使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口;

允许Internet公网用户访问到DMZ区的应用服务：http、ftp、smtp、dns等;

允许DMZ区内的工作站与应用服务器访问Internet公网;

允许内部用户访问DMZ的应用服务：http、ftp、smtp、dns、pop3、https;

允许内部网用户通过代理访问Internet公网;

禁止Internet公网用户进入内部网络和非法访问DMZ区应用服务器;

禁止DMZ区的公开服务器访问内部网络;

防止来自Internet的DOS一类的攻击;

能接受入侵检测的联动要求，可实现对实时入侵的策略响应;

对所保护的主机的常用应用通信协议(http、ftp、telnet、smtp)能够替换服务器的Banner信息，防止恶意用户信息刺探;

提供日志报表的自动生成功能，便于事件的分析;

提供实时的网络状态监控功能，能够实时的查看网络通信行为的连接状态(当前有那些连接、正在连接的IP、正在关闭的连接等信息)，通信数据流量。

提供连接查询和动态图表显示。

防火墙自身必须是有防黑客攻击的保护能力。

2.带防火墙功能的设备是在防火墙基本功能(隔离和访问控制)基础上，通过功能扩展，同时具有在IP层构建端到端的具有加密选项功能的ESP隧道能力，这类设备也有S的，主要用于通过外部网络(公共通信基础网络)将两个或两个以上“内部”局域网安全地连接起来，一般要求S应具有一下功能：

防火墙基本功能，主要包括：IP包过虑、应用代理、提供DMZ端口和NAT功能等(有些功能描述与上相同);

具有对连接两端的实体鉴别认证能力;

支持移动用户远程的安全接入;

支持IPESP隧道内传输数据的完整性和机密性保护;

提供系统内密钥管理功能;

S设备自身具有防黑客攻击以及网上设备认证的能力。

入侵检测与响应方案

在网络边界配置入侵检测设备，不仅是对防火墙功能的必要补充，而且可与防火墙一起构建网络边界的防御体系。

通过入侵检测设备对网络行为和流量的特征分析，可以检测出侵害“内部”网络或对外泄漏的网络行为和流量，与防火墙形成某种协调关系的互动，从而在“内部”网与外部网的边界处形成保护体系。

入侵检测系统的基本功能如下：

通过检测引擎对各种应用协议，操作系统，网络交换的数据进行分析，检测出网络入侵事件和可疑操作行为。

对自身的数据库进行自动维护，无需人工干预，并且不对网络的正常运行造成任何干扰。

采取多种报警方式实时报警、音响报警，信息记录到数据库，提供电子邮件报警、SysLog报警、SNMPTrap报警、Windows日志报警、Windows消息报警信息，并按照预设策略，根据提供的报警信息切断攻击连接。

与防火墙建立协调联动，运行自定义的多种响应方式，及时阻隔或消除异常行为。

全面查看网络中发生的所有应用和连接，完整的显示当前网络连接状态。

可对网络中的攻击事件，访问记录进行适时查询，并可根据查询结果输出图文报表，能让管理人员方便的提取信息。

入侵检测系统犹如摄像头、监视器，在可疑行为发生前有预警，在攻击行为发生时有报警，在攻击事件发生后能记录，做到事前、事中、事后有据可查。

漏洞扫描方案

除利用入侵检测设备检测对网络的入侵和异常流量外，还需要针对主机系统的漏洞采取检查和发现措施。

目前常用的方法是配置漏洞扫描设备。

主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞，并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。

对于漏洞扫描的结果，一般可以按扫描提示信息和建议，属外购标准产品问题的，应及时升级换代或安装补丁程序;属委托开发的产品问题的，应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题，应建议系统管理员修改配置参数，或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。

漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助，对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。

考虑到漏洞扫描能检测出防火墙策略配置中的问题，能与入侵检测形成很好的互补关系：漏洞扫描与评估系统使系统管理员在事前掌握主动地位，在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。

因此，漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标，而且关系密切。