四种常见的防火墙设计都提供一个确定的安全级别，一个简单的规则是越敏感的数据就要采取越广泛的防火墙策略，这四种防火墙的实施都是建立一个过滤的距阵和能够执行和保护信息的点。这四种选择是：

1、筛选路由器

2、单宿主堡垒主机

3、双宿主堡垒主机

4、屏蔽子网

筛选路由器的选择是最简单的，因此也是最常见的，大多数公司至少使用一个筛选路由器作为解决方案，因为所有需要的硬件已经投入使用。用于创建筛选主机防火墙的两个选择是单宿主堡垒主机和双宿主堡垒主机。不管是电路级还是应用级网关的配置都要求所有的流量通过堡垒主机。最后一个常用的方法是筛选子网防火墙，利用额外的包过滤路由器来达到另一个安全的级别。2100433B

构造防火墙设备时，经常要遵循下面两个主要的概念。

第一、保持设计的简单性。

第二、要计划好一旦防火墙被渗透应该怎么办。

防火墙设计规则简单性

一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件，无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。

防火墙设计规则事故计划

如果你已设计好你的防火墙性能，只有通过你的防火墙才能允许公共访问你的网络。当设计防火墙时安全管理员要对防火墙主机崩溃或危及的情况作出计划。如果你仅仅是用一个防火墙设备把内部网络和公网隔离开，那么黑客渗透进你的防火墙后就会对你内部的网络有着完全访问的权限。为了防止这种渗透，要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙保护惟独的网络。如果你的安全受到损害，那你的安全策略要确定该做些什么。采取一些特殊的步骤，包括：

1、创建同样的软件备份

2、配置同样的系统并存储到安全的地方

3、确保所有需要安装到防火墙上的软件都容易，这包括你要有恢复磁盘。

检查集成电路物理版图是否满足设计规则的过程。设计规则是为了给合格芯片的生产留出裕量而规定的一系列有关几何图形和连接性的限制。

随着版图的特征尺寸不断缩小，尤其是在20nm及以下节点，193nm浸没式光刻机已经达到了分辨率极限。尽管采用了先进的SMO和OPC，版图上仍然有一些难以解决的坏点。为了解决这一问题，从改变设计尺寸的角度，开发出了一种新的光刻优化方法。该方法基于光刻优化仿真反馈的信息，重新定义相应的版图设计规则。这种新型的智能化优化方法被称为版图设计规则的优化（design rule optimization, DRO）。

DRO同步进行目标图形、光源、掩模图形，以保证整体工艺窗口最大。DRO的最终优化结果包括版图设计规则相关参数、目标图形、更新后的测量参数、优化后的光源和掩模图形组成。DRO还有另外一个独特的优势，就是设计优化的过程中不需要增加器件尺寸，保证了芯片的尺寸尽可能小的初衷 。