防火墻在網絡安全中的應用論文

-.z畢業(yè)論文防火墻在網絡平安中的應用目錄防火墻概念定義類型特征開展歷史防火墻的平安功能防火墻技術包過濾技術狀態(tài)包過濾技術NAT網絡地址轉換技術代理技術防火墻構造體系防火墻的局限性防火墻面臨的攻擊防火墻未來趨勢總結摘要:網絡平安是指網絡系統(tǒng)能夠可靠正常運行，軟硬件及其數(shù)據(jù)不因偶然或惡意因素遭受到破壞、更改、泄露。網絡平安的主要威脅主要有非法，冒充合法用戶，破壞數(shù)據(jù)，干擾系統(tǒng)正常運行，病毒攻擊，信息泄露等方面。隨著計算機技術的開展和網絡應用的普及，面對日益強大的網絡威脅，人們逐漸意識到網絡平安的重要性，而在網絡平安構造體系中，防火墻占據(jù)舉足重輕的位置。本文首先表達防火墻的一些概念特點，為下文的介紹做鋪墊，而將本文重點放在研究防火墻各種技術以及作用原理，并對此進展分析評價，以及提出一些改進意見，再簡單表達一些針對防火墻攻擊的策略。同時以用戶的角度表達了如何使用和選購防火墻來實現(xiàn)自身的平安需求，最后在對防火墻的未來前景進展展望。研究意義隨著計算機的廣泛應用，以及Internet網絡的迅猛開展，網絡平安的問題日益突出，人們越來越重視網絡平安問題。目前，網絡平安面臨的威脅主要有：病毒與惡意攻擊、非授權、間諜軟件入侵等，2012年我國計算機病毒感染率高達45.07%，通過網絡下載或瀏覽傳播病毒的比例占75.42%。國家互聯(lián)網應急中心，2014年2月10-16日網絡平安信息與動態(tài)周報顯示，本周境內感染網絡病毒的主機數(shù)量約為69.0萬個，其中包括境內被木馬或被僵尸程序控制的主機約35.0萬以及境內感染飛客〔conficker〕蠕蟲的主機約34.0萬。放馬站點是網絡病毒傳播的源頭，根據(jù)對放馬URL的分析發(fā)現(xiàn)，大局部放馬站點是通過域名，而通過IP直接的涉及94個IP。因此，防病毒防黑客已經成為防*網絡威脅的根本策略，而大局部的不安因素都是通過不平安的外部網絡環(huán)境侵入內部網絡而實施破壞的。目前，以防火墻為代表的被動防衛(wèi)型平安保障技術已經被證明是一種較有效的防止外部入侵的措施，所以，我們有必要對防火墻技術進展深入分析和研究，并能充分利用這項技術，努力改善防火墻技術，使網絡更穩(wěn)定，更平安。緒論隨著計算機的廣泛應用，以及Internet網絡的迅猛開展，網絡平安的問題日益突出，人們越來越重視網絡平安問題。目前，網絡平安面臨的威脅主要有：病毒與惡意攻擊、非授權、間諜軟件入侵等，2012年我國計算機病毒感染率高達45.07%，通過網絡下載或瀏覽傳播病毒的比例占75.42%。目前，以防火墻為代表的被動防衛(wèi)型平安保障技術已經被證明是一種較有效的防止外部入侵的措施，截至今日，防火墻已經成為維護網絡平安至關重要的一種平安設備，在網絡平安的防*體系中占據(jù)著舉足輕重的位置，而研究開展防火墻技術是網絡平安開展進程相當中重要的局部。一.防火墻概念1.防火墻指在內部網和外部網或專用網和公共網之間的一種由軟件、硬件設備組合的平安網關，保護內部網免受非法用戶的侵入.，防火墻的平安性一般包括控制能力、抗攻擊能力、自身的平安性3方面。防火墻主要由效勞規(guī)則、驗證工具、包過濾和應用網關4個局部構成，流經安裝防火墻的計算機的所有網絡通信和數(shù)據(jù)包都要經過此防火墻。防火墻可以是一種硬件〔如專用防火墻〕、固件或者軟件〔如代理效勞器軟件〕。軟件防火墻是以邏輯形式存在的，工作在系統(tǒng)接口與網絡驅動接口規(guī)*之間，是安裝在負責內外網絡轉換的網關效勞器或者獨立計算機上的一種特殊程序，信息處理效率較硬件防火墻低，很多企業(yè)往往使用的是硬件防火墻。