通过上例中的清网防火墙配置，内网可以经过防火墙，使用adsl上网。如果abc公还提供邮件和web服务，那么服务器（邮件和web）就只能和其它机器在同一个网络，这样做的结果是带来了很多安全隐患。一个更安全的方法是分离服务器到自己的网络，为服务器独立创建一个子网——服务器子网，继续称呼原来的内部子网为内网。

    在本例中，abc公司的网络要满足如下需求：

    1 为了保证外网，即internet，对服务器子网的访问，防火墙要提供网络地址转换（nat）。

    2 对于外网对服务器子网访问，防火墙要留有记录。

    3 对于外网对服务器子网访问，使用协议控制访问范围。

    在本例中，abc公司的网络为了服务器开辟了独立的子网——服务器子网，这就需要防火墙至少有3个接口，其中与服务器子网连接的接口ip地址为192.168.1.1，掩码为255.255.255.0；服务器子网的ip地址为192.168.1.0，掩码为255.255.255.0，其中web服务器的ip地址为192.168.1.100，邮件服务器的ip地址为192.168.1.200。

    abc公司从isp申请了地址为209.8.47.1，掩码为255.255.255.240。因此，abc公司拥有的外网（internet）网络地址范围是从209.8.47.0到209.8.47.15。防火墙为服务器做目的地址转换，将邮件服务器（192.168.1.200）映射为外网地址209.8.47.8，将外网接口ip地址209.8.47.1的http端口80转发到web服务器（192.168.1.100），那么外网只需访问这2个外网地址，就可以连接到邮件和web服务器。

    最终的网络图如下：