如何做伺服器隔離區域

1. 伺服器上安裝雙網卡的如何實現隔離

雙網卡一個內網一個外網。內網機器可以通過內網ip代理上網。如果不想讓內網的上網那就把代理關掉就實現隔離了。

2. 怎麼實現內外網的完全隔離

可以安裝物理安全隔離網閘設備進行內外網隔離。物理安全隔離網閘是一種由帶有多種控制功能專用硬體在電路上切斷網路之間的鏈路層連接，並能夠在網路間進行安全適度的應用數據交換的網路安全設備。

這個設備主要用來解決網路安全問題的，尤其是在那些需要絕對保證安全的保密網，專網和特種網路與互聯網進行連接時，用來防止來自互聯網的攻擊和保證這些高安全性網路的保密性、安全性、完整性。

(2)如何做伺服器隔離區域擴展閱讀：

安全隔離網閘的原理

網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。

由於物理隔離網閘所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議"擺渡"，且對固態存儲介質只有"讀"和"寫"兩個命令。

所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現了真正的安全。

參考資料來源：網路--網閘

參考資料來源：網路--物理隔離

3. 怎樣創建FTP伺服器隔離用戶

首先用滑鼠逐一單擊系統桌面中的「開始」、「程序」、「管理工具」、「Internet 信息服務(IIS)管理器」命令，打開IIS控制台窗口，在該窗口的左側列表區域，用滑鼠右擊「FTP站點」，並從彈出的右鍵菜單中依次選擇「新建」、「FTP站點」菜單命令，進入到FTP站點創建向導設置界面，單擊其中的「下一步」按鈕;其次在彈出的「FTP站點描述」界面中輸入FTP站點的名稱信息，例如這里可以輸入「用戶隔離站點」，繼續單擊「下一步」按鈕;在隨後出現的IP地址和埠設置頁面中，設置好目標FTP站點的IP地址，同時將服務埠號碼設置成默認的「21」，再單擊「下一步」按鈕;接著我們將看到一個標題為「FTP用戶隔離」的設置界面，選中該界面中的「隔離用戶」項目，之後進入到FTP站點主目錄向導設置窗口，單擊其中的「瀏覽」按鈕，從隨後彈出的文件夾選擇對話框中將前面已經創建好的「aaa」文件夾選中並導入進來，再單擊「確定」按鈕;當向導窗口要求我們設置「FTP站點訪問許可權」時，我們必須將「寫入」項目選中(如圖3所示)，最後單擊一下「完成」按鈕，結束FTP站點的架設操作。 請採納。。。。哈哈

4. 如何實現內網與外網的有效隔離

5月5日 23:04 保密要求比較高的場所可以使用物理隔離卡，有現成的產品賣
有如下品牌
· 易思克
· 偉思
· XWELL
· 宙斯盾
· HARD LINK
· 中孚
· 聯想
· 圖文
· 威訊

關於物理隔離

如今，我們已越來越發覺，我們必須聯結網路，無論是Internet、www、電子郵件等等，"聯結"令我們受益匪淺，當你已進入了互聯網時代，你將很難再離開網路，但與此同時，我們也正受到日益嚴重的來自網路的安全威脅，諸如網路的數據竊賊、黑客的侵襲、病毒發布者，甚至系統內部的泄密者。
盡管我們正在廣泛地使各種復雜的軟體技術，如防火牆、代理伺服器、侵襲探測器、通道控制機制，但是由於這些技術都是基於軟體的保護，是一種邏輯機制，這對於邏輯實體（即黑客或內部用戶）而言是可能被操縱的，即由於這些技術的極端復雜性與有限性，這些在線分析技術無法提供某些組織（如軍隊、軍工、政府、金融、研究院、電信以及企業）提出的高度數據安全要求。
基於安全官員的立場"如果不存在與網路的物理聯接，網路安全威脅便受到了真正的限制"，以及我國《計算機信息系統國際聯網保密管理規定》中第六條規定"涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其它公共信息網路相聯接，必須實行物理隔離"，基於上述政策與規定，我們開發出了這一全新的網路安全技術--網路安全物理隔離技術，以及實現這一技術功能的產品--偉思信安網路安全隔離卡。

