2)防火墻部署

實際工作中，不僅僅要關注防火墻產品技術和防火墻產品，更重要的是要考慮如何根據安全要求和實際環境部署和使用防火墻。不同的組合方式體現了系統不同的安全要求，也決定了系統將采取不同的安全策略和實施方法。

單防火墻（無DMZ）部署：非軍事區（Dernilitarizecl Zone，DIⅥZ）是一種網絡區域，就是在不可信的外部網絡和可信任的內部網絡之間建立一個面向外部網絡的物理或邏輯子網。 單防火墻系統（無DMZ）是最基本的防火墻系統，通過防火墻產品將網絡分為外音|j和內部網絡，不僅可防止外部主機發起到內部受保護資源的連接，防止外部網絡對內部網絡的威脅， 也可過濾和限制從內部主機通往外部資源的流量。單防火墻系統（無DMZ）適用于家庭網絡、小型辦公網絡和遠程辦公網絡這些環境主要需求為內部受控地訪問外部網絡資源，并且很少或沒有需要外部來訪問的資源。

單防火墻( DMZ)部署：防火墻提供一個或多個虛擬非軍事區(DMZ)，用于部署允許外部網絡訪問的公開服務系統，如WEB系統、郵件系統等。DMZ的數量依賴于使用的防火墻產品所能支持和擴展的DMZ端口的數量，可以根據不同的安全要求將各種不同類型的公共服務放在不同的DMZ中，并根據需要對外部網絡、內部網絡、DMZ網絡之間的流量進行控制。

雙防火墻部署：雙防火墻體系結構為穿過防火墻的不同安全區域之間的流量提供了更細粒度的控制能力。在這種系統及結構中，使用兩臺防火墻分別作為外部防火墻和內部防火墻，在兩臺防火墻之間形成了一個非軍事區網段，同前面支持DMZ的單防火墻系統結構相似，外部流量允許進入DMZ網段，內部流量允許進入DMZ網絡并通過DMZ網段流出至外部網絡，但外部網絡的流量不允許直接進入內部網絡。雙防火墻體系結構的缺點是它的實施復雜性和費用較高。