第三、 科学配置防火墙

     企业利用三星NXG-150防火墙，eth0接internet,eth1接内部网络，eth2－eth4接生活区和WEB服务器，所有进出受控网络的流量集中防火墙上，这样做的好处是一旦发生故障能迅速恢复。防火墙经过数据包状态检测过滤/IPS防御功能/VLan/流量控制/内容过滤/策略时间表/地址绑定等策略的实施，大部分黑客的攻击被防火墙拒于企业网络之外，具体策略如下：
   
* 封堵各种病毒端口：为了减轻互联网病毒对企业内网的侵犯，企业封住了135/136/137/138/139/389/445/539/1025/1068/1978/2754/3127/3128/4444/4899/5554/5800/6128/6588/6667/9995等端口。

* 网络区域划分：防火墙必须保护内部关键网络eth1口的安全，eth2－eth4口（WEB服务器/社区宽带网）规划在非军事区（DMZ），DMZ可以全面访问因特网，但只能有限制性地访问内部网络，把有风险的网络活动隔离在企业内部网之外。

* 在防火墙上实施MAC地址和IP地址的绑定,有效控制IP冒用现象。
* 通过对BT服务器的封锁,以及带宽限制及会话数限定的方式,有效控制P2P的下载具体办法:简单的是通过单个IP会话数的限制控制P2P软件的使用.

* 在防火墙对厂区局域网实行分组管理,设置不同权限,限制对互联网资源的访问，限制时间段,限制开放端口。

* 对厂区局域网用户按需开放端口的策略,有效控制职工上班时间玩网络游戏的现象，仅打开HTTP/HTTPS/POP/SMTP/FTP/VOIP/MSSQL等基本协议。

* 在防火墙上阻断各种黑客攻击行为,防止非授权的访问,并通过和报警功能对攻击性为进行记录备查，有助于跟踪实施攻击的不法分子的入侵手法和漏洞。