)險很難估計。而在 xx 公司各地網(wǎng)絡(luò)建設(shè)之初，因為沒有專門針對安全方面進(jìn)行專門設(shè)計，所以其 現(xiàn)狀是不能夠滿足本企業(yè)目前的安全需求的。比如沒有采用必要的網(wǎng)絡(luò)邊界防御手段來抵 抗來自外部的各種威脅，同時也沒有采用必要的防病毒手段來抵抗當(dāng)今變化各異的病毒。防火墻系統(tǒng)，負(fù)責(zé)整個企業(yè)的邊界防護(hù)，進(jìn)行企業(yè)內(nèi)部、外部溝通的安

4、全橋梁，增加 了防火墻系統(tǒng)，會將企業(yè)的安全防護(hù)級別提高一個層次，同時，還可以建立公司總部與分 公司網(wǎng)路之間的VPN!道，更加合理、有效的利用公司現(xiàn)有資源，而不會造成信息泄露， 因此，引進(jìn)新的防火墻系統(tǒng)也是 xx 公司建立企業(yè)廣域網(wǎng)安全系統(tǒng)的當(dāng)務(wù)之急。經(jīng)過和xx公司的相關(guān)技術(shù)人員的接觸和交流，在此基礎(chǔ)上我公司給出本VPN廣域網(wǎng)絡(luò)及安全系統(tǒng)建設(shè)的實現(xiàn)方案，側(cè)重于企業(yè)的VPNS統(tǒng)，并考慮到信息的足夠安全性。二、VPN防火墻需求分析1、VPN技術(shù)介紹虛擬專用網(wǎng)（VPN）是一個通過公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個臨時的、 安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè) 內(nèi)部

5、網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同 公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷 增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)內(nèi)部網(wǎng)之間安 全通信的虛擬專用線路。虛擬專用網(wǎng)主要采用了兩種技術(shù)：隧道技術(shù)與安全技術(shù)。隧道技術(shù)當(dāng)前主要有三種協(xié)議支持：PPTP L2TP和IPsec。安全技術(shù)主要有 MPPE IPsec等加密算法。隧道 技術(shù)主要是完成 IP 數(shù)據(jù)包的二次封裝，以實現(xiàn)企業(yè)私有地址在公網(wǎng)上的傳輸。為了保 證傳輸?shù)陌踩?，需要一定的安全加密手段保證數(shù)據(jù)的私密性和完整性，在隧道和加密的技術(shù)上，IPsec已成為IP

6、安全的一個應(yīng)用廣泛、開放的 VPN安全協(xié)議。IPsec適應(yīng) 向 Ipv6 遷移，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，進(jìn)行透明的安全通信。 IPsec 用密 碼技術(shù)提供以下安全服務(wù)：接入控制，無連接完整性，數(shù)據(jù)源認(rèn)證，防重放，加密， 防傳輸流分析。 IPsec 協(xié)議可以設(shè)置成在兩種模式下運(yùn)行： 一種是隧道（ tunnel ）模式， 一種是傳輸 （transport） 模式。在隧道模式下， IPsec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 幀中。傳輸模式是為了保護(hù)端到端的安全性，即在這種模式下不會隱藏路由信息。隧 道模式是最安全的。IPsec 定義了一套用于保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。 IPsec

7、 支持一系列加密算 法如DES 3DES它檢查傳輸?shù)臄?shù)據(jù)包的完整性，以確保數(shù)據(jù)沒有被修改，具有數(shù)據(jù)源 認(rèn)證功能。IPsec可確保運(yùn)行在TCP/IP協(xié)議上的VPN之間的互操作性。2、VPN技術(shù)的優(yōu)勢1）信息的安全性。 虛擬專用網(wǎng)絡(luò)采用安全隧道技術(shù)向用戶提供無縫的和安全的端 到端連接服務(wù)，確保信息資源的安全。2）方便的擴(kuò)充性。用戶可以利用虛擬專用網(wǎng)絡(luò)技術(shù)方便地重構(gòu)企業(yè)專用網(wǎng)絡(luò) （Private Network） ，實現(xiàn)異地業(yè)務(wù)人員的遠(yuǎn)程接入，加強(qiáng)與客戶、合作伙伴 之間的聯(lián)系，以進(jìn)一步適應(yīng)虛擬企業(yè)的新型企業(yè)組織形式。3）方便的管理。VPNS大量的網(wǎng)絡(luò)管理工作放到互聯(lián)網(wǎng)絡(luò)服務(wù)提供者 （ISP） 一端