技術原理

網路安全隔離卡的功能即是以物理方式將一台PC虛擬為兩個電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩個狀態是完全隔離的，從而使一部工作站可在完全安全狀態下聯結內、外網。 網路安全隔離卡實際是被設置在PC中最低的物理層上，通過卡上一邊的IDE匯流排聯結主板，另一邊聯結IDE硬碟，內、外網的聯接均須通過網路安全隔離卡，PC機硬碟被物理分隔成為兩個區域，在IDE匯流排物理層上，在固件中控制磁碟通道，在任何時候，數據只能通往一個分區。

圖1

在安全狀態時，主機只能使用硬碟的安全區與內部網聯結，而此時外部網（如Internet）聯接是斷開的，且硬碟的公共區的通道是封閉的。
在公共狀態時，主機只能使用硬碟的公共區，可以與外部網聯結，而此時與內部網是斷開的，且硬碟安全區也是被封閉的。

轉換便捷

當兩種狀態轉換時，是通過滑鼠點擊操作系統上的切換鍵，即進入一個熱啟動過程，切換時，系統通過硬體重啟信號重新啟動，這樣，PC的內存所有數據被消除，兩個狀態分別是有獨立的操作系統，並獨立導入，兩個硬碟分區不會同時激活。

數據交換

為了安全的保證，兩個分區不能直接交換數據，但是用戶可以通過我們的一個獨特的設計，來安全方便地實現數據交換，即在兩個分區以外，網路安全隔離在硬碟上另外設置了一個功能區，功能區在PC處於不同的狀態下轉換，即在兩個狀態下，功能區均表現為硬碟的D盤，各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要，也可創建單向的安全通道，即數據只能從公共區向安全區轉移，但不能逆向轉移，從而保證安全區的數據安全。

安全區控制

基於安全威脅來自內外兩方面的關系，即除了外來的黑客攻擊、病毒發布以外，系統內部有意或無意的泄密，也是必須防止的威脅。因此，網路安全隔離卡可以對安全區作只讀控制，即可禁止內部使用者以軟碟機、光碟機復制數據或纂改安全區的數據。

技術的廣泛應用

由於網路安全隔離卡是控制主IDE匯流排，在PC機硬體最底層的基礎上，因此廣泛支持幾乎所有奔騰以及奔騰兼容晶元。
由於網路安全隔離卡是完全獨立於操作系統的，因此也支持幾乎所有主流的操作系統。 網路安全隔離卡對網路技術和協議完全透明，因此，對目前主要協議廣泛支持，如乙太網、快速乙太網、令牌環行網、光纖、ATM、ISDN、ADSL。

安裝與使用

網路安全隔離卡的安裝並不復雜，一般情況，並不需要改變用戶原有的網路結構，安裝人員的技術水平要求相當安裝普通網卡的水平。 安裝網路安全隔離卡，一般情況下，不必因為擔心丟失數據，而去復制硬碟上數據。 用戶的使用也只須接受簡單的培訓，不存在日後的維護問題。

適用范圍與政府論證

基於國家有關保密的規定，偉思的網路安全物理隔離技術，正完全符合這一點。因此，本技術適用於幾乎所有既要求十分嚴格的數據安全，同時又期望接入互聯網的各類機構，諸如政府機關、軍事機構、金融、電信、科研院校及大型企業等等。 偉思的"網路安全隔離卡"與"網路安全隔離集線器"已通過國家公安部和國家信息安全評測認證中心等國家權威機構的認證，並已具備了相關的產品證書。
如需要了解更多資料，歡迎到<技術支持>欄目的下載區下載本產品的詳細資料或聯系我們。

5. 如何規化防火牆，將內部的伺服器和部分PC與internet 隔離

內部的伺服器（私有地址）和內部機器放在防火牆內網區（必要時通過三層交換機劃分Vlan），公網IP伺服器（需要從互聯網訪問的機器）放在防火牆的DMZ區。
防火牆只對需要開放的埠「允許」，其他一律「拒絕」

