网络安全一直是困扰网络管理员的难题。专业CISCO防火墙能有效地防止外部用户的入侵，但在信息过滤、访问控制、计费功能上存在着缺陷。通过网络使用情况来看，完备的防火墙应具有如下的功能：

　　（1）对外部网络攻击能进行有效的防御

　　（2）对传输信息中非法内容能进行过滤

　　目前国际互联网络上信息资源十分丰富，但同时必然也存在许多低级、反动的东西。同时也不能忽视内部人员通过互联网络向外界泄露军事机密的可能性。因此必须着手建立起一整套有效的对网络上所传输信息的智能检测和过滤的机制，以净化校园网的内部网络。

　　（3）对网络资源的访问进行控制

　　如建立内网用户组（国外用户组、国内用户组），建立外网被访问组（国内站点、国外站点）。分别赋于不同的访问权限。

　　（4）对网络资源的使用进行计费

　　对网络资源的使用进行合理的收费，按照本地流量、国内流量、国际流量进行计费的策略。(可设置基于IP的计费方式)防火墙可将内部网络与外部网络隔离开来，设想其拓朴结构图如图所示：

　　可配置内网端口IP地址为172.16.255.254(mask：255.255.0.0)，外网端口IP地址202.38.7.154(mask:255.255.255.0)。其中外网地址为合法IP地址，内网地址为非法IP地址。内网有一台WEB服务器，两台FTP服务器，可在防火墙上配置两个虚拟服务器映射到不同外网地址。虚拟服务器配置设想如下所示：

　　访问www和ftp时，提供不同外网地址即可访问到不同主机（http://202.38.7.153ftp://202.38.7.155ftp://202.38.7.156）

　　利用这种防火墙可解决IP地址紧缺，如何使得位于内网的服务器能够向外部网络提供服务成了一个问题，因为通常的防火墙产品并不支持内网服务器对外网提供服务（不支持外网主机访问内网服务器的单向地址映射）。按照通常的方法，为了做到这一点，我们不得不在防火墙上开一个单独的通道将与服务器有关的外部连接绕过防火墙直接送往服务器。但这样一来，就将带来严重的安全问题，即一旦该服务器被攻破，网络黑客可以利用这个安全漏洞在用户内部网络大肆破坏。如果我们直接将服务器放在外网上，那么一方面需要多占用一个合法的IP地址，同时服务器本身也将直接暴露在外网的各种攻击之下。

　　为了合理解决上述问题，防火墙可采用双向地址映射（即所谓的虚拟服务器技术），这样外网的用户也可以访问到内网的服务器。在外网的用户看来，他们正是从这个虚拟的服务器上获得网络服务，而不会觉察到背后所隐藏的复杂的内部网络的细节。同时服务器在内网也受到防火墙最大限度的安全保障，来自外部网络的恶意攻击信息可以被防火墙的安全控制策略所屏蔽，使之无法到达内网服务器。

　　利用这种设想防火墙可有效的解决安全问题，对军队更具有现实意义。我们用LINUX系统开发了相应的防火墙，利用软硬件相结合的办法可实现上述的绝大部分功能。

　　（作者单位：炮兵学院教育技术中心合肥230031）