8、來統(tǒng)一實現(xiàn)，從而減輕了企業(yè)內(nèi)部網(wǎng)絡(luò)管理的負(fù)擔(dān)。同時VPN也提供信息傳輸、 路由等方面的智能特性及其與其他網(wǎng)絡(luò)設(shè)備相獨立的特性， 也便于用戶進(jìn)行網(wǎng) 絡(luò)管理。4）顯著的成本效益。利用現(xiàn)有互聯(lián)網(wǎng)絡(luò)發(fā)達(dá)的網(wǎng)絡(luò)構(gòu)架組建企業(yè)內(nèi)部專用網(wǎng)絡(luò)， 從而節(jié)省了大量的投資成本及后續(xù)的運(yùn)營維護(hù)成本。3、安全需求分析來自外網(wǎng)和內(nèi)網(wǎng)的安全攻擊均對 xx 公司整個網(wǎng)絡(luò)構(gòu)成安全威脅。從公司目前的網(wǎng)絡(luò)現(xiàn)狀來分析，主要的安全威脅來自以下幾個方面：1）總部關(guān)鍵服務(wù)器的安全威脅2）支機(jī)構(gòu)與總部交換數(shù)據(jù)時數(shù)據(jù)在傳輸過程中的安全威脅3）自外部（ Internet ）的安全威脅4）病毒的威脅所有的安全漏洞都可能被利用成為安全攻擊，進(jìn)而對整個

9、網(wǎng)絡(luò)帶來損害。對于內(nèi)聯(lián)網(wǎng) /外聯(lián)網(wǎng)的接口處實施流量管理，數(shù)據(jù)包過濾和監(jiān)控，將會是保障網(wǎng) 絡(luò)安全的重要環(huán)節(jié)；同時建立與各分支機(jī)構(gòu)之間的跨地域的VPNS全專有網(wǎng)絡(luò)，滿足信息交換的安全需求。VPN防火墻系統(tǒng)設(shè)計1、網(wǎng)絡(luò)結(jié)構(gòu)分析隨著 xx 公司的不斷發(fā)展壯大，企業(yè)的計算機(jī)應(yīng)用和網(wǎng)絡(luò)規(guī)模也越來越普及，總 部與各個分支機(jī)構(gòu)之間的溝通的需求也越來越大，因此通過信息化的手段來進(jìn)行數(shù)據(jù) 的交換和備份，給企業(yè)帶來極大的工作便利性，促進(jìn)了企業(yè)的生產(chǎn)發(fā)展。同時，本著安全的原則，將公司的信息資源最大作用的發(fā)揮其作用也是本次網(wǎng)絡(luò) 建設(shè)的一個重要內(nèi)容，因此，對 xx 公司網(wǎng)絡(luò)先進(jìn)行網(wǎng)絡(luò)邊界的劃分，控制好外部網(wǎng) 絡(luò)對本企業(yè)的

10、訪問已經(jīng)成為當(dāng)務(wù)之急；而且由于 xx 公司的分支機(jī)構(gòu)分布在各地，所 以信息數(shù)據(jù)的交換將會通過不信任的公網(wǎng)，因此在總部和各分支機(jī)構(gòu)之間建立基于 IPSEC的VPN的訪問機(jī)制也將成為本系統(tǒng)系統(tǒng)的一個不可或缺的因素。作為一種邊界訪問控制手段，防火墻設(shè)計的基礎(chǔ)就是有效的邊界劃分，以此區(qū)分 不同安全控制級別的訪問區(qū)域。根據(jù)分析，我們認(rèn)為 xx 公司網(wǎng)絡(luò)存在如下幾種不同 的邊界：1）內(nèi)聯(lián)網(wǎng)（VPN網(wǎng)絡(luò)）就是 xx 公司整個網(wǎng)絡(luò)架構(gòu)，包含總部、 30個分支機(jī)構(gòu)（以后可能擴(kuò)充）。2）外聯(lián)網(wǎng)指與xx公司網(wǎng)絡(luò)相連的國際互聯(lián)網(wǎng)（INTERNE）。在每個網(wǎng)絡(luò)區(qū)域內(nèi)部根據(jù)服務(wù)器用途、訪問對象、安全需求的不同，可進(jìn)一步區(qū)

