中小型企业网络方案设计

第一章需求分析（一）、中小型企业网络特点与规定中小企业局域网一般规模较小，构造相对简朴，对性能的规定则因应用的不一样而差异较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，规定网络尽量简朴、可靠、易用，减少网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点，应遵照下列设计原则：1.把握好技术先进性与应用简易性之间的平衡。2.具有良好的升级扩展能力。3.具有较高的可靠性和安全性。4.产品功能与实际应用需求相匹配。80%的中小企业顾客一般只用到局域网20%的功能。精简功能设计的产品不仅可以在满足大多数需求的状况下有效减少成本，并且还可以提高系统的稳定性和易维护性。5.尽量选择成熟、原则化的技术和产品。恰当运用以太网的不一样原则和功能，以太网技术可以在双绞线、多模光纤、单模光纤等介质上传播数据，可以非常简朴地升级到百兆、千兆的速率，并且具有很高的稳定性和可管理性。以太网提供了多种原则和功能。例如10Mbps、100Mbps、1000Mbps不一样速率的原则，双绞线、光纤等不一样介质的原则，以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。第二章经典中小企业组网实例（一）、案例描述经典中小企业组网实例，申请一种公网IP和10M带宽，单台路由器，WEB服务器，通讯机，业务主机等，客户端办公电脑100台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。（二）、硬件设备详见excel表《设备配置清单》序号 设备名称 规格 单位 数量 单价（元） 合价（元）1 互换机 Cisco4503Cisco2960-48t 台台 12 74009300 260002 路由器 Cisco2821 台 1 14500 145003 防火墙 NokiaIP355 台 1 34500 34500… … …CiscoCatalyst4500系列可认为无阻碍的第2/3/4层互换提供集成式弹性，因而能深入加强对融合网络的控制。可用性高的融合语音/视频/数据网络可认为正在布署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括1＋1超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性可以缩短停机时间，从而提高生产率、利润率和客户成功率。是用于企业企业网络互换机群关键层高性价比的一系列。CiscoWS-C2960-48T拥有大数量的接口，全智能自动全双工半双工识别，具有用于接入层互换机的良好优势。可以迅速转发顾客的数据。Cisco2821是一台多业务路由器，比较适合中小型企业的需求与应用。NokiaIP355是一款应用于中小型企业的防火墙产品，可以进行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP服务器RFC2068,SSL/TLSRFC2246,命令行运用的管理和对流量的过滤，对于中小型的安全问题防护性能比较良好。（三）、IP地址规划部门 IP地址公网地址 17路由器内部IP /30关键互换外部IP /30Web服务器 /24业务主机 /24通讯机 /24网络打印机 /24财务部 /24设计部 /24市场部 /24（四）、网络拓扑（五）、配置需求及处理方案为了直观以便，配置需求所有在配置命令中加以单点阐明，并且配置命令量大反复，这里只列出重点命令。1.配置Router接口：interfacefastethernet0/1ipaddress52duplexautospeedautoipnatinsidenoshutdowninterfacefastethernet0/2ipaddress1748duplexautospeedautoipnatoutsidenoshutdown路由：iproute17过载：ipnatinsidesourcelist110interfaceFastEthernet0/2overloadaccess-list110permitip55any2、配置CoreswitchVTP：VTPVersion:2ConfigurationRevision:7MaximumVLANssupportedlocally:1005NumberofexistingVLANs:9VTPOperatingMode:ServerVTPDomainName:OAVTPPruningMode:DisabledVTPV2Mode:EnabledVTPTrapsGeneration:EnabledVLAN：core-sw#vlandatabase进入vlan配置模式core-sw(vlan)#vtpdomainOA设置vtp管理域名称OAcore-sw(vlan)#vtpserver设置互换机为服务器模式core-sw(vlan)#vlan10nameshichang创立VLAN10，为市场部core-sw(vlan)#vlan11namecaiwu创立VLAN10，为财务部core-sw(vlan)#vlan12namesheji创立VLAN12，为设计部core-sw(vlan)#vlan13namenetprinter创立VLAN13，为网络打印机core-sw(vlan)#vlan20nameserver创立VLAN20，为服务器组core-sw(config