如何把伺服器做隔離

㈠ 如何用一台電腦實現網路隔離和安全管控

由於工作性質的不同，很多企業是不允許員工上外網的，一旦有需求上網查找資料，必須要在指定的網域通過專門的電腦進行查詢和下載。這樣表面看是保障了內部網路的安全性，防止內部信息泄漏到外網，但從實際操作過程來看，管理復雜，效率低，資源不能合理利用，給員工工作帶來很多不便。

還有一些單位，為了保障內部信息的安全，採用虛擬化的方式，將所有文件存儲在遠端伺服器上，也就是傳說中的「雲端」，本地不保存文件，投入了巨資建設這套虛擬化系統，但往往由於網路帶寬資源和後續維護不到位，導致更多的麻煩出現。

研發部門作為企業的核心競爭優勢的主體部門，一直是企業內部信息保護的重點，所以還有一些單位直接將他們的所有文件都做加密處理，這樣來控制企業的內部信息安全，這確實也是信息保護最強有力的手段。

由於內容性質不同，有些企業希望降低管理難度，節約保護成本，將內外網有效的隔離開來，採取許進不許出的原則進行控制就可以，既不影響效率，又能保證安全。但如果網路隔離後，要配置多台電腦，成本又增加了，所以市場在呼喚更有效的隔離方案來解決信息安全的問題!

億賽通憑借自己十餘市場發展經驗，運用成熟的沙箱技術和加解密技術，在充分保持兼容性強的前提下，為研發企業、金融單位、軍工單位、政府行業等有多種網路辦公環境需求的單位提供了一套虛擬安全隔離管控系統，該系統能夠有效創建並隔離多個安全域環境，保障各安全域環境中應用與原始系統一致，另一方面各個安全域環境中的數據安全隔離，全磁碟加密存儲，從而達到安全防護的目的，主要特點如下：

1. 環境隔離及加密存儲

各安全域環境可實現單向或雙向隔離，保障不同環境間數據存儲與使用安全，實現物理隔離效果。安全域環境所產生的所有數據均被重定向保存至虛擬加密磁碟中，確保隔離數據在硬碟上的存儲安全，防止非法用戶竊取磁碟泄密。

2. 安全身份認證

支持多種身份認證方式，包括：用戶名與口令認證、硬體USB雙因子認證和AD單點登錄認證等，並支持與CA證書統一集成認證。

3. 網路加密與隔離

各安全域環境內網路通訊均完整加密與隔離，同一安全域環境內可組建加密安全隔離網路，各安全域環境間可實現相互隔離，並可實現對核心應用系統的訪問隔離，保障應用系統的安全認證和訪問安全。

4. 埠及外設管控

可對計算機埠及外設進行啟用或禁用控制，包含USB存儲設備、手機同步、物理列印、光碟機、串口、並口、紅外、藍牙等。

5. 域內安全共享與傳輸

同一安全域環境內，用戶間可進行安全即時通訊和文件安全共享傳輸，在確保安全域隔離傳輸安全的同時提高內部協同效率。

6. 離線安全外帶

針對出差辦公或網路中斷等特殊場景，系統支持設置離線策略與時限;在正常策略許可權下，用戶可離線正常使用安全域及隔離數據，但禁止非授權導出及網路外發，系統將詳細記錄操作日誌及審計。

7. 數據安全外發

安全域內重要文檔需要外發時，需提交明文外發或密文外發申請，在審核通過後才可將文檔輸出至安全域外;當密文外發時，外發文檔將以加密的方式提交給外部使用，防止重要文檔被非法擴散及泄密。密文外發可設置文檔打開認證方式、使用許可權、閱讀次數以及閱讀時限等控制。

8. 數據集中管控與雲存儲

安全域中所有隔離數據可集中存儲至伺服器中，實現「數據大集中、終端不留痕」的高保密要求。

億賽通虛擬安全隔離管控系統，真正的應用環境隔離防護，讓之前雜亂無章的工作環境變得安全可控;該產品應用影響小、與現有環境集成快、而且安全域環境之間可一鍵快速切換， 真正做到安全與效率並存。

㈡ 如何把受網路攻擊的伺服器等設備從網路中隔離出來

1、外部來的DoS攻擊會造成網路掉線，判別方法是從路由器的系統日誌文件中可以看出，Qno俠諾的路由器會顯示遭受攻擊，而且路由器持續在工作。其它品牌的路由器，有些也有相關的功能，用戶可以查看使用手冊。DoS病毒攻擊，如SYN攻擊，因為發出大量數據包導致系統資源佔用過多，使路由器損耗效能造成網路壅塞，達到癱瘓網吧網路對於廣域網來的攻擊，路由器能作的不多，也無法反擊。此時，網吧管理者或網管應直接聯系對應的運營商，請求更換WAN IP。