硬件防火墻是一種以物理形式存在的專用設備，通常建立在兩個網絡的駁接處，直接從網絡設備上檢查過濾數(shù)據(jù)報文，硬件防火墻的硬件規(guī)格也是分檔次的，對吞吐量要求高的網絡里，經常選用芯片級的硬件防火墻。2.類型：〔1〕.按照作用區(qū)域不同，可以分為網絡層防火墻、應用層防火墻、數(shù)據(jù)庫防火墻。網絡層防火墻運作在底層的TCP/IP協(xié)議堆棧上、應用層防火墻運作在TCP/IP協(xié)議堆棧的應用層上，數(shù)據(jù)庫防火墻是基于數(shù)據(jù)庫協(xié)議分析和控制技術的數(shù)據(jù)庫平安防護系統(tǒng)?！?〕.按照工作原理，防火墻可分為包過濾防火墻〔包括狀態(tài)監(jiān)測型防火墻〕、應用代理防火墻、復合型防火墻，其中復合型防火墻是將包過濾技術和應用代理技術相結合。3.特征：〔一〕.內部網絡和外部網絡之間的所有網絡數(shù)據(jù)流都必須經過防火墻。〔二〕只有符合平安策略的數(shù)據(jù)流才能通過防火墻?！踩撤阑饓哂邢喈攺姷目构裟芰?。(四)應用層防火墻具備更細致的防護能力。(五〕數(shù)據(jù)庫防火墻針對數(shù)據(jù)庫惡意攻擊具有阻斷能力。歷史開展：第一代防火墻技術采用了包過濾技術，通過路由器的控制功能來實現(xiàn)。第二代防火墻即電路層防火墻，數(shù)據(jù)包在應用層管理，向不同協(xié)議提供效勞。第三代防火墻代理〔應用〕防火墻，擁有很強的日志記錄和審計功能。第四代防火墻是基于動態(tài)包過濾技術，后來開展成為狀態(tài)監(jiān)視技術。第五代防火墻一種自適應代理技術，結合代理防火墻平安性和包過濾防火墻高效率的優(yōu)點。二防火墻的平安功能防火墻是內外網之間的平安屏障，對流經防火墻的數(shù)據(jù)進展過濾，阻止有害或者不需要的信息通過，過濾掉一些攻擊保障用戶的平安。防火墻不能把所有的數(shù)據(jù)拒之門外，所以如何設置防火墻規(guī)則非常關鍵，這直接決定了防火墻的性能。一般防火墻都應該兼有報警功能、端口掃描功能、日志功能、黑白功能等，為滿足用戶的平安需求和查詢需求。三防火墻技術防火墻技術是一種綜合技術，一般很少采用單一技術，通常是多種為解決不同問題而進展技術組合，主要包括以下技術(一)包過濾技術1.這是一門最早的防火墻技術，主要是基于數(shù)據(jù)包過濾技術，通過檢測數(shù)據(jù)包的首部信息來決定是否丟棄，工作原理是檢查發(fā)送方IP地址、接收方IP地址，TCP端口、TCP標志位等信息是否滿足數(shù)據(jù)包過濾控制列表來判斷是傳送還是丟棄，工作在網絡層和傳輸層。包過濾技術粗略可分為包過濾技術和狀態(tài)檢測技術，詳細可分靜態(tài)包過濾技術、動態(tài)包過濾技術、狀態(tài)包檢測技術、深度包檢測技術。包過濾優(yōu)點是效率高速度快，邏輯簡單，本錢低，但是缺點亦明顯。因為是利用局部數(shù)據(jù)包的首部信息、通過過濾規(guī)則來檢測，不僅依據(jù)信息少，而且性能受過濾規(guī)則數(shù)目影響較大，假設設置數(shù)量過少，則不能滿足平安性的要求，數(shù)目過多效率會大大降低。因為網絡管理員要設置過濾規(guī)則，所以對網絡員的專業(yè)素質較高。并且不能防止IP地址欺騙，因為過濾依據(jù)是IP地址、目的IP地址，而IP地址的偽造是很容易并且很普遍的。該技術還缺少審計和報警機制、缺少上下文關聯(lián)信息，所以不能對網絡上流動的信息做出全面的記錄和控制，不能進展身份驗證、不能有效過濾等UDP、RPC一類的協(xié)議。即使再完善的數(shù)據(jù)包過濾仍有一些應用協(xié)議如FTP、RPC不適合于數(shù)據(jù)包過濾。