6. 防火牆和交換機如何實現內外網隔離

防火牆和交換機還是比較常用的，於是我研究了一下 ，在這里拿出來和大家分享一下，希望對大家有用。隨著網路技術和網際網路技術的成熟和高速發展，越來越多的企事業單位開始組建網路來實現辦公自動化和共享網際網路的信息。但是， 安全問題也突現出來，iMaxNetworks(記憶網路公司)根據電子政務網路的特點提出了以交換機、防火牆和交換機相結合實現內外網隔離的解決方案。 方案一：交換機實現內外網的物理隔離 網路系統由內部區域網和外部網際網路兩個相對獨立又相互關聯的部分組成，均採用星形拓撲結構和100M交換式快速乙太網技術。內部網與外部網之間不存在物理上的連接，使來自Internet的入侵者無法通過計算機從外部網進入內部網，從而最有效地保障了內部網重要數據的安全，內部區域網和外部網際網路實現物理隔離。 imaxnetworks終端提供了經濟安全的內外網物理隔離功能，它通過物理開關進行內外網的切換，在物理上信息終端只與其中一個網路連通，所以黑客即使侵入其中一個網路也無法越過物理屏障侵入另一個網路。建立內外網隔離方案需要在內網和外網各安裝至少一台終端伺服器。 方案二：防火牆和交換機結合，實現內外網隔離 VLAN隔離內外網：電子政務網路中存在多種業務，要實現多網的統一互聯，同時又要保證各個網路的安全，除了在應用層上通過加密、簽名等手段避免數據泄漏和篡改外，在區域網的交換機上採用VLAN技術進行，將不同業務網的設備放置在不同的VLAN中進行物理隔離，徹底避免各網之間的不必要的任意相互訪問。在實現VLAN的技術中，以基於乙太網交換機埠的VLAN(IEEE 802.1Q)最為成熟和安全，防火牆訪問控制保證。 網路核心安全：為了網路構建簡單，避免採用太多的設備使管理復雜化，從而降低網路的安全性，可以放置一個高速防火牆，通過這個這個防火牆和交換機，對所有出入中心的數據包進行安全控制及過濾，保證訪問核心的安全。另外，為保證業務主機及數據的安全，不允許辦公網及業務網間的無控制互訪，應在進行VLAN劃分的三層交換機內設置ACL。數據加密傳輸：對於通過公網(寬頻城域網)進行傳輸的數據及互聯，數據加密是必須的，在對關鍵業務做加密時，可以考慮採用更強的加密演算法。 設置DMZ區進行外部訪問：通常對於外部網路的接入，必須採取的安全策略是拒絕所有接受特殊的原則。即對所有的外部接入，預設認為都是不安全的，需要完全拒絕，只有一些特別的經過認證和允許的才能進入網路內部。

7. 架設Windows用戶隔離FTP伺服器方法介紹

架設FTP站點似乎已經不是什麼困難的事情了，我們不需要藉助任何外來工具的幫忙，只需要使用Windows伺服器系統自帶的IIS功能，就能輕易地架設一台FTP站點了。不過，用這種方法架設的FTP站點不但允許任何用戶進行匿名訪問，而他們也能對FTP站點的主目錄進行隨意「讀取」與「寫入」，如此一來保存在FTP站點中的內容就沒有安全性了。那麼我們究竟該怎樣才能讓架設成功的FTP站點，不允許用戶訪問主目錄、而只能訪問用戶自己的目錄呢?事實上，在Windows 2003伺服器的IIS 6.0系統中，我們只需要利用新增加的「隔離用戶」FTP組件，就能輕松讓用戶只訪問自己的目錄。

安裝「隔離用戶」FTP組件

由於架設FTP站點需要IIS6.0的支持，而在默認狀態下Windows 2003伺服器並沒有安裝該組件，所以在架設具有用戶隔離功能的FTP站點之前，我們需要先安裝好IIS6.0組件，並將其中的「隔離用戶」FTP組件一並安裝成功，下面就是安裝「隔離用戶」FTP組件的具體操作步驟：

首先在Windows 2003伺服器系統中，依次單擊「開始」/「設置」/「控制面板」命令，在彈出的「控制面板」窗口中用滑鼠雙擊其中的「添加或刪除程序」圖標，在其後出現的「添加或刪除程序」設置界面中單擊一下「添加/刪除Windows組件」按鈕，進入到一個標題為「Windows組件向導」的界面。

其次在「組件」列表框中，選中「應用程序伺服器」復選項，並單擊「詳細信息」按鈕，在隨後彈出的「應用程序伺服器」設置窗口中，用滑鼠雙擊其中的「Internet信息服務(IIS)」項目，進入到「Internet信息服務(IIS)」屬性設置框，在該設置框的子組件列表中選中「文件傳輸協議(FTP)服務」項目，單擊「確定」按鈕，然後按照向導提示完成具有「隔離用戶」功能的FTP組件。

