系統(tǒng)設(shè)計目標(biāo)
    (1)首先建立安裝防火墻使用可編程路由器作為包過濾器，此法是目前用得最普通的網(wǎng)絡(luò)互連安全結(jié)構(gòu)。路由器根據(jù)源/目的地址或包頭部的信息，有選擇地使數(shù)據(jù)包通過或阻塞。
    (2)其次建立安裝防火墻的基本方法是，把防火墻安裝在一臺雙端口的主機系統(tǒng)中，連接內(nèi)部網(wǎng)絡(luò)。而不管是內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)均可訪問這臺主機，但外部網(wǎng)絡(luò)不能與內(nèi)部網(wǎng)上的主機直接進行通信。
(3)另外由于計費的需要，防火墻系統(tǒng)對外防火墻，對內(nèi)審計、計費系統(tǒng)。
實際上防火墻需是集IP流量計費、流量控制、網(wǎng)絡(luò)管理、用戶驗證、安全控制于一身的綜合防火墻。本系統(tǒng)的主要功能包括：防止外部攻擊，保護內(nèi)部網(wǎng)絡(luò)、解決網(wǎng)絡(luò)邊界的安全問題。通過防火墻隔離內(nèi)外網(wǎng)絡(luò)支持訪問代理功能對IP地址進行訪問控制對端口進行訪問控制對協(xié)議進行訪問控制。

防火區(qū)結(jié)構(gòu)構(gòu)架
    我們實際上采用的是在內(nèi)部網(wǎng)絡(luò)與INTERNET接入網(wǎng)之間設(shè)立一個防火區(qū)。防火區(qū)由Cisco 2501路由和E-MAIL服務(wù)器、WEB服務(wù)器和代理服務(wù)器組成，相互之間用HUB相連。允許外部INTERNET用戶作限定的訪問。允許內(nèi)部網(wǎng)站通過代理服務(wù)器對外訪問。

過濾路由器
    其中Cisco 2501通過MODEM和DDN專線負責(zé)接入CHINANET(163)及CHINAINFO(169國內(nèi)多媒體信息網(wǎng))，實現(xiàn)與INTERNET連接。其主要用作過濾路由和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。雖然防火區(qū)內(nèi)每個服務(wù)器都配有163地址和169地址，但是防火區(qū)中的服務(wù)器網(wǎng)段上，實際只配置了169地址網(wǎng)段，這樣所有需要訪問上述服務(wù)器含163地址(202.96.XX.XX)的IP包都被轉(zhuǎn)成對應(yīng)的含169地址(10.103.XX.XX)的IP包。這項任務(wù)由路由器2501來完成。這樣處理可以既 不影響速度，也減少了設(shè)備，又便于進行管理。

代理服務(wù)器
配置及主要功能
    代理服務(wù)器配置為：P11/512M內(nèi)存/6.4G硬盤4只/3C509網(wǎng)卡2塊/LUNIX操作系統(tǒng)其主要作為內(nèi)部網(wǎng)絡(luò)訪問外界的代理服務(wù)器，也是主要的防火墻，一般由其外發(fā)的IP包的地址為設(shè)置成202.96.XX.5格式，這樣在黑客截走這個包后再企圖對該服務(wù)器進行進攻會招致失敗。另外該服務(wù)器還作為front page服務(wù)器，這樣使得在內(nèi)部對相同的網(wǎng)站進行訪問時，只要提 供從服務(wù)器自身獲取數(shù)據(jù)即可。這樣可以提高速度降低費用。

主要技術(shù)
    主要技術(shù)有IP包過濾、IP計費、IP和MAC地址的對應(yīng)、RADIUS用戶驗證和授權(quán)、主機安全、 地址轉(zhuǎn)譯。

其他服務(wù)器
WEB服務(wù)器
    配置為：P11/256MB內(nèi)存/6.4GB硬盤2只/3C509網(wǎng)卡1塊/WINDOWS NT其主要用于存放公司主頁等；另外為了訪問安全和提高訪問速度，我們要求另在169系統(tǒng)上 申請一個300MB的存儲空間，主要作為主頁的訪問鏡像。 
    E-MAIL及DNS服務(wù)器
配置為：P11/256MB內(nèi)存/6.4GB硬盤2只/3C509網(wǎng)卡2塊/LUNIX主要外來的電子郵件接收、外出郵件發(fā)送和域名轉(zhuǎn)換。提供SMTP和P0P3功能。

