• 控制来自第三方业务单位对内网的访问
  
• 控制内网不同部门网络之间的访问
  
• 控制对服务器中心的网络访问，如主机托管中心
• 控制来自互联网对内网的访问

　　在本环境下，防火墙主要保护内部网络不遭受外部攻击。一般情况下，此环境下的网络可划分为三个安全区域：内网，包括全部的内部网络设备和用户主机，为可信网络区域，对互联网透明隔离；外网，包括外部互联网主机和设备，为非可信网络区域；DMZ（非设防区），由外部服务器组成，包括公众Web服务器、邮件服务器、外部DNS服务器等，为互联网提供信息服务。用户针对内网和DMZ的安全策略肯定不同：内网一般情况下禁止来自互联网的访问，而DMZ则是为互联网提供相关的服务。建议通过NAT（网络地址转换）将内部网络的全部设备地址映射成少数几个公网有效地址，这样至少有两个好处：首先可以对外隐藏内部网络结构，保护内网安全；其次可以节省有效地址。如图3.1和3.2所示：

控制来自第三方网络对内网的访问

　在本环境下，防火墙主要限制第三方网络对内网的非授权访问。存在两种情况：

　　1） 此环境下的网络可划分为三个安全区域：内网，包括全部的内部网络设备和用户主机，为可信网络区域，对第三方透明隔离；外网，包括第三方网络主机和设备，为非可信网络区域；DMZ（非设防区），由外部服务器组成，包括公众Web服务器、邮件服务器、外部DNS服务器等，为第三方提供信息服务。用户针对内网和DMZ的安全策略肯定不同：内网一般情况下禁止来自第三方的访问，而DMZ则是为第三方提供相关的服务。如图3.3所示。必要时通过NAT（网络地址转换）对外隐藏内部网络结构，保护内网安全。

　　2） 没有DMZ区：此环境下网络就包括内网和外部网络两个区域。通过防火墙对第三方开放内部网络中特定的服务器/主机资源。如图3.4示。这种配置可能带来极大的安全隐患：来自第三方网络中的攻击者可能破坏和控制对他们开放的内部服务器/主机，并以此为据点，进而破坏和攻击内部网络中的其它主机/服务器等网络资源。

控制内网不同部门之间的访问

　　此环境下，主要是通过防火墙保护内网中敏感部门的资源不被未经授权的访问。比如非财务部门不能访问财务部资源。如图3.5所示：

控制对服务器中心的网络访问

　　对于一个服务器中心/仓库，比如主机托管中心，其众多服务器对第三方（内部其它部门、第三方合作伙伴、互联网用户等）开放，但是所有这些服务器分别属于不同的部门、甚至不同的用户所有，其安全策略也各不相同，因此不可以把它们都定义在同一个安全区域中，这样也就难以采用如上述案例中的结构。
要保护这些服务器，有两种方法：

　　1） 为每个部门/每个单位的服务器单独配置防火墙，如图3.6所示。但是这种方案无论从经济上、还是从使用和管理的灵活可靠性上都是不可行的。

2） 采用虚拟防火墙功能，如图3.7所示。将一个高性能防火墙划分为多个虚拟防火墙，再配合交换机的虚网功能，实现1中的安全保护效果。这种方案在现实中比较经济可行。

3.3 DMZ（非设防区）

　　最典型的防火墙环境就是DMZ（非设防区）。DMZ是作为内外网都可以访问的计算机系统和资源的连接点，比如Web服务器、邮件服务器、VPN网关、DNS服务器等等，这些系统和资源不能放置在内部保护网络内。如图3.1和3.2所示。

　　在有些用户网络中，可能需要两类DMZ：外部DMZ和内部DMZ。外部DMZ为用户内部网络和互联网共同可以访问的系统和资源；内部DMZ为内部各安全隔离部门所共享的系统和资源。如图3.8所示：