防火墙

1 防火墙不宜设在U、L形等高层建筑的内转角处。当设在转角附近时，内转角两侧墙上的门、窗、洞口之间最近边缘的水平距离不应小于4.00m;当相邻一侧装有固定乙级防火窗时，距离可不限。

2 紧靠防火墙两侧的门、窗、洞口之间最近边缘的水平距离不应小于2.00m;当水平间距小于2.00m时，应设置固定乙级防火门、窗。

3 防火墙上不应开设门、窗、洞口，当必须开设时，应设置能自行关闭的甲级防火门、窗。

4 输送可燃气体和甲、乙、丙类液体的管道，严禁穿过防火墙。其它管道不宜穿过防火墙，当必须穿过时，应采用不燃烧材料将其周围的空隙堵塞密实。

穿过防火墙处的管道保温材料，应采用不燃烧材料。

5 管道穿过隔墙、楼板时，应采用不燃烧材料将其周围的缝隙填塞密实。

6 高层建筑内的隔墙应砌至梁板底部，且不宜留有缝隙。

7设在高层建筑内的自动灭火系统的设备室、通风、空调机房，应采用耐火极限不低于2.00h的隔墙，1.50h的楼板和甲级防火门与其它部位隔开。

8 地下室内存放可燃物平均重量超过30kg/m2的房间隔墙，其耐火极限不应低于2.00h，房间的门应采用甲级防火门。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在具体应用防火墙技术时，还要考虑到两个方面:

一是防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

(1)设置网卡IP地址为192.168.1.234，子网掩码为255.255.255.0，网关为192.168.1.1。

(2)设置DNS为61.177.7.1。

(3)Linux防火墙设置，禁用SELinux，启用防火墙，信任WWW、FTP、SSH、SMTP端口。

(4)设置防火墙，使能信任TCP协议的POP3端口。

从实现原理上分，防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。

一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个"传统"的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通 过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。 在实际工作中，应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。 应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏"透明度"。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server)。代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网 络的结构和运行状态便"暴露"在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的"链接"由两个终止于代理服务的"链接"来实现，这就成功地实现了防火墙内外计算机系统的隔离。同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网 关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。