2、內網遭受DoS攻擊時，也會造成掉線或壅塞。網吧管理者或網管可以從被激活的告警日誌中，查找到內網攻擊源頭的中毒機器，第一時間先拔除PC機網路線，阻止DoS攻擊影響擴大，並進行殺毒或重新安裝系統。

3、內網遭受沖擊波攻擊是另一個原因，沖擊波攻擊，是針對網路特定服務埠(TCP/UDP 135~139，445)發出大量數據包導致系統資源佔用過多，使路由器損耗效能造成網路壅塞，以達到癱瘓網吧網路的目的。同樣網吧管理者或網管可以從Qno俠諾被激活的告警日誌中，發現問題。 網吧管理者或網管可以針對特定服務埠(TCP/UDP 135~139，445)設置網路存取條例，並從被激活的防火牆日誌中，查找到內網攻擊源頭的中毒機器，第一時間先拔除PC機網路線，阻止沖擊波攻擊影響擴大，並進行殺毒或重新安裝系統。

4、內網遭受ARP攻擊是最近常發生的原因，ARP病毒攻擊以竄改內網PC機或路由器 IP或MAC地址，來達到盜取用戶賬號/密碼，進一步進行網路盜寶等犯罪行為，或是惡意癱瘓網吧網路。ARP病毒攻擊會造成內網IP或MAC沖突，出現短時間內部份斷線。網吧要確定網吧已做好Qno俠諾路由器及內網PC機端雙向綁定IP/MAC地址的防制工作，內網所有的PC機與路由器IP/MAC地址對應關系都被保存到路由器的ARP緩存表中，不能被輕易更改。此時ARP攻擊雖然並不會擴及其它PC機，但網吧管理者或網管還是必須立即查找出內網攻擊源頭的中毒機器，進行殺毒或重新安裝系統。路由器內建ARP病毒來源自動檢測工具，系統日誌中可提供攻擊源的IP或MAC地址，幫助網吧進行查找攻擊源機器。有些高階路由器也都有相仿的設計。

網路遭受攻擊，可從路由器相關功能找出遭受攻擊類型，網吧管理者或網管查找、直擊攻擊源加以隔離與排除，在攻擊發起時即能迅速加以解決，無需等到客人反應受到影響。

另外網路的雍堵也可能造成掉線.
1、短暫網路壅塞，有可能是網吧內突發的帶寬高峰，網吧管理員或網管應關注路由器的帶寬統計，可先持續關注狀況。若是尖峰時段，網吧客人較多，帶寬也會比較吃緊，或是有用戶使用BT、P2P軟體做大量上傳，佔用大量帶寬，造成網路卡。網吧管理員或網管此時應設置QoS流量管理規范內網用戶最大使用帶寬，才能讓網路聯機恢復正常，解決壅塞情況。

2、尖峰時段持續性壅塞，是有用戶使用BT、P2P 軟體進行大量下載，或在線觀看電影、視訊等佔用大量帶寬行為。若是用戶觀看電影人數很多，網吧應考慮於內網安裝電影伺服器供用戶使用，才不致因觀看影片人多佔用對外帶寬。對於大量下載，則應考慮建置內部私服加以改善。

3、若是長時間從路由器看到帶寬佔用率高，有可能表示網吧根本帶寬不足，線路帶寬過小，不足以提供目前在線眾多人數使用，應考慮加大線路帶寬。這時就可利用多WAN口特性進行帶寬的升級，解決帶寬不足的問題。

措施:基於路由器的防範方法
一．內部PC基於IP地址限速

現在網路應用眾多，BT、電驢、迅雷、FTP、在線視頻等，都是非常佔用帶寬，以一個200台規模的網吧為例，出口帶寬為10M，每台內部PC的平均帶寬為50K左右，如果有幾個人在瘋狂的下載，把帶寬都佔用了，就會影響其他人的網路速度了，另外，下載的都是大文件，IP報文最大可以達到1518個BYTE，也就是1.5k，下載應用都是大報文，在網路傳輸中，一般都是以數據包為單位進行傳輸，如果幾個人在同時下載，佔用大量帶寬，如果這時有人在玩網路游戲，就可能會出現卡的現象。

一個基於IP地址限速的功能，可以給整個網吧內部的所有PC進行速度限制，可以分別限制上傳和下載速度，既可以統一限制內部所有PC的速度，也可以分別設置內部某台指定PC的速度。速度限制在多少比較合適呢？和具體的出口帶寬和網吧規模有關系，不過最低不要小於40K的帶寬，可以設置在100-400K比較合適。

二：內部PC限制NAT的鏈接數量

NAT功能是在網吧中應用最廣的功能，由於IP地址不足的原因，運營商提供給網吧的一般就是1個IP地址，而網吧內部有大量的PC，這么多的PC都要通過這唯一的一個IP地址