系統(tǒng)安裝 
    網(wǎng)絡(luò)地址配備
    在安裝前首先向電信部門申請DDN專線，同時在申請到20個169的IP地址(10.103.XX .XX)及8個163的IP地址(202.96.XX.XX)。對IP地址進行分配。其中：3個163 IP地址用于線路及路由器，還有5個地址用于服務(wù)器。4個169 IP地址用于網(wǎng)絡(luò)連接，3個169 IP地址用于線路及路由器。5個169 IP地址用于公有的163地址作對應(yīng)，即還有4個169的地址保留。
我們的網(wǎng)段分配如下：
    路由器、WEB服務(wù)器、EMAIL SERVER、代理服務(wù)器各分配到1個163地址和169地址，這些設(shè)備之間通過同一網(wǎng)段169網(wǎng)段連接。我們?yōu)?63設(shè)置虛擬網(wǎng)段，由路由負責(zé)將163網(wǎng)絡(luò)地址轉(zhuǎn)換成169地址。內(nèi)部網(wǎng)絡(luò)的IP地址統(tǒng)一為172.16.XX.XX，為了實現(xiàn)代理服務(wù)器、MAIL SERVER等與內(nèi)部網(wǎng)絡(luò)連接，我們給代理服務(wù)器和MAIL SERVER各分配了一個內(nèi)部網(wǎng)絡(luò)地址。

    系統(tǒng)安裝
　　a　網(wǎng)絡(luò)連接
　　b　路由及各服務(wù)器操作系統(tǒng)安裝調(diào)試
　　c　根據(jù)地址分配設(shè)置網(wǎng)卡地址，注意代理服務(wù)器的169地址應(yīng)該設(shè)置成網(wǎng)關(guān)地址(GATEWAY)
　　d　代理服務(wù)器計費軟件和Front Page安裝調(diào)試
　　e　WEB服務(wù)器調(diào)試
f　MAIL SERVER域名轉(zhuǎn)換安裝調(diào)試

    防火墻系統(tǒng)的維護原則
　　防火墻的維護防火墻的管理維護工作，是一項長期、細致的工作。必須經(jīng)過一定水平的業(yè)務(wù)培訓(xùn)，對自己的計算機網(wǎng)絡(luò)系統(tǒng)，包括防火墻在內(nèi)的結(jié)構(gòu)配置要清楚。
　　實施定期的掃描和檢查，發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)出了問題，能及時排除和恢復(fù)。
　　保證系統(tǒng)監(jiān)控及防火墻之間的通信線路能夠暢通無阻，以便對安全問題進行報警、修復(fù)、處理其他的安裝信息等。
保證整個系統(tǒng)處于優(yōu)質(zhì)服務(wù)狀態(tài)，必須全天候的對主機系統(tǒng)進行監(jiān)控、管理和維護，達到萬無一失。

    總結(jié)
　　我們目前設(shè)計的系統(tǒng)已經(jīng)實現(xiàn)了基本安全和日常流量控制，主要包括：
    ①通過虛擬地址設(shè)立，有效控制外來訪問，實現(xiàn)防止外來入侵目的；
    ②控制雙向信息流向和信息包，并對進出流量進行計算以控制費用；
    ③通過地址轉(zhuǎn)換隱藏內(nèi)部IP地址和實際網(wǎng)絡(luò)結(jié)構(gòu)；
    ④便于提供VPN功能。
    目前的系統(tǒng)設(shè)計上，不能完全阻擋有經(jīng)驗的黑客襲擊，特別是內(nèi)部黑客的襲擊。服務(wù)器使用 的是Red Hat的Linux，系統(tǒng)本身不會受到常見病毒的感染，但其不能對病毒進行過濾，工作站受病毒侵襲的可能依然存在。所以今后網(wǎng)絡(luò)安全在技術(shù)和管理上還有待于進一步發(fā)展。