)#interfacevlan10core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan11core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan12core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan13core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan20core-sw(config-if)#ipaddress54将接入层SW上的端口根据需要划分至各个VLAN3、配置ACL配置ACL应用在各个部门VLAN接口上，控制各部门互访access-list10permit55access-list10permit55access-list10deny55access-list10permitany进入vlan10ipaccess-group10out把访问控制列表10应用于VLAN10OUT方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。access-list11permit55access-list11permit55access-list11permit55access-list11deny55access-list11permitany进入vlan11ipaccess-group11out把访问控制列表11应用在VLAN11OUT方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。设计部VLAN12，网络打印机VLAN13，服务器VLAN20可以访问任意网段，应用访问控制列表access-list110在in的方向上，封掉常见病毒端口。access-list110denytcpanyanyeq1068access-list110denytcpanyanyeq2046access-list110denyudpanyanyeq2046access-list110denytcpanyanyeq4444access-list110denyudpanyanyeq4444access-list110denytcpanyanyeq1434access-list110denyudpanyanyeq1434access-list110denytcpanyanyeq5554access-list110denytcpanyanyeq9996access-list110denytcpanyanyeq6881access-list110denytcpanyanyeq6882access-list110denytcpanyanyeq16881access-list110denyudpanyanyeq5554access-list110denyudpanyanyeq9996access-list110denyudpanyanyeq6881access-list110denyudpanyanyeq6882access-list110denyudpanyanyeq16881access-list110permitipanyany可以根据实际需要将此ACL应用于任一接口，或者添加某些屏蔽软件的端口，到达管理内部员工的目的，也可以用局域网内部的管理软件，愈加直接以便，并且易于操作。4、配置业务主机用IIS架设（IIS只合用于WindowNT//XP操作系统）。安装：WindowXP默认安装时不安装IIS组件，需要手工添加安装。进入控制面板，找到“添加／删除程序”，打开后选择“添加／删除Window组件”，在弹出的“Window组件向导”窗口中，将“Internet信息服务（IIS）”项选中。在该选项前的“√”背景色是灰色的，这是由于WindowXP默认并不安装FTP服务组件。再点击右下角的“详细信息”，在弹出的“Internet信息服务（IIS）”窗口中，找到“文献传播协议（FTP）服务”，选中后确定即可。安装完后需要重启。WindowNT／和WindowXP的安装措施相似。设置：电脑重启后，业务主机就开始运行了，但还要进行某些设置。点击“开始→所有程序→管理工具→Internet信息服务”，进入“Internet信息服务”窗口后，找到“默认FTP站点”，右击鼠标，在弹出的右键菜单中选择“属性”。在“属性”中，我们可以设置业务主机的名称、IP、端口、访问账户、FTP目录位置、顾客进入FTP时接受到的消息等。FTP站点基本信息：进入“FTP站点”选项卡，其中的“描述”选项为该FTP站点的名称，用来称呼你的服务器，这里设置名称为“业务主机”；“IP地址”为服务器的IP，设置为；“TCP端口”一般仍设为默认的21端口；“连接”选项用来设置容许同步连接服务器的顾客最大连接数；“连接超时”用来设置一种等待时间，假如连接到服务器的顾客在线的时间超过等待时间而没有任何操作，服务器就会自动断开与该顾客的连接。设置账户及其权限：诸多FTP站点都规定顾客输入顾客名和密码才能登录，这个顾客名和密码就叫账户。不一样顾客可使用相似的账户访问站点，同一种站点可设置多种账户，每个账户可拥有不一样的权限，如有的可以上传和下载，而有的则只容许下载。安全设定：进入“安全账户”选项卡，有“容许匿名连接”和“仅容许匿名连接”两项，默认为“容许匿名连接”，此时业务主机提供匿名登录。