因為該技術是動態(tài)分配端口號，所以必須全部翻開客戶端動態(tài)分配端口區(qū)域，不能實現(xiàn)使用哪個端口就翻開哪個端口，這時假設防火墻沒有記住已存在的TCP連接，則無法抵御TCP的ACK掃描。目前，防火墻已經較少使用該技術，市場上主要使用狀態(tài)包過濾技術和應用代理技術。〔二〕狀態(tài)包過濾技術狀態(tài)包過濾技術也稱狀態(tài)檢測技術1.近幾年才應用的新技術，是對過去包過濾技術的一種升級模式，基于連接的狀態(tài)檢測技術，判斷同屬于一個連接的所有包是否屬于當前合法連接，通過規(guī)則表與狀態(tài)表的共同配合，從而進展動態(tài)過濾。過濾規(guī)則不僅決定是否承受數(shù)據(jù)包，還包含是否在狀態(tài)表中添加新連接，狀態(tài)表會跟蹤每一個會話過程，使數(shù)據(jù)包偽裝攻擊的時機大大減少，比傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則，更平安更靈活。因為借助狀態(tài)表可以按需開放端口，連接完畢端口就關閉，大大減少了端口暴露的時機，所以可以抵御TCP的ACK掃描，加大了平安性。但狀態(tài)包過濾技術仍存在不少問題，由于IP地址數(shù)目巨大且經常變動，所以在控制列表的配置和維護方面較為困難。因為包過濾防火墻不是會話連接的發(fā)起者，所以對主機之間的會話關系難以詳細了解，容易受到欺騙攻擊。由于工作在網絡層和傳輸層，難以過濾應用層效勞，容易遭受如HTTP/ICMP隧道攻擊等的攻擊。查詢狀態(tài)表會影響一些性能，不過影響較小，可以通過使用專用芯片解決。使用該技術時，假設增加身份認證功能則會大大增加防火墻的平安性，但同時也會降低處理效率。能與包過濾技術配合使用的還有多級過濾技術，這時一種綜合過濾型技術，分別在網絡層、傳輸層、應用層進展分組過濾，該技術彌補了單一過濾技術過濾力度的缺乏。〔三〕NAT網絡地址轉換技術1.也稱IP地址偽裝技術，是一種在數(shù)據(jù)包通過防火墻時轉換源IP地址或者目的IP地址的技術，可分為靜態(tài)NAT和動態(tài)NAT技術。工作原理是，內部原理內部主機和外部主機建立會話連接時，假設數(shù)據(jù)包來自內網則防火墻檢查NAT映射表是否已為該地址配置地址轉換，假設已配置則用公網IP地址替換內網地址并轉發(fā)數(shù)據(jù)包。假設來自外網，檢查NAT映射表是否存在匹配項，假設存在，用內部地址替換目的IP地址并轉發(fā)，否則拒絕數(shù)據(jù)包。靜態(tài)和動態(tài)的NAT對來自內網的數(shù)據(jù)包處理略微不同，靜態(tài)NAT過程中，假設NAT映射表中沒有配置靜態(tài)地址轉換，則防火墻不對內部地址進展轉換，丟棄或轉發(fā)數(shù)據(jù)包。動態(tài)NAT過程中，假設NAT映射表中沒有建立地址轉換映射項，防火墻則會進展地址轉換。該技術并非為了防火墻設計，優(yōu)點是節(jié)約了合法公網IP地址，NAT的主要功能是處理IPv4的地址空間缺乏，倘假設IPv6得到廣泛采用，則對該技術的需求會大大減少。該技術具有隱藏內部主機地址、.實現(xiàn)網絡負載均衡、處理網絡地址交迭等作用，但仍存在一些問題待解決。比方，一些應用層協(xié)議無法使用NAT技術，端口改變時，有些協(xié)議不能正確執(zhí)行他們的功能。靜態(tài)NAT是一對一替換IP地址的，但應用層協(xié)議數(shù)據(jù)包所包含的相關地址不能同時得到替換，這種情況可使用應用層代理效勞來實現(xiàn)。動態(tài)NAT，對于內部網絡攻擊，NAT不存在任何平安保護。假設是內部用戶主動與黑客主機或引誘到惡意外部主機上，內部主機將完全暴露，防火墻則無效。〔四〕代理技術1.