為了防止普通用戶通過匿名帳號訪問FTP站點，我們在架設FTP站點的時候肯定會限制匿名帳號的訪問許可權，只讓特定用戶才能訪問FTP站點下面的內容。為此，在正式架設FTP站點之前，我們有必要在Windows 2003伺服器系統中為FTP站點創建一些用戶訪問帳號，日後用戶必須憑事先創建好的帳號才能登錄進行FTP站點。在創建FTP站點用戶訪問帳號時，我們可以按照如下步驟進行操作:

首先在伺服器系統桌面中依次單擊「開始」/「運行」命令，在彈出的系統運行對話框中，輸入字元串命令「compmgmt.msc」，單擊回車鍵後，打開本地伺服器系統的計算機管理窗口;

其次在該管理窗口的左側顯示區域中，用滑鼠雙擊「本地用戶和組」選項，在其後展開的分支下面選中「用戶」文件夾，在對應該文件夾的右側顯示區域中，用滑鼠右鍵單擊空白位置，從彈出的右鍵菜單中單擊「新用戶」命令，進入「新用戶」創建窗口;

接下來在該窗口中設置好用戶的訪問帳號以及密碼信息，將「用戶下次登錄時須更該密碼」項目的.選中狀態取消，同時選中「用戶不能更該密碼」選項與 「密碼永不過期」選項，再單擊一下「創建」按鈕，這么一來一個目標用戶的帳號信息就算創建成功了。同樣地，我們可以為那些需要訪問FTP站點的所有用戶都創建一個帳號信息。

創建與訪問帳號對應的目錄

當創建好了用戶訪問帳號後，我們下面需要進行的操作就是在伺服器系統的本地硬碟中創建好FTP站點的主目錄，以及各個用戶帳號所對應的用戶帳號，以便確保每一個用戶日後只能訪問自己的目錄，而沒有權利訪問其他用戶的目錄。

為了讓架設好的FTP站點具有用戶隔離功能，我們必須按照一定的規則設置好該站點的主目錄以及用戶目錄。首先我們需要在NTFS格式的磁碟分區中建立一個文件夾，例如該文件夾名稱為「aaa」，並把該文件夾作為待建FTP站點的主目錄;

接著進入到「aaa」文件夾窗口中，並在其中創建一個子文件夾，同時必須將該子文件夾名稱設置為「LocalUser」(該子文件夾名稱不能隨意設置)，再打開「LocalUser」子文件夾窗口，然後在該窗口下依次創建好與每個用戶帳號名稱相同的個人文件夾，例如我們可以為「aaa」用戶創建一個「aaa」子文件夾(要是用戶帳號名稱與用戶目錄名稱不一樣的話，日後用戶就無法訪問到自己目錄下面的內容)。

當然，要是我們仍然希望架設成功的FTP站點具有匿名登錄功能的話，那就必須在「LocalUser」文件夾窗口中創建一個「Public」子目錄，日後訪問者通過匿名方式登錄進FTP站點時，只能瀏覽到「Public」子目錄中的內容。

創建「用戶隔離」FTP站點

做好上面的各項准備工作後，我們現在就能正式搭建具有「用戶隔離」功能的FTP站點了，下面就是具體的搭建步驟：

首先用滑鼠逐一單擊系統桌面中的「開始」、「程序」、「管理工具」、「Internet 信息服務(IIS)管理器」命令，打開IIS控制台窗口，在該窗口的左側列表區域，用滑鼠右擊「FTP站點」，並從彈出的右鍵菜單中依次選擇「新建」、 「FTP站點」菜單命令，進入到FTP站點創建向導設置界面，單擊其中的「下一步」按鈕;

其次在彈出的「FTP站點描述」界面中輸入FTP站點的名稱信息，例如這里可以輸入「用戶隔離站點」，繼續單擊「下一步」按鈕;在隨後出現的IP地址和埠設置頁面中，設置好目標FTP站點的IP地址，同時將服務埠號碼設置成默認的「21」，再單擊「下一步」按鈕;

