【正文】 置防火墻，為了內(nèi)部信息網(wǎng)的信息安全，按照省局的要求，需要設(shè)置雙防火墻的方案。 根據(jù)美國(guó)國(guó)家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專(zhuān)用網(wǎng)）。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防火墻應(yīng)該可以拒絕所有以上類(lèi)型攻擊的報(bào)文并通知防火墻管理員。病毒、木馬發(fā)送大量數(shù)據(jù)包，造成系統(tǒng)資源的消耗，以至系統(tǒng)停止服務(wù)，造成數(shù)據(jù)丟失，機(jī)器、網(wǎng)絡(luò)系統(tǒng)癱瘓，必須斷開(kāi)網(wǎng)絡(luò)逐一進(jìn)行殺毒，增加網(wǎng)絡(luò)工作量，影響正常工作。隨著網(wǎng)絡(luò)的廣泛應(yīng)用和普及，網(wǎng)絡(luò)入侵行為、病毒破壞、垃圾郵件的處理和普遍存在的安全話題也成了人們?nèi)遮呹P(guān)注的焦點(diǎn)，做為網(wǎng)絡(luò)邊界的第一道防線，由最初的路由器設(shè)備配置訪問(wèn)策略進(jìn)行安全防護(hù)，到形成專(zhuān)業(yè)獨(dú)立的防火墻產(chǎn)品，已經(jīng)充斥了整個(gè)網(wǎng)絡(luò)世界。防火墻的物理實(shí)現(xiàn)方式又有所不同，通常一個(gè)防火墻由一套硬件(一個(gè)路由器或路由器的組合，一臺(tái)主機(jī))和適當(dāng)?shù)能浖M成。從部署位置來(lái)看，防火墻往往又位于網(wǎng)絡(luò)出口，是內(nèi)部網(wǎng)和外部網(wǎng)之間的唯一通道，因此提高防火墻的性能、避免其成為瓶頸、合理科學(xué)地把防火墻安裝在網(wǎng)絡(luò)中的適當(dāng)位置、通過(guò)對(duì)防火墻的配置充分利用防火墻的功能成為是否成功發(fā)揮防火墻作用的一個(gè)關(guān)鍵問(wèn)題。當(dāng)前，網(wǎng)絡(luò)面臨的安全威脅大體上分為兩種：一種是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的威脅；另一種是對(duì)網(wǎng)絡(luò)設(shè)備的威脅。從理論上講Internet 防火墻也類(lèi)似于此目的?！? 第二、三代防火墻：1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。 由于網(wǎng)絡(luò)體系越來(lái)越復(fù)雜，應(yīng)用系統(tǒng)越來(lái)越多，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，再加上與Internet的連接，網(wǎng)絡(luò)用戶也已經(jīng)不單單是內(nèi)部用戶。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC等。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。 防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。 這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。企業(yè)信息安全的現(xiàn)狀分析企業(yè)原有的網(wǎng)絡(luò)結(jié)構(gòu)如下：說(shuō)明：企業(yè)有兩個(gè)內(nèi)部信息網(wǎng)絡(luò)，一個(gè)為辦公網(wǎng)、另外一個(gè)為內(nèi)部生產(chǎn)網(wǎng)。 企業(yè)有兩個(gè)防火墻，一個(gè)是聯(lián)想防火墻，另外一個(gè)是天融信防火墻。規(guī)則4：從外網(wǎng)絡(luò)通過(guò)VPN訪問(wèn)內(nèi)部生產(chǎn)網(wǎng)時(shí)候，允許VPN虛擬IP訪問(wèn)內(nèi)部生產(chǎn)網(wǎng)的一些服務(wù)器的特定端口。目的地址轉(zhuǎn)換：,OA服務(wù)器群網(wǎng)絡(luò)設(shè)置如下：OA服務(wù)器1：IP地址 ， 網(wǎng)關(guān) 。 防火墻日志服務(wù)器能訪問(wèn)互聯(lián)網(wǎng)的139郵件服務(wù)器，當(dāng)防火墻出現(xiàn)異常的時(shí)候，馬上通知網(wǎng)絡(luò)管理員。而隨著互聯(lián)網(wǎng)流量的越來(lái)越濫用、日益嚴(yán)峻的網(wǎng)絡(luò)攻擊和入侵，如果再在聯(lián)想防火墻和三層交換機(jī)之間接入流量管理控制設(shè)備、在天融信防火墻和外網(wǎng)之間接入IPS防御系統(tǒng)，那么整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性和流量可控性