11、 分為不同的內(nèi)部子網(wǎng)，從而增加了訪問控制規(guī)劃的邊界參考點。2、VPN防火墻系統(tǒng)設(shè)計原則在xx公司VPN防火墻系統(tǒng)的設(shè)計過程中，我們始終遵循以下原則：1 ）系統(tǒng)工程原則在系統(tǒng)設(shè)計和實施過程中，嚴(yán)格遵循系統(tǒng)工程的觀點和方法進(jìn)行工作。自始 至終考慮到系統(tǒng)的整體性、層次性、相關(guān)性、目的性、時間性和環(huán)境的適應(yīng)性。2）用戶第一的原則系統(tǒng)設(shè)計的邏輯模型必須符合用戶的要求，完成系統(tǒng)提出的目標(biāo)和功能。以 需求為核心無論是產(chǎn)品選型、 部署還是體系搭建， 都必須圍繞安全需求進(jìn)行， 保證安全投資的合理性和目標(biāo)的準(zhǔn)確實現(xiàn)。3）先進(jìn)性和實用性原則采用先進(jìn)的設(shè)計思想和設(shè)計方法，盡量采用國內(nèi)、外先進(jìn)技術(shù)，使本系統(tǒng)在 國內(nèi)具有

12、一定的先進(jìn)水平。采用先進(jìn)技術(shù)，必須符合實際情況，堅持一切從實際 出發(fā)，一切為用戶著想的原則，系統(tǒng)的建立以用戶的需要作為設(shè)計的出發(fā)點和歸 宿，求得先進(jìn)性和實用性相統(tǒng)一，獲取最佳效益。4）可靠性原則系統(tǒng)設(shè)計應(yīng)確保系統(tǒng)運(yùn)行的正確性和數(shù)據(jù)傳輸?shù)恼_性，防止和恢復(fù)由內(nèi)在 因素和危機(jī)環(huán)境造成的錯誤和災(zāi)難性故障，確保系統(tǒng)獲取可靠性。5）可操作性原則可操作性是指系統(tǒng)應(yīng)盡量便于用戶的理解、學(xué)習(xí)、掌握和使用，人機(jī)界面友 好，方便操作和維護(hù)。四、VPN防火墻產(chǎn)品選型本方案中的產(chǎn)品選型主要基于以下的原則：1）能夠?qū)崿F(xiàn)安全目標(biāo)，控制安全風(fēng)險xx 公司的防火墻系統(tǒng)應(yīng)該能夠?qū)νǔ５木W(wǎng)絡(luò)風(fēng)險能夠有較好的防范手段和措施， 可以

13、滿足現(xiàn)有網(wǎng)絡(luò)的安全需求，具有良好的可擴(kuò)展性。2）提供完整的VPN功能根據(jù)認(rèn)真審慎地對比和分析，我們認(rèn)為，F(xiàn)ortigate-300 防火墻和Vigor2200Eplus VPN 路由器從產(chǎn)品功能、系統(tǒng)安全性、可擴(kuò)展性、性價比等多方面優(yōu)于同類產(chǎn)品，滿足了上述 選型原則和系統(tǒng)設(shè)計要求。Fortigate-300 防火墻可用做總部的VPN和外聯(lián)網(wǎng)接入設(shè)備， 控制VPN和外聯(lián)網(wǎng)數(shù)據(jù)流。Vigor2200Eplus用作分公司的VPN接入設(shè)備。概括如下：1、 Fortigate 產(chǎn)品功能、特點能夠很好的滿足 xx 公司的安全需求，實現(xiàn)其安全目標(biāo)。1）Fortigate 全功能防火墻采用狀態(tài)監(jiān)測技術(shù)，以保護(hù)