接著我們將看到一個標題為「FTP用戶隔離」的設置界面，選中該界面中的「隔離用戶」項目，之後進入到FTP站點主目錄向導設置窗口，單擊其中的「瀏覽」按鈕，從隨後彈出的文件夾選擇對話框中將前面已經創建好的「aaa」文件夾選中並導入進來，再單擊「確定」按鈕;當向導窗口要求我們設置 「FTP站點訪問許可權」時，我們必須將「寫入」項目選中，最後單擊一下「完成」按鈕，結束FTP站點的架設操作。

當FTP站點架設成功後，我們不妨從區域網的另外一台工作站中，以帳號「aaa」登錄進剛剛創建好的FTP站點，然後在對應目錄中重新創建一個文件。為了檢驗剛剛創建的文檔是否保存在「aaa」子文件夾中，我們不妨登錄進Windows 2003伺服器中，檢查「LocalUser」文件夾下面的「aaa」子目錄，看看其中是否有自己剛剛才建的文件，如果看到的話，那說明具有用戶隔離功能的FTP站點就已經架設成功了。

8. 隔離區（DMZ）

DMZ： demiliatarized zone
隔離區，也稱為「非軍事化區」。

他是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位於企業內部網路和外部網路之間的小網路區域內，在這個小網路區域內可以放置一些必須公開的伺服器設置，如企業Web伺服器，FTP伺服器和論壇等。

另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網路，因為這種網路部署，比起一般的防火牆方案，對攻擊者來說又多了一道關卡。

網路設備開發商，利用這一技術，開發出響應的防火牆解決方案。稱為「非軍事區結構模式」。DMZ通常是一個過濾的子網，DMZ在內部網路和外部網路之間構造了一個安全地帶。

DMZ防火牆為要保護的內部網路增加了一道安全防線，通常認為是非常安全的。同事它提供了一個區域放置公共伺服器，從而又能有效地避免一些互聯應用需要公開，而與內部安全策略相矛盾的情況發生。在DMZ區域中通常包括堡壘主機，Modem池，以及所有的公共伺服器，但要注意的是電子商務伺服器只能用作用戶連接，真正的電子商務後台數據需要放在內部網路中。

在這個防火牆方案中，包括兩個防火牆，外部防火牆抵擋外部網路的攻擊，並管理所有內部網路對DMZ的訪問。內部防火牆管理DMZ對於內部網路的訪問。內部防火牆是內部網路的第三道安全防線(前面有了外部防火牆和堡壘主機)，當外部防火牆失效的時候，它還可以起到保護內部網路的功能。而區域網內部，對於Internet的訪問由內部防火牆和位於DMZ的堡壘主機控制。在這樣的結構里，一個黑客必須通過三個獨立的區域(外部防火牆、內部防火牆和堡壘主機)才能夠到達區域網。攻擊難度大大加強，相應內部網路的安全性也就大大加強，但投資成本也是最高的。

9. 什麼叫DMZ區DMZ區有什麼作用應該怎樣構建DMZ

它是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位於企業內部網路和外部網路之間的小網路區域內，在這個小網路區域內可以放置一些必須公開的伺服器設施，如企業Web伺服器、FTP伺服器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網路，因為這種網路部署，比起一般的防火牆方案，對攻擊者來說又多了一道關卡。
生動解釋：您的公司有一堆電腦，但可以歸為兩大類：客戶機、伺服器。所謂客戶機就是主動發起連接請求的機器，所謂伺服器就是被動響應提供某些服務的機器。伺服器又可以分僅供企業內網使用和為外網提供服務兩種。
OK，您只要按以下規則配置防火牆，就構造了一個DMZ區（您也可以叫love區，隨您）：
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中，防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的伺服器。
3.外網不能訪問內網
很顯然，內網中存放的是公司內部數據，這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的伺服器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
5.DMZ不能訪問內網
很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網

10. 如何規劃防火牆區域將內部伺服器、對外業務伺服器、用戶終端同INTERNET隔離開

用硬體隔開最安全。可以在交換機上劃開網段，網段1作為內網計算機運行，不接入外網。網段2作為對外業務使用，接入外網。網段3再作為其他之用。有個不好的地方就是網段之間的計算機不能訪問，如果需要訪問的話，可以在各個網段接一台代理伺服器就行。 軟體防火牆的話，根本就不建議用。