與包過濾技術原理完全不同，著重于應用級別，分析經過防火墻的應用信息來決定丟棄還是傳送，利用代理效勞器來屏蔽雙方網絡，防止直接的端對端連接，代理技術可細分為應用層代理、電路層代理、自適應代理。通信時，外網用戶首先和代理效勞器連接，代理效勞器檢查其身份和數(shù)據(jù)平安合法后，再由代理效勞器與目標效勞器連接。應用層代理工作原理：對每一種應用效勞編制專門的代理程序，信息經過時檢查驗證其合法性，如其合法，會像一臺客戶機一樣取回所需的信息再轉發(fā)給客戶，這樣就會對應用層信息流實現(xiàn)監(jiān)視和控制，可代理HTTP/FTP/SMTP/POP3/Telnet等協(xié)議使用戶在平安的情況下瀏覽網頁、收發(fā)和遠程登錄等,。該技術有很多優(yōu)點，能夠解釋應用協(xié)議，支持用戶認證，還可緩存經常的信息，對于同一數(shù)據(jù)則無需向效勞器發(fā)出新請求，優(yōu)化了性能。還能夠提供詳詳細的注冊信息，比包過濾技術更容易配置和測試，能夠隱藏內網的IP地址，內部的IP可以通過代理因特網，所以解決IP地址不夠的問題。盡管應用代理技術有很多優(yōu)點，但是仍有不少缺陷。因為注重應用層并詳細搜索協(xié)議對數(shù)據(jù)控制多且細，CPU和內存的開銷大，所以當網關的吞吐量高時，速度會大受影響。對有些通用協(xié)議如RPC/Talk，無法使用應用層代理技術。而且一般代理效勞器只能解釋*一種效勞，可能需要提供很多種不同的代理效勞器，這樣的話便不能支持大規(guī)模的并發(fā)連接，只適合單一協(xié)議，效率大受影響。并且當一種應用升級的時候代理效勞器也要隨之升級，所以伸縮性有限。解決方法：傳輸層代理。傳輸層代理也包含傳輸層代理效勞器和傳輸層代理客戶端，與一般代理的區(qū)別是效勞端實現(xiàn)在應用層，顧客端實現(xiàn)在應用層和傳輸層之間，無需IP連通性便可實現(xiàn)效勞端兩端的互訪。并且傳輸層可以代理所有的具體應用。功能有數(shù)據(jù)加密、控制、信息認證和身份認證?！参濉砎PN虛擬專用網技術1.提供現(xiàn)有網絡或點對點連接上建立一至多條平安數(shù)據(jù)通信的機制,是一種網絡互連方式和將遠程用戶連接到網絡的方法。平安目標是抵御未授權的，只分配給受限的用戶獨占使用，并能在需要時動態(tài)的建立和撤銷。其中有端到點和點到點的VPN接入。端到點的VPN接入：遠程用戶通過因特網建立到內網的VPN連接，建立到遠程效勞器的vpn后，會得到一個內網的IP地址，用戶便可內部主機。點到點的VPN接入：跨越不平安公網來連接兩個端點的平安數(shù)據(jù)通道。一般，不能僅僅靠虛擬專用網絡來實現(xiàn)網絡平安，還應結合路由器、代理效勞器、等一種或者多種網絡軟硬件?！擦称渌嚓P技術常與防火墻技術配合使用的有數(shù)據(jù)加密技術。數(shù)據(jù)加密技術是將信息利用加密鑰匙、加密函數(shù)轉換，變成無意義的密文，承受方收到密文后通過解密函數(shù)、解密鑰匙復原成明文這樣提高信息系統(tǒng)及數(shù)據(jù)的平安性和**性。根據(jù)作用不同數(shù)據(jù)加密技術可分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術。而與數(shù)據(jù)加密技術息息相關的是智能卡技術。智能卡就是密鑰的一種媒體，由持有者設置一個口令或密碼字，使用該卡時，該密碼字要與內部網絡效勞器上注冊的密碼、口令與身份特征一致時才能使用，其**性能相當有效，目前，很多網上銀行為提高平安性都提供該種效勞。雖然防火墻在網絡平安中占據(jù)重要位置，但是網絡平安單靠防火墻是不夠的，還需要有考慮其它技術和非技術因素，如身份驗證技術、信息加密技術、入侵檢測技術、防病毒技術、制定規(guī)*的網絡法規(guī)、同時提高網絡管理人員的平安素質和平安意識等。