【IT168专稿】当我们尽情地在互联网上畅游时，常常把网络安全问题抛在脑后，其实危险无处不在。因为如今互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。而防火墙是保护网络安全的一个重要防护措施。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。

      防火墙是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为了更好地发挥防火墙作用，首先用防火墙将整个网络分为三个安全区域，企业内部网络，外部网络和服务器专网(DMZ区)。

      内部网络一般采用私有的IP地址，DMZ的服务器可以采用公网地址，也可以采用私有地址，但是需要在防火墙上做相应的地址转换来保证外部用户对服务器的正常访问。一般常用的安全策略是：外部网络不允许访问内部网络，内部网络用户可以根据不同的权限访问Internet资源；内部用户和外部用户只允许访问DMZ区指定服务器的指定服务。

　　我们知道使用防火墙的目的是为了更好保护好正在运行的网络，不受黑客攻击，尤其要设置好防火墙中攻击检测和防御机制。网络攻击不外乎分两个阶段进行，第一个阶段攻击者收集信息；第二阶段攻击者发起攻击。根据企业需求，来制定不同安全策略。为更好地实现网络安全，以检查攻击操作为例：

　　当防火墙检测到网络攻击时，将执行你为攻击组所指定的操作，该攻击组包含与该攻击相匹配的对象。在图中有三个区段: Trust、Untrust 和 DMZ。通过对攻击的分析，可以断定将需要下列三个策略:

　　策略一： 允许从 Untrust 区段中的任何地址发往 DMZ 区段中的 Web 服务器 (websrv1 和 websrv2) 的HTTP、HTTPS、PING 和 FTP-GET 信息流。策略设置：选择丢弃连接，并仅向受保护的 Web 服务器发送 TCP RST 通知，使其能终止会话和清除资源。

　　策略二： 允许从 Trust 区段中的任何地址发往 DMZ 区段中的 Web 服务器 (websrv1 和 websrv2) 的 HTTP、HTTPS、PING 和 FTP 信息流。策略设置：选择丢弃连接，并向受保护的客户端和服务器发送 TCP RST 通知，使得不管攻击的严重性级别如何，它们都能终止会话和清除资源。

　　策略三： 允许从 Trust 区段中的任何地址发往 Untrust 区段中的任何地址的 FTP-GET、HTTP、HTTPS、PING 信息流。策略设置：选择丢弃连接，并仅向受保护的客户端发送 TCP RST 通知，使其能终止其会话和清除资源。在这种情况下，您预料攻击来自不可信的 HTTP 或 FTP 服务器。
　　尽管这些策略允许 HTTP、HTTPS、Ping 和 FTP-Get 或 FTP，对 HTTP 和 FTP 信息流激活“深入检查”。