防火墙系统模块概述：

防火墙内网Web管理系统是一个面向大众的、傻瓜型的配置管理系统，它无需管理人员对各类协议、端口、报文类型等复杂概念有深入了解，只要你明确你要控制那台主机要做什么即可定制出高效的防火墙策略，同时防火墙系统的流量分析和统计功能还可以帮助网管人员诊断网络故障、定位故障信息点等。

防火墙系统及特点

◆防火墙系统为网络级防火墙，它不同于一般计算机上所安装的各种单机版防火墙。

◆防火墙系统对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它能禁止特定端口的流出通信，封锁特洛伊木马.

◆防火墙系统支持标准的NAT、DMZ等应用，还支持IP/MAC地址绑定以进一步提高安全性。

◆防火墙内网支持标准和扩展的ACL包过滤、状态检测防火墙和防DoS（Denial of Service，拒绝服务）功能。不仅保护内部网络免遭外来攻击，还可以有效控制内部主机对外部资源的访问，形成内外网络之间的安全保护屏障。

◆防火墙内网的NAT特性支持H.323协议，可以识别H.225.0（RAS、Q.931）、H.245消息，完成对这些报文载荷的地址转换，从而使防火墙内网设备可以完全透明地支持多媒体应用。

防火墙内网管理

◆对外网

首先全面禁止所有的输入、输出和转发数据包，然后根据用户的具体需要逐步打开各项服务功能。这种方式的特点是安全性很高，不会有任何遗漏，但这样要求系统管理员清楚地知道实现某种服务和功能需要打开哪些服务和端口。我们通常默认开通对于应用层的服务，例如：http、smtp、pop3、ftp等。客户如有其他需求须另行设置。

◆对内网

默认转发所有的输入、输出数据包，然后禁止某些危险包、IP欺骗包、广播包、ICMP服务类型攻击等。

◆对病毒的过滤和防止

防火墙内网是一个基于Linux内核的封闭系统，本身不会受到病毒的侵害，但终端用户在通过电子邮件等与Internet的交流则很容易受到病毒的侵害，基于此我们在邮件系统上嵌入了病毒过滤模块，且病毒库自动上网升级。当接收或发送的邮件带有病毒通过河辰内置邮件系统时，病毒过滤模块将自动杀除病毒，然后分别发邮件给原始发件人和收件人，通知其邮件的病毒信息（如病毒名称等）。以上过程均由系统自动完成而无需人工干预。

防火墙的管理系统主要有三大功能模块

◆内网控制部分：它主要是针对内网（即局域网）计算机进行管理的系统，利用该管理系统，可以对局域内任意一台计算机进行全面管理，可以控制该计算机的上网权限。比如IE浏览网页、FTP下载、收发Email、QQ聊天等。而且可以把IP地址和网卡的MAC地址捆绑以进一步提高安全性。

◆上网控制部分：在这一部分当中，可以屏蔽一些非法网站，具有防黄功能。

◆流量监控部分：网络管理员可以充分利用这一部分的功能来检测网络的状态，侦测到一些网络病毒以便及时处理，保证网络的正常流通。

防火墙配置步骤

◆配置上网的主机确定上网的主机，确定访问控制的权限，如主机较多建议列出清单；

确定需要对外网提供服务的主机及IP，并调试好确定已可以在内网正常浏览；

如有IP/MAC绑定需求，请确定IP对应的MAC地址；

确定禁止访问的外网的IP或域名。在防火墙中按已列出的上网主机的规划做相应配置，并设置好访问权限，如需要IP/MAC绑定则在“IP/MAC绑定”项配置好IP和MAC地址的对应关系，完成后反复检查确保没有遗漏的主机。

◆保存生效

如内网还有对外发布的服务器，则配置通过“端口映射”项配置；

定义过滤某个网站可以通过配置“外网管理”项配置。最后再次检查防火墙的各项配置确定无误后，点“保存生效”，此时防火墙配置完毕。