防火墙能可行地控制内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）与外部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）之间的访问及数据传输，从而达到保护内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的信息不受外部非授权用户的访问和过滤不良信息的目的，它对两个或多个网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）之间传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）之间的通信是否被允许。咱们设计的防火墙原因是让它来防御外部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）对某企业内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的攻击，并且也防止内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）不法人员把该企业数据泄漏出去。曾经的防火墙处于网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）体系的网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）层，用它来负责网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）间的安全认证与传输，但当前防火墙技术在不停的发展，已经从网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）层扩展到了别的安全层，它的任务不再是过滤任务，并且还能够为网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）应用提供相应的安全办事，并且防火墙产品也发展成为具有数据安全与用户认证和防止病毒与黑客入侵的本领。

2、采用的防火墙技术

    首先咱们来研究下该企业网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）安全系统中设计防火墙时所采用的防火墙技术。在设计防火墙体系结构时，应从现有的防火墙技术出发，通常采用的防火墙技术有：

    （1）包过滤技术

    包过滤（PaCketFilter）技术是在网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）层中对数据包实施（实际的行为）有选择的经过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、TCP/UDP源端标语、TCP/UDP目的端标语及数据包头中的各种标记位等原因来确定是否允许数据包经过，其核心是安全策略即过滤算法的设计。比如，用于特定的因特网办事的办事器驻留在特定的端标语的事实（如TCP端口23用于Telnet连接），使包过滤器可以经过简单的规定适当的端标语来达到阻止或允许一定类型的连接的目的，并可进一步组成一套数据包过滤规则。包过滤技术作为防火墙的应用有三类：一是路由设备在完成路由选择和数据转发之外，并且进行包过滤，这是现在较常用的方式;二是在工作站上应用软件进行包过滤，这种方式价格较贵;三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。

    （2）网关技术

    应用网关（ApplicationGateway）技术是创建在网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）应用层上的协议过滤，它针对特别的网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）应用办事协议即数据过滤协议，并且可以对数据包研究并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境赐与严格的控制，以防有价值的程序和数据被窃取。它的另一个功能是对经过的信息进行记录，如什么样的用户在什么时间连接了什么站点。在实际工作中，应用网关一般由专用工作站系统来完成。

    有部分应用网关还存储Internet上的那些被频繁应用的页面。当用户请求的页面在应用网关办事器缓存中存在时，办事器将检查所缓存的页面是否是最新的版本（即该页面是否已更新），假设是最新版本，则直接提交给用户，不然，到真正的办事器上请求最新的页面，然后再转发给用户。

    （3）代理办事器技术

    代理办事器（ProxyServer）作用在应用层，它用来提供应用层办事的控制，起到内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）向外部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）申请办事时中间转接作用。内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）只接受代理提出的办事请求，拒绝外部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）别的接点的直接请求。

    具体地说，代理办事器是运行在防火墙主机上的专门的应用程序大概办事器程序;防火墙主机可以是具有一个内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）接口和一个外部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）接口的双重宿主主机，也可以是部分可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网办事的请求（诸如FTP、Telnet），并按照一定的安全策略转发它们到实际的办事。代理提供代替连接并且充任办事的网关。

    包过滤技术和应用网关是经过特定的逻辑判断来决定是否允许特定的数据经过，其长处是速度快、实现方便，缺点是审计功能差，过滤规则的设计存在矛盾关系，过滤规则简单，安全性差，过滤规则复杂，办理困难。一旦判断条件满足，防火墙内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的结构和运行状态便“暴露”在外来用户面前。代理技术则能进行安全控制又可以加速访问，可以可行地实现防火墙内外计算机系统的隔离，安全性好，还可用于实施（实际的行为）较强的数据流监控、过滤、记录和报告等功能。其缺点是相比每一种应用办事都一定为其设计一个代理软件模块来进行安全控制，而每一种网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）应用办事的安全难题各不相同，研究困难，所以实现也困难。

    在实际应用当中，构筑防火墙的“真正的处理方案（进行工作的具体计划或对某一问题制定的规划）”很少采用单一的技术，通常是多种处理不一样难题的技术的有机组合。你必要处理的难题依赖于你想要向你的客户提供什么样的办事以及你愿意接受什么等级的风险，采用何种技术来处理那些难题依赖于你的时间、金钱、专长等原因。

    根据以上三种防火墙建立技术，咱们分析给该企业用异构防火墙部署。

3、异构防火墙的部署

    现在，该企业的网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）中已经部署了一台PIX525，该防火墙提供保护整上内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的作用，用来防止来自外部的攻击，把网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）分成两个网段，可是假设一旦黑客攻访了防火墙，那么整个内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）就暴漏在了黑客面前，假设是恶意攻一击那么武威面粉厂的好处将受到很大损害。因此咱们调查分析后，决定采用异构防火墙的部署方式，在原来防火墙的基础上，根据武威面粉厂资金，在财务网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）和内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）之间再架构一台防火墙，把网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）分成三个网段，这样极大的提升了整个网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的安全防御本领。在不一样的网段采用不一样的安全级别，而实际上财务网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）和接入内部网层的安全级别和内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）接入Internet网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）办事层的安全强度本身要求便是不一样的，并且不一样的防火墙产品其性能结构也不但相同，它们具有不一样的安全级别和安全强度，当此中一个防火墙被霸占后，不会影响到别的网段。

    并且办理员可以可行的办理网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的），轻松的对付外部攻击。

    在网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的硬件设备部署中，咱们在外部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）访问层与内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）接入层咱们部署了PIX525防火墙（Fl），在财务网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）与内部网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）接入层咱们部署了远东网安2000防火墙（F2）。在每一个防火墙上设置不一样的安全策略，来达到对整个网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）的多层防护，减少单一防火墙部署所带来的损失。经过这两个防火墙的部署，把网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）分成三个网段。防火墙产品本身不具有安全性，一定给它创建可靠的规则来使其成为一成功、安全和可靠的产品，根据两个防火墙所管束的网段的不一样和其性能的不一样，咱们分别对Fl区和F2区设置不一样的安全规则。设置规则如下：

    F1的安全规则为：

    ⑴内部用户可以访问Internet。

    ⑵内部用户与外部的网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）连接一定经过代理办事器。

    ⑶外部用户只可以让用WEB和MAIL办事器。

    ⑷外部的Telnet会话只能与指定主机进行。

    ⑸DNS办事器只允许解析应用代理计算机，不允许解析内部用户。

    F2的安全规则为：

    ⑴只允许内部用户的访问。

    ⑵拒绝所有来自外部主机的数据包。

    ⑶FTP会话一定经过安全认证。

    ⑷与外部的数据交换只能经过特定端口完成。

    ⑸在指定的时间内才可以进行远程访问。

4、结语

    经过次次论文中设计方案（进行工作的具体计划或对某一问题制定的规划）的实施（实际的行为），某企业内网的安全难题从防火墙设计整体考虑，在统一部署思想指导下采用新的网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）防护技术，网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）安全难题得到了一定程序的处理，给办理员和该企业职工带来了很大的方便。但网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）技术在不停的发展，在咱们的设计的网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）安全系统中将会很快会出现部分意想不到的安全难题必要咱们去处理，可是在断的学习和改进中，相信随着技术的发展咱们的技术水平也会得到不停的提升。