14、系統(tǒng)免受內(nèi)部及外來的攻擊。 無論物理及虛擬接口均可提供阻斷服務(wù)式攻擊 （DoS）及具有攻擊防御功能。以下功 能為現(xiàn)今的網(wǎng)絡(luò)提供更高的靈活性和安全性。2）全集成化的解決方案，具備安全優(yōu)化的硬件、操作系統(tǒng)和防火墻，比拼湊式以軟件 為基礎(chǔ)的方案提供更高階的安全性和性能。3）全面的阻斷服務(wù)及攻擊防御功能，包括 SYN攻擊、ICMP泛濫、端口掃描等多種攻 擊防護(hù)能力；此外，配合硬件加速的會話啟動功能，即使在高負(fù)荷的網(wǎng)絡(luò)環(huán)境下亦 可提供安全保護(hù)。4）病毒和蠕蟲防御：能夠 100%檢測、消除感染現(xiàn)有網(wǎng)絡(luò)的病毒和蠕蟲，實時的掃描 輸入和輸出郵件及其附件（SMTP POP3 IMAF），在不損失Web生能情況下

15、掃描所 有Web內(nèi)容和插件（HTTP的病毒特征碼；VPN反病毒：消除VPN隧道的病毒和蠕 蟲，阻止遠(yuǎn)程用戶及合作伙伴的病毒傳播。5）Web內(nèi)容過濾處理所有的網(wǎng)頁內(nèi)容，阻擋不適當(dāng)?shù)膬?nèi)容和惡意的腳本。Web內(nèi)容過濾：根據(jù)URL關(guān)鍵詞模式匹配阻止 Web站點及頁面。免屏蔽列表：允許管理員設(shè)置專門的 URL或關(guān)鍵字不被阻斷。腳本過濾：阻止網(wǎng)頁的插件，例如 ActiveX 、Java Applets 和 Cookies。6） 入侵檢測系統(tǒng)實時的基于網(wǎng)絡(luò)的入侵檢測。攻擊數(shù)據(jù)庫：用戶可配置的超過 1300 種攻擊特征庫確?？煽康墓芾怼９魴z測：檢測已知的DOS DDO數(shù)擊，以及絕大多數(shù)操作系統(tǒng)和應(yīng)用協(xié)議的漏

16、洞7）郵件報警：當(dāng)監(jiān)測到攻擊時，防火墻會同時向 3 個郵件地址自動發(fā)出警報。8）日志和報告：將日志記錄遠(yuǎn)程傳送到 Syslog 主機(jī)。多種日志 : 流量、事件和攻擊日志。搜索功能 :可以根據(jù)關(guān)鍵字 ,來源, 目的, 日期和時間搜索日志記錄。2、Vigor2200Eplus路由器的功能特點能很好的滿足各分公司的 VPN需求1）快速的廣域網(wǎng)口，采用 10/100M 以太網(wǎng)絡(luò)，適合在高速的應(yīng)用環(huán)境， 支持 ADSL 共享上網(wǎng)、寬帶光纖接入等多種上網(wǎng)方式。2）提供DHCP Server功能，內(nèi)置4 口 10/100M交換口。3）VPN功能，在加密的通道內(nèi)穿越公共的因特網(wǎng)進(jìn)行安全的遠(yuǎn)程連接，節(jié)省專線 費

17、用，充分利用已有的網(wǎng)絡(luò)資源。支持IPSec/PPTP/L2TP,并提供 DES/3DES/MPP加密方式。4）內(nèi)置強(qiáng)大的防火墻能力，提供諸如 NAT端口阻斷，DDOSDOS呆護(hù)等。5）支持VLAN基于端口的速率調(diào)節(jié)。6）動態(tài)域名服務(wù)功能。五、部署示意圖六、方案特點1 、可用性由于采用了高可靠性、基于 ASIC芯片設(shè)計的硬件防火墻設(shè)備，系統(tǒng)的可用性得到了有力 的保證。在xx公司網(wǎng)絡(luò)出口這樣的一個重要的網(wǎng)絡(luò)環(huán)境中，高可用性無疑是良好的解決 方案所必須具備的特征。2、良好的可擴(kuò)展性方案選用的產(chǎn)品使系統(tǒng)的可擴(kuò)展性非常好，可以在不中斷服務(wù)的情況下任意擴(kuò)展，而且由 于產(chǎn)品本身的高處理量，系統(tǒng)具有超強(qiáng)的擴(kuò)展

