【正文】 置防火墻，為了內(nèi)部信息網(wǎng)的信息安全，按照省局的要求，需要設(shè)置雙防火墻的方案。 根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護設(shè)備。除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。病毒、木馬發(fā)送大量數(shù)據(jù)包，造成系統(tǒng)資源的消耗，以至系統(tǒng)停止服務(wù)，造成數(shù)據(jù)丟失，機器、網(wǎng)絡(luò)系統(tǒng)癱瘓，必須斷開網(wǎng)絡(luò)逐一進行殺毒，增加網(wǎng)絡(luò)工作量，影響正常工作。隨著網(wǎng)絡(luò)的廣泛應(yīng)用和普及，網(wǎng)絡(luò)入侵行為、病毒破壞、垃圾郵件的處理和普遍存在的安全話題也成了人們?nèi)遮呹P(guān)注的焦點，做為網(wǎng)絡(luò)邊界的第一道防線，由最初的路由器設(shè)備配置訪問策略進行安全防護，到形成專業(yè)獨立的防火墻產(chǎn)品，已經(jīng)充斥了整個網(wǎng)絡(luò)世界。防火墻的物理實現(xiàn)方式又有所不同，通常一個防火墻由一套硬件(一個路由器或路由器的組合，一臺主機)和適當(dāng)?shù)能浖M成。從部署位置來看，防火墻往往又位于網(wǎng)絡(luò)出口，是內(nèi)部網(wǎng)和外部網(wǎng)之間的唯一通道，因此提高防火墻的性能、避免其成為瓶頸、合理科學(xué)地把防火墻安裝在網(wǎng)絡(luò)中的適當(dāng)位置、通過對防火墻的配置充分利用防火墻的功能成為是否成功發(fā)揮防火墻作用的一個關(guān)鍵問題。當(dāng)前，網(wǎng)絡(luò)面臨的安全威脅大體上分為兩種：一種是對網(wǎng)絡(luò)數(shù)據(jù)的威脅；另一種是對網(wǎng)絡(luò)設(shè)備的威脅。從理論上講Internet 防火墻也類似于此目的?！? 第二、三代防火墻：1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。 由于網(wǎng)絡(luò)體系越來越復(fù)雜，應(yīng)用系統(tǒng)越來越多，網(wǎng)絡(luò)規(guī)模不斷擴大，再加上與Internet的連接，網(wǎng)絡(luò)用戶也已經(jīng)不單單是內(nèi)部用戶。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC等。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務(wù)。 防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。 這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。企業(yè)信息安全的現(xiàn)狀分析企業(yè)原有的網(wǎng)絡(luò)結(jié)構(gòu)如下：說明：企業(yè)有兩個內(nèi)部信息網(wǎng)絡(luò)，一個為辦公網(wǎng)、另外一個為內(nèi)部生產(chǎn)網(wǎng)。 企業(yè)有兩個防火墻，一個是聯(lián)想防火墻，另外一個是天融信防火墻。規(guī)則4：從外網(wǎng)絡(luò)通過VPN訪問內(nèi)部生產(chǎn)網(wǎng)時候，允許VPN虛擬IP訪問內(nèi)部生產(chǎn)網(wǎng)的一些服務(wù)器的特定端口。目的地址轉(zhuǎn)換：,OA服務(wù)器群網(wǎng)絡(luò)設(shè)置如下：OA服務(wù)器1：IP地址 ， 網(wǎng)關(guān) 。 防火墻日志服務(wù)器能訪問互聯(lián)網(wǎng)的139郵件服務(wù)器，當(dāng)防火墻出現(xiàn)異常的時候，馬上通知網(wǎng)絡(luò)管理員。而隨著互聯(lián)網(wǎng)流量的越來越濫用、日益嚴峻的網(wǎng)絡(luò)攻擊和入侵，如果再在聯(lián)想防火墻和三層交換機之間接入流量管理控制設(shè)備、在天融信防火墻和外網(wǎng)之間接入IPS防御系統(tǒng)，那么整個網(wǎng)絡(luò)系統(tǒng)的安全性和流量可控性