对网络服务供应商来说，保护网络安全免受攻击是至关重要的，因此对于防火墙的选择必须慎重。天网防火墙电信级是专为ICP（互联网内容供应商）网站以及IDC数据中心设计的大容量高性能防火墙，它能支持大量的峰值访问与并发连接数，适应各类型ICP网站和IDC数据中心的复杂的业务与数据交换的需求。它包括了基本的防火墙系统的各种优秀功能，外加强大的功能模块，还可扩展成双机热备份功能，使系统瞬间自动切换不正常的防火墙系统，全面保护网络服务供应商免受非法攻击。

推荐型号：天网防火墙电信级FW5010 ICP型； FW5060 IDC型

对于小型的网站我们建议使用FW5010 ICP型，对于大型的ICP网站或者IDC数据中心等ISP网络运营商我们建议使用FW5060 IDC型，相对于ICP型，提供更强大的处理能力，并带有负载均衡功能和双机热备份功能。

值得一提的是，目前DoS及DdoS攻击严重威胁着各ICP网站的安全，而天网独特的DoS防御网关能高效地把这类攻击拒之门外，诸多成功案例已经证明天网防火墙电信级的确是各类网站和数据中心的保护神。

功能
基本系统功能，包括：

1、自行开发的优良的防火墙内核
2、基于状态检测的包过滤功能
3、具有包过滤功能的虚拟网桥功能
4、具有TCP标志位检测功能
5、具有双向的网络地址转换功能
6、具有流量统计与流量限制功能
7、可通过界面升级，操作方便
8、具有国际首创的DoS防御网关技术，能有效的防止各种类型的DoS攻击
9、支持一个网络端口绑定多个IP地址，从而支持多个子网和多种IP应用。
10、支持IP与MAC地址绑定，有效地管理IP地址资源
11、具有实时系统监控功能，能观察系统的运行状态及网络连接状况
12、具有实时报警功能，通过拨打电话和Email的方式报警
13、具有系统操作记录，可以记录系统管理员的所有操作情况

■网络黑洞
用于阻挡非法的网络探测

■网络数据记录
用于记录通过防火墙的数据类型和流量，该模块需要在一台PC机上安装一个客户端软件进行数据收集、分析和处理，还可以把分析结果导入数据库，实现自动处理。

■双机热备份
可在瞬间自动切换不正常工作的防火墙系统

■负载均衡
可以智能地将用户请求分布到多台服务器
典型网络方案：
某大型ICP网站准备使用十台服务器对外提供Web服务，使用四台服务器作为Smtp服务器，两台服务器作为P0P3服务器，对外进行服务，估计将有2325M的流入数据量和1214M的外流数据量：
网络结构
根据该大型ICP站点当前的网络需求，我们建议使用基于天网防火墙电信级FW5060 IDC型的安全解决方案。
为了保证站点的稳定性、容错性，本方案使用天网防火墙ICP型两台，通过防火墙的双机热备份功能保证不间断正常运作，并把整个网络划分为物理上相互独立的两个网段：

公共网段（Public Network）
私有网段（Private Network）

其中，公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持；私有网段安放十台Web服务器、四台Smtp服务器和两台P0P3服务器，提供Web和电子邮件应用服务。

安全策略

目的：
划分安全区域
制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。
审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。
根据对用户需求的分析，163.net北京站点的网络可以划分为以下几个安全区域：
内部网段
外部网段
分属两个安全区域的网段通过天网防火墙进行互连。

No.	安全区域	安全级别	访问级别
1	外部网段	低级	无.提供网络连接
2	内部网段	高级	可自由访问外部网络资源;对外不可见

现有需要进行审核和过滤的应用和服务类型包括：

服务类型	端口范围/协议类型	访问级别
DNS	53, tcp/udp	域名服务
www	80, tcp	WWW服务
ftp	21, tcp	ftp服务
mail	25,110.tcp	Mail服务