用户的网络状况和安装要求

    因为该教育网内部有WWW服务器，其地址是公用地址，客户要求在安装防火墙后，教育网内部的任一计算机都能访问该服务器，并且要求不改动原网络的拓扑结构。因此，在此方案中，将防火墙设成透明模式，基本能满足客户的需求。

另外，该部门的INTERNET出口端的流量为2M，所以用ByteWatch BW5.4的防火墙就满足带宽要求。

目的与要求

1、所有内部网络与外部网络之间的信息通讯都通过防火墙。

2、保证现有运行环境完整，不影响正常工作。

3、外部网络应能找到域名解析服务器；邮件能穿过防火墙到达指定目的。

4、能够过滤指定的通讯协议。

5、能够限定指定的内部主机和网络与外部网络通信。

防火墙安装

1、防火墙Wan端口与路由器连接。

2、防火墙DMZ端口接邮件服务器、DNS服务器、代理服务器，WWW服务器。

3、防火墙LAN端口接内部主网。

4、禁用DNS服务器内部网卡。

5、禁用邮件服务器内部网卡。

6、设置ByteWatch BW5.4内部网络地址。

参数设置

1、邮件服务器允许通过SMTP，POP3协议。

2、允许DNS服务器域名解析。

3、允许代理服务器HTTP协议。

4、允许内部网络主机通过HTTP协议。

    原先WWW、mail、DNS Server（内部）应用双网卡成为内外共用的堡垒主机。现将其移至DMZ；DMZ上的机器内外皆可访问；可以在ByteWatch BW5.4防火墙上设置存取控制，只允许相关服务与协议通过，LAN区上的机器可以直接访问DMZ，如果DNS为内部DNS，亦可以将其放置在LAN端，只解析内部地址，外部域名由内部DNS解析，更为安全。