“仅容许匿名连接”是用来防止顾客使用有管理权限的账户进行访问，选中后，虽然是Administrator（管理员）账号也不能登录，FTP只能通过服务器进行“当地访问”来管理。至于“FTP站点操作员”选项，是用来添加或删除本业务主机具有一定权限的账户。ＩＩＳ与其他专业的业务主机软件不一样，它基于Window顾客账号进行账户管理，自身并不能随意设定业务主机容许访问的账户，要添加或删除容许访问的账户，必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Window顾客账号，然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Window和WindowXP专业版，系统并不提供“FTP站点操作员”账户添加与删除功能，只提供Administrator一种管理账号。设置顾客登录目录：最终设置FTP主目录（即顾客登录FTP后的初始位置），进入“主目录”选项卡，在“当地途径”中选择好FTP站点的根目录，并设置该目录的读取、写入、目录访问权限。设置完毕后，业务主机就算建成了。三网络布局和综合布线企业组网，我们不仅要从企业自身的实际需求出发，根据组网经费的多少来务实地规划与设计网络；在采购好网络设备和服务器等设备后，怎样对机房、办公地点进行合理的网络布局与布线，是致关重要的。网络布局重要是指机房里的网络设备、服务器等设备怎样放置，它们又与网络布线怎样相处，总之网络布局要考虑周全。（一）、网络布局的原则1.实用性企业组建的局域网应当根据机房的大小、设备的多少来详细实行，根据网络布线的特点来发挥网络布局实用性是非常重要的。2.全面性组网过程中，网络、服务器等设备放置位置应当统筹兼顾，网络布局要考虑周全，尽量让多种设备和布线系统处在合理的位置。3.可靠性组网无论怎样布局，最终的目的是保证我们的局域网的所有设备能可靠稳定地运行，使得网络能正常运转。4.便于维护与升级网络的组网不是一成不变的，伴随IT企业业务的不停发展的需求，原先组建的局域网就需要不停地完善和扩充；在平常的网络运行维护中，规划网络布局时就应当考虑到便于后来网络的维护与升级操作。（二）网络布局的详细实行规定对于有线局域网来说，这是我们目前企业网络建设中，常常会碰到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。1.机房的规划与设计为了保证网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全合用、保证质量，符合国家有关的机房设计规定。(1)防静电静电不仅会对计算机运行出现随机故障，并且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。(2)防火、防盗计算机房在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警规定在一楼设有值班室或监控点。机房里应注意防盗设施的安装，详细地可采用防盗门、防盗锁、警卫、自动报警系统等等。(3)防雷由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线，电话线均应加装避雷器。(4)保湿、保温机房里的湿度应保持在20%-80%为宜，机房的温度应保持在15℃-35℃摄氏度，安装空调来调整温度是处理此问题最佳的措施。2.布线系统的规划与设计有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，保证网络的正常运行。假如企业的接入点较多，我们可以采用接入层、汇聚层、互换层三个网络层次的设计，在此基础上进行布线系统。对于接入层来说，选择一种合理的接入设备，是最关键的，并且我们要根据接入设备选择合适的带宽。汇聚层是整个局域网的关键部分，汇聚层网络设备一般支持网络管理功能，以便我们的管理和维护，以便后来我们的网络升级和改造。互换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传播质量的很重要的一种环节。伴随百兆网络设备的普及，我们互换层的网络设备，肯定首选百兆。布线是连接网络接入层、汇聚层、互换层和网络节点的重要环节。在布线时，最佳使用专门的通道，并且不要与电源线，空调线等具有辐射的线路混合布线。接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提高。汇聚层与互换层之间的双绞线，由于是网络数据传播量最大的一种层次，同样采用超五类屏蔽双绞线。互换层与网络节点之间，我们就可以采用一般的超五类非屏蔽双绞线。网络设备的放置，最佳放在节点的中央位置，这样做，不是为了节省综合布线的成本，而是为了提高网络的整体性能，提高网络传播质量。由于双绞线的传播距离是100米，在95米才能获得最佳的网络传播质量。在做网络布线时，最佳可以设计一种设备间，放置网络设备。（三）、网络布局的规划与设计目前的网络设备大都采用机架式的构造（多为扁平式，活像个抽屉），如互换机、路由器、硬件防火墙等。这些设备之因此有这样一种构造类型，是由于它们都按国际机柜原则进行设计，这样大家的平面尺寸就基本统一，可把一起安装在一种大型的立式原则机柜中。这样做的好处非常明显：首先可以使设备占用最小的空间，另首先则便于与其他网络设备的连接和管理，同步机房内也会显得整洁、美观。