为防止利用互连网访问和传播有关黄色或反动信息，控制对校园外较为敏感的已知的Internet主机和资源的访问；防止校园外“黑客”对校园网内一些主机的侵入，获取内部资源；同时考虑减少国际流量费，节省开支，提高浏览速度。因此，应用防火墙技术及代理服务器势在必行，但引进防火墙软件价格昂贵，本文建议可以采用Cisco路由器所具备的基于网络层的存取控制方法，它可以对IP包的源/目的地址及端口号作出存取控制的决定。另外，基于应用层的防火墙系统相对比较完善，它就是一台叫作代理服务器(Proxy Server)的主机。它存在两个网络的中间，不答应直接数据传输，并有较大的Cache,可以做具体的日志及审计，对节省流量、计费、安全都提供了一定的功能。本文将讨论如何结合路由器及代理服务器两者的功能来建立防火墙系统。
　　
　　　　一般校园网都有一个入出路由器与外界相连，且其IP地址范围是固定的，具有明确的闭合边界。
　　
　　　　下面以校园网络中心为例，设有一个C类地址2021951950，网络中心有自己的DNS、WWW、E—Mail、FTP等服务器，设服务器的IP地址为2021951951，通常可以在入出路由器中设计如下的存取控制策略。
　　
　　　　1、控制校园网内部主机对国际资源的访问
　　
　　　　代理服务器设置如下：
　　
　　　　(1)选取一服务器作为代理器，如IP地址为2021951951这台主机，作为下载并安装WEB代理服务器的主机，目前使用较多的主要有Netscape Proxy Server 3.5和Microsoft Proxy Server 2.0；
　　
　　　　(2)下载并使用如gunzip及tar进行解包；
　　
　　　　(3)建立一用户Proxy治理代理服务器；
　　
　　　　(4)安装ADMIN SERVER，启动ns－setup，配置软件安装的根目录；HOST及IP；ADMIN PORT(8081)及运行权限(PROXY)可进行治理的主机地址和DNS名；治理者的名及口令；
　　
　　　　(5)启动START—ADMIN；
　　
　　　　(6)安装PROXY，运行NETSCEPE访问，通过8081口登录到主机；
　　
　　　　(7)选择“Install a new Netscape Proxy Server”，根据需要配置。
　　
　　　　2、对校园网内内部服务器的访问控制
　　
　　　　如有内部网服务器的IP地址为2021951952及2021951953，需控制校园网外对这些主机的访问，可设计如下：
　　
　　　　Access－list 101 deny ip any host 202.195.195.3
　　
　　　　access－list 101 deny ip any host 202.195.195.2
　　
　　　　 3、对Internet上敏感主机和资源的控制
　　
　　　　对校园网外一些较为敏感的已知主机和资源的访问控制，可直接屏蔽掉。如“花花公子”的WWW服务器的域名为WWW.PLAYBOY.COM，其中IP地址为:205.216.146.201，可设置如下：
　　
　　　　access－list 101 deny tcp 0.0.0.0 255.255.255.255 205.216.146.201 0.0.0.0 eg 80
　　
　　　　在这套防火墙系统的建构中，值得注重的一点是，由于在路由器上过多使用存取控制表会受到路由器内存限制并影响性能。