网络管理员按照ＩＰ地址对未授权的用户或不信任的站点进行逐项屏蔽。这种方法构成了一种更为灵活的应用环境，网络管理员可以针对不同的服务面向不同的用户开放，也就是能自由地设置各个用户的不同访问权限。
8防火墙自身安全保护措施
81设置特殊密码，密码长度尽可能长。82系统未设置完成不要连入公共网。83不使用系统默认（缺省）值。84注意调整安全级别。85设置读写权限。
9防火墙功能设置及安全策略
91外网对DMZ内服务访问控制
将外部对内部、DMZ内服务访问明确限制，防止非法对内部重要系统，特别是业务系统的访问。利用DMZ的隔离效果，尽量将对外服务的部分服务器放置在DMZ区域，通过NAT方式，保护内部网络免受攻击。关闭操作系统提供的除需要以外的所有服务和应用，防止因为这些服务和应用自身的漏洞给系统带来的风
4
f险。对内部Email、FTP、WWW、数据库的访问做严格的规划和限制，防止恶意攻击行为发生。92内部网络
内部网络对外部网络的访问也要进行严格的限制。防止内部员工对外网资源的非法访问。对内部员工对外访问采用NAT方式访问。同时内部员工对DMZ区域服务器访问也必须做限制。内部员工对外网WWW访问采用代理方式。93DMZ访问
通常情况下DMZ对外部和内部都不能主动进行访问，除非特殊的应用需要到内部网络采集数据，可以有限地开放部分服务。借助防火墙提供的基于状态包过滤技术对数据的各个方向采用全面安全的技术策略，制定严格完善的访问控制策略保证从IP到传输层的数据安全。94NAT地址转换
将单位内部网络和DMZ区域网络地址通过NAT方式转换，隐藏真实IP地址，防止内部网络受到攻击。具体转换方式就是将内部网络和DMZ区域机器的地址全部转换成防火墙外网卡地址，对外单位只有一个地址。而借助防火墙的多映射功能，可以将对外的同一地址映射为内部网络和DMZ区域不同服务的不同端口。
根据企业内部实际情况，防火墙安全管理源根据风险制定内部网与外部网络之间的安全访问策略，考虑效率与安全之间的平衡；在有单独内部网络的单位也需要安装防火墙时，该防火墙的策略制定绝对不能影响上一级防火墙的访问策略，同时，信息中心管理员必须拥有下一级防火墙的管理员权限。
10生效日期
5
fr