四.防火墻體系構造防火墻體系構造一般分為：屏蔽路由器防火墻、雙宿主堡壘主機防火墻、屏蔽主機防火墻、屏蔽子網防火墻。屏蔽路由器防火墻：在原有路由器上進展包過濾配置，適合經費有限、平安性要求不高的防火墻選擇。缺點是被攻陷后很難發(fā)現(xiàn)，而且不能識別不同的用戶。雙宿主堡壘主機防火墻：在一臺擁有兩個網絡適配器、能連接到兩個不通過網絡上的主機上即雙宿主機做防火墻。優(yōu)點是可用于維護系統(tǒng)日志、硬件拷貝日志或遠程日志。因為該主機是外網用戶內網的中間轉接點，其平安性能很重要，所以只能安裝最小效勞、最低的權限，倘假設入侵者侵入到堡壘主機并使其只具有路由功能，則任何網上的用戶都可以隨便內網。屏蔽主機防火墻是屏蔽路由器防火墻和雙宿主堡壘主機防火墻這兩種模式的結合，易于實現(xiàn)也很平安。屏蔽路由器為堡壘主機過濾所有的IP數(shù)據(jù)包，到達堡壘主機還需進一步檢查，危險帶限制在堡壘主機和屏蔽路由器中，而網關的根本控制策略由安裝在上面的軟件決定，倘假設攻擊者設法登錄到它上面，內網中的其余主機則受到很大的威脅。堡壘主機既可用網絡層也可用應用層的策略來進展檢測，即必須把屏蔽路由器和堡壘主機都攻破，入侵者才能入侵內網，加大了平安性能。但這種體系構造中，堡壘主機可能被繞過而其他內部主機沒有其他的維護平安的屏障，這是此種構造的缺陷。屏蔽子網防火墻是目前被應用最廣泛的防火墻，使用一個或多個屏蔽路由器和堡壘主機，同時在內外網建立一個被隔離的子網---DMZ非軍事區(qū)，很多實現(xiàn)情況中，兩個分組過濾路由器被放在子網的兩端。DMZ網絡是一個隔離內外網的小型網絡，一般將堡壘主機、Web效勞器、效勞器以及其他公用效勞器放在DMZ網絡中。其中存在三道防線，即外部屏蔽路由器管理外網對DMZ的，堡壘主機，以及內部屏蔽路由器管理DMZ到內網的，平安性能非常好。缺乏的是，價錢比其他類型的防火墻昂貴，堡壘主機的配置更復雜。五、防火墻的局限性1.防火墻防外不防內，內網用戶可能誤用被給予的權限或則被攻擊者引誘而對內網造成破壞。根據(jù)IDC等統(tǒng)計說明，網絡上70%以上的平安事件來自內網。2.對那些不經過防火墻的攻擊無能為力。如不嚴格的撥號上網、Fa*效勞器等。3.在防*病毒方面能力有限，既不能拒絕所有被病毒感染的文件也不能殺掉通過防火墻的病毒，目前已有一些防火墻只能夠查殺病毒，但只限在的病毒，對新病毒往往無能為力。4.防火墻配置和管理復雜，對網絡管理員專業(yè)素質要求高，這就容易造成平安漏洞，特別是多個系統(tǒng)組成的防火墻，管理上的疏漏往往是不可防止。5.防火墻的平安性和效率性兩方面往往形成沖突，在實現(xiàn)平安性的同時會影響網絡效率，假設同時兼顧，本錢經費也會加大。6.應用代理防火墻需要不斷更新新效勞的應用代理，這不僅消耗人力物力，假設操作不當還會引起平安漏洞。7.防火墻的檢測機制容易造成擁塞以及溢出現(xiàn)象。當需要處理的數(shù)據(jù)流量過大時，容易導致數(shù)據(jù)擁塞，影響整個網絡性能，甚至會發(fā)生溢出，使防火墻癱瘓。8．不能防止數(shù)據(jù)驅動程序的攻擊六．防火墻面臨的攻擊以及應對策略1.防火墻面臨的攻擊可分為探測攻擊和穿透攻擊。探測攻擊是通過構造特殊的數(shù)據(jù)包來探測防火墻信息，目的是為了隨后的攻擊提供信息，如探測是何種防火墻系統(tǒng)、協(xié)議類型、允許通過的端口、IP信息等。穿透攻擊是偽裝攻擊數(shù)據(jù)包以通過或者繞過防火墻，并對內網進展攻擊。探測攻擊可分為防火墻存在性探測〔如使用traceroute命令對目標主機進展跟蹤〕、防火墻類型探測〔利用連接防火墻的*些端口會返回特征標識這一特性〕、防火墻規(guī)則探測、防火墻后的主機探測〔又可分為正常數(shù)據(jù)包探測和異常數(shù)據(jù)包探測〕。