我们常常接触到的放置机房里有网络机柜、服务器机柜以及综合布线柜，从这三个机柜的名字就可以看出它们各自所起的作用；一般来说，网络设备如互换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的；服务器机柜的宽度为19英寸，高度以U为单位（1U=1.75英寸=44.45毫米），一般有1U，2U，3U，4U几种原则的服务器。机柜的尺寸也是采用通用的工业原则，一般从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，顾客可以根据自己服务器的标高灵活调整高度，以寄存服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线所有从机柜的后方引出（机架服务器的所有接口也在后方），统一安顿在机柜的线槽中，一般贴有标号，便于管理。综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。配线架一般安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一对应，这样做不轻易接错。配线架不仅仅是便于管理线对，并且可以防止串扰，增长线对的隔离空间，提供360度的线对隔离。在机房中，必须放置互换机、功能服务器群和网络打印设备，以及局域网络连接Internet所需的多种设备，如路由器、防火墙以及网管工作站等；因此机房的网络布局一般至少有三个机柜，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下来是服务器机柜；将网络设备和布线系统进行合理的布局。在网络布局中，每个机柜最佳留点空间，便于后来网络设备、服务器设备的扩充，综合布线柜里有也许除了网络布线外，尚有能布置电话线，因此要在机柜里留下一定空间。从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，大量采用冗余配件(如冗余电源、存储阵列等)，机柜内设备配置频繁变换，数据线和电缆随时增减。因此，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须以便、有序，与设备的线缆接口靠近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调整、维护过程中，不受到布线的干扰，并保证散热气流不会受到线缆的阻挡；同步，在故障状况下，能对设备布线进行迅速定位。供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电流大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质（电阻性、电感性、电容性）亲密有关。制冷系统（空调）波及到机房的整个物理环境，包括空调、地板、机柜及房间布局等诸多方面；因此UPS和空调我们也要考虑好将它们放置在一种合适的位置。假如机房空间较大，可以将UPS和空调都放在机房里；假如空间较小，可以把UPS（包括蓄电池）放在配电房里。需要注意的是假如大楼里安装有“中央空调”的话，机房里也必须安装独立的空调，由于中央空调不也许24小时都开着，上班的时间可以运用中央空调，下班和星期节假日的时候，假如服务器、网络设备需要正常运行的话，则必须要开机房里的独立空调。机柜的扩展性表目前机柜内设备密度的扩展和机柜数量的扩展，因此网络布局时必须将机柜的配风能力（一般称为散热能力）以及配电能力考虑在内。首先，机柜内的设备需要温度、湿度合适并且风量充足的冷风（冷空气）。这些冷风被机柜内的IT设备吸入，从而为设备内的部件（尤其是CPU）降温。当机柜内设备增长到一定数量时，由地板出风口送出的冷风风量将不能满足所有设备的需求，从而形成部分IT设备配风局限性而过热。处理机柜内设备密度扩展时碰到的这种局部热点问题可以采用调配IT设备位置的方式来处理。例如，把热负荷最大的设备安装在机柜中部位置，以便获得最大的配风风量。此外的处理措施是，在机柜的上部或下部位置安装轴向水平的强排风扇，增强上部或下部的吸入能力（即减小IT设备的入口静压），从而增长配风风量。另首先，机柜内的设备需要供电以及与机柜外部进行通信。当机柜内的IT设备数量增长时，这些线缆、连接端子同步成倍地增长，从而对机架式电源排插的容量、插口数量都提出了扩展规定。机柜内的布线空间也是需要提前考虑的，由于当机柜内的功率密度提高时，设备后部的线缆将明显增长风阻，因此必须考虑线缆管理及走线空间的问题。第四章局域网的安全控制与病毒防治（一）局域网安全威胁分析局域网由于通过互换机和服务器连接网内每一台电脑，因此局域网内信息的传播速率比较高，同步局域网采用的技术比较简朴，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁一般有如下几类：1.欺骗性的软件使数据安全性减少由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息轻易被篡改和删除，数据安全性较低。例如“网络钓鱼袭击”，钓鱼工具是通过大量发送声称来自于某些著名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如顾客名、口令、账号ID、ATMPIN码或信用卡详细信息等的一种袭击方式。最常用的手法是冒充某些真正的网站来骗取顾客的敏感的数据。以往此类袭击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，并且所提供的安全功能不停增强，网络钓鱼已越来越多地把目光对准了较小的网站。同步由于顾客缺乏数据备份等数据安全面的知识和手段，因此会导致常常性的信息丢失等现象发生。