18、能力。3、安全性在整個方案設(shè)計過程中，不僅從產(chǎn)品選型和系統(tǒng)各實現(xiàn)環(huán)節(jié)實現(xiàn)了防火墻系統(tǒng)自身的安 全，而且從整體防護(hù)的角度出發(fā)，對防病毒等安全應(yīng)用提供的安全保護(hù)和可借鑒意義進(jìn)行 了充分考慮，從而實現(xiàn)了系統(tǒng)最大的安全性。4、性價比由于產(chǎn)品選型恰當(dāng)，部署結(jié)構(gòu)合理，從而使系統(tǒng)獲得了最佳的性價比。七、方案報價附件一： Vigor2200Eplus 產(chǎn)品介紹Vigor2200Eplus 是以全新高速 CPU 平臺，針對寬頻線路來設(shè)計，適合高速的寬頻存 取，VPN使用，NAT地址轉(zhuǎn)換和防火墻等功能。可連接10/100M頻寬的ADSL/Cable調(diào)制解調(diào)器聯(lián)機(jī)上網(wǎng)，內(nèi)建四口的 10/100M 交換器端口，提供給

19、內(nèi)部的計算機(jī)連接使用。此 外，具串行端口打印服務(wù)器功能，可提供文件及相片的打印服務(wù)。其主要功能包括 :DHCP Client/Server提供IP地址分配，DDNS態(tài)網(wǎng)址服務(wù)功能，提供動態(tài)線路服務(wù)，撥號時程服務(wù)可依據(jù)網(wǎng)絡(luò)時間來提供上網(wǎng)服務(wù)，SNMP!供網(wǎng)管，RADIUS等提供VPN聯(lián)機(jī)時更多功能的選擇及彈性設(shè)定。Vigor2200Eplus VPN 路由器的好處針對個人工作室(SOHO及中小企業(yè)(SME設(shè)計簡易，最容易與 ADSL/Cable調(diào)制解調(diào) 器連結(jié)上網(wǎng)。 Easy Internet Access via broadband technology by connecting to AD

20、SL/Cable modem for SOHO強(qiáng)大的VPN功能，可提供分支點對總公司，移動人員對總 公司及分支點對分支點的聯(lián)機(jī)應(yīng)用。WAI提供高速10/100MbaseTX高速網(wǎng)絡(luò)，特別適合大量用戶或需高流量之客戶群，如社區(qū)網(wǎng)絡(luò)或光纖到大樓等服務(wù)。內(nèi)建四口自動偵測跳線功能之交換器。內(nèi)建打印機(jī)服務(wù)器可提供網(wǎng)絡(luò)內(nèi)每部計算機(jī)使用。防火墻保護(hù)可避免駭客經(jīng)由網(wǎng)絡(luò)攻擊。撥號時程設(shè)定可預(yù)先確認(rèn) VPNS遠(yuǎn)程撥入用戶上網(wǎng)使用時間。動態(tài)網(wǎng)域服務(wù)功能(Dynamic DNS)提供非固定IP用戶可建立等伺服務(wù)，當(dāng)ISP變換不同網(wǎng)址時，仍可正常服務(wù)。重要特色強(qiáng)而有力的平臺適合高速的網(wǎng)絡(luò)存取Vigor2200Eplus

21、是采用最新的平臺架構(gòu)，可輕易建立 VPN聯(lián)機(jī)，不管是總公司對分支點， 行動式應(yīng)用點對總公司，分支點對分支點間的聯(lián)機(jī)，皆可更快速的連結(jié)。除了 VPN聯(lián)機(jī)速度外，亦增加NAT地址轉(zhuǎn)換及防火墻封包過濾的速度?？焖俚膹V域網(wǎng)口 ( WAN interface)Vigor2200Eplus 的廣域網(wǎng)口是采用 10/100M 以太網(wǎng)絡(luò)，適合在高速的應(yīng)用環(huán)境，如光纖 到大樓 FTTB ( fiber-to-the-building )或光纖到用戶 FTTH ( fibber-to-the-home )等。虛擬私有網(wǎng)絡(luò)Virtual Private Network (VPN)技術(shù)規(guī)格 廣域網(wǎng)絡(luò)界面 (WAN )一個 10/100M BaseTXADSL PPPoE/ PPTP客 戶端DHCP客戶端固定 IP 網(wǎng)絡(luò)環(huán)境的靜態(tài) IP 指定DDNS (Dynamic DNS) 客戶端NTP(Network time Protocol )客戶端局域網(wǎng)絡(luò)界面 (LAN