正常數(shù)據(jù)包探測就是利用正常、合法的數(shù)據(jù)包去探測目標主機的一些信息，主要是主機狀態(tài)和端口開放信息等。異常數(shù)據(jù)包是通過發(fā)送一個異常的數(shù)據(jù)包以誘使目標主機生成一個ICPM報文，向源主機報告過失，借此來判斷目標主機的存活性。常見的探測攻擊有TCP/SYN報文段探測、TTL探測法，而正常數(shù)據(jù)包探測有TCP報文段探測、UDP數(shù)據(jù)報探測、ICMP報文探測。穿透技術包括IP欺騙、協(xié)議隧道、報文分片等。IP欺騙技術是利用虛假的IP地址來躲過防火墻認證的一種技術，目前，針對TCP協(xié)議常用的是TCP序列號猜測技術。協(xié)議隧道是一個網絡協(xié)議的載體，即原本在一條通道上傳輸數(shù)據(jù)包，數(shù)據(jù)包經過封裝后在另一條通道傳輸。常見的穿透防火墻隧道技術是ICMP隧道技術和HTTP隧道技術，此種攻擊是利用前面已經探測出的防火墻規(guī)則，對攻擊數(shù)據(jù)進展偽裝，在通信雙方之間建立秘密隧道，穿透防火墻，一般采用C/S工作模式。報文分片攻擊原理是攻擊者首先向目標主機發(fā)送一個合法正常的報文分片，防火墻檢測通過后，繼續(xù)發(fā)送裝有惡意數(shù)據(jù)的后續(xù)報文，這樣后續(xù)的報文就可以直接穿過防火墻，威脅內網和主機平安。2.常見攻擊方式以及應對策略〔1〕病毒攻擊策略：設定嚴格的平安等級，制止系統(tǒng)在未經平安檢測的情況下執(zhí)行下載程序同時制止執(zhí)行未經用戶允許的程序或軟件。〔2〕口令字常見的口令字攻擊有：窮舉和嗅探。窮舉是利用來自外部網絡的攻擊，來猜測防火墻管理的口令字。而嗅探是針對內部網絡的攻擊，通過監(jiān)測網絡來獲取主機給防火墻的口令字。策略：設計主機與防火墻通過專用效勞器端口、制止直接登錄防火墻或者采用一次性口令。〔3〕目前，來自于的攻擊方式越來越多，攻擊原理是，垃圾制造者將一條消息復制無數(shù)份，然后按一個巨大的電子地址清單發(fā)送這條信息，當不經意翻開時，惡意代碼即可進入。策略：翻開防火墻上的過濾功能，在內網主機上采取相應阻止措施?！?〕

IP地址欺騙策略：通過翻開內核rp_filter功能，丟棄所有來自網絡外部但卻有內部地址的數(shù)據(jù)包，同時將特定IP地址與MAC綁定，只有擁有相應MAC地址的用戶才能使用被綁定的IP地址進展網絡。七實現(xiàn)防火墻的平安性能如何選擇防火墻體系2.一般情況下，防火墻在許多時候并不是一個單一的設備，而是一組設備。常用的有以下幾種形式：

〔1〕使用多堡壘主機；

〔2〕合并堡壘主機與內/外部路由器；

(3)使用多臺內/外部路由器；

(4)使用多個周邊網絡；

(5)使用雙重宿主主機與屏蔽子網。采用什么體系的防火墻這需要根據(jù)用戶能承受什么等級風險，而采用哪種技術主要取決于經費、投資的大小以及技術人員的技術、時間等因素。2.選擇防火墻類型目前，防火墻可分為“胖〞和“瘦〞兩種類型，胖防火墻特點是功能全面，側重在盡可能多的平安功能。理論上，防火墻、IDS、AV、VPN這四種組合的部署已經能夠提供實現(xiàn)相當高的平安保護可以滿足絕大多數(shù)的平安需求，但也要考慮其部署的財力負擔。瘦防火墻的功能是精而少，只做控制的專職工作，該類產品以平安管理為核心，以多種平安產品的聯(lián)動為根底，往往廠商同時還推出信息平安管理平臺，它和瘦防火墻協(xié)同工作、關聯(lián)響應，整體提高平安水平，此類適合專業(yè)性要求高的大型用戶。3.考察防火墻性能實現(xiàn)用戶的平安需求，需要在選擇防火墻時考察防火墻性能，這就需要考察指標，一般考察指標包括最大吞吐量、傳送速率、延遲、丟包率、