2.服务器区域没有进行独立防护局域网内计算机的数据迅速、便捷的传递，造就了病毒感染的直接性和迅速性，假如局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有也许会感染病毒。虽然在网络出口有防火墙阻断对外来袭击，但无法抵挡来自局域网内部的袭击3.计算机病毒及恶意代码的威胁由于网络顾客不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而导致计算机病毒的入侵。许多网络寄生犯罪软件的袭击，正是运用了顾客的这个弱点。寄生软件可以修改磁盘上既有的软件，在自己寄生的文献中注入新的代码。近来几年，伴随犯罪软件（crimeware）汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。，两种软件的结合推进旧有寄生软件变种增长3倍之多。，估计犯罪软件小区对寄生软件的爱好将继续增长，寄生软件的总量估计将增长20%。4.局域网顾客安全意识不强许多顾客使用移动存储设备来进行数据的传递，常常将外部数据不通过必要的安全检查通过移动存储设备带入内部局域网，同步将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了以便同步增长了数据泄密的也许性。此外一机两用甚至多用状况普遍，笔记本电脑在内外网之间平凡切换使用，许多顾客将在Internet网上使用过的笔记本电脑在未经许可的状况下私自接入内部局域网络使用，导致病毒的传入和信息的泄密。5.IP地址冲突局域网顾客在同一种网段内，常常导致IP地址冲突，导致部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会常常出现，顾客规模越大，查找工作就越困难，因此网络管理员必须加以处理。正是由于局域网内应用上这些独特的特点，导致局域网内的病毒迅速传递，数据安全性低，网内电脑互相感染，病毒屡杀不尽，数据常常丢失。（二）局域网安全控制与病毒防治方略1.加强人员的网络安全培训安全是个过程，它是一种汇集了硬件、软件、网络、人员以及他们之间互有关系和接口的系统。从行业和组织的业务角度看，重要波及管理、技术和应用三个层面。要保证信息安全工作的顺利进行，必须重视把每个环节贯彻到每个层次上，而进行这种详细操作的是人，人正是网络安全中最微弱的环节，然而这个环节的加固又是见效最快的。因此必须加强对使用网络的人员的管理，注意管理方式和实现措施。从而加强工作人员的安全培训。增强内部人员的安全防备意识，提高内部管理人员整体素质。同步要加强法制建设，深入完善有关网络安全的法律，以便更有利地打击不法分子。对局域网内部人员，从下面几方面进行培训：(1)加强安全意识培训，让每个工作人员明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。(2)加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少可以掌握怎样备份当地的数据，保证当地数据信息的安全可靠。(3)加强网络知识培训，通过培训掌握一定的网络知识，可以掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。2.局域网安全控制方略安全管理保护网络顾客资源与设备以及网络管理系统自身不被未经授权的顾客访问。目前网络管理工作量最大的部分是客户端安所有分，对网络的安全运行威胁最大的也同样是客户端安全管理。只有处理网络内部的安全问题，才可以排除网络中最大的安全隐患，对于内部网络终端安全管理重要从终端状态、行为、事件三个方面进行防御。运用既有的安全管理软件加强对以上三个方面的管理是目前处理局域网安全的关键所在。(1)运用桌面管理系统控制顾客入网。入网访问控制是保证网络资源不被非法使用，是网络安全防备和保护的重要方略。它为网络访问提供了第一层访问控制。它控制哪些顾客可以登录到服务器并获取网络资源，控制顾客入网的时间和在哪台工作站入网。顾客和顾客组被赋予一定的权限，网络控制顾客和顾客组可以访问的目录、文献和其他资源，可以指定顾客对这些文献、目录、设备可以执行的操作。启用密码方略，强制计算机顾客设置符合安全规定的密码，包括设置口令锁定服务器控制台，以防止非法顾客修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据，提高系统安全行，对密码不符合规定的计算机在多次警告后阻断其连网。(2)采用防火墙技术。防火墙技术是一般安装在单独的计算机上，与网络的其他部分隔开，它使内部网络与Internet之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制方略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用袭击所采用的技术有：（1）深度数据包处理。深度数据包处理在一种数据流当中有多种数据包，在寻找袭击异常行为的同步，保持整个数据流的状态。深度数据包处理规定以极高的速度分析、检测及重新组装应用流量，以防止应用时带来时延。（2）IP/URL过滤。一旦应用流量是明文格式，就必须检测HTTP祈求的URL部分，寻找恶意袭击的迹象，这就需要一种方案不仅能检查RUL，还能检查祈求的其他部分。其实，假如把应用响应考虑进来，可以大大提高检测袭击的精确性。虽然URL过滤是一项重要的操作，可以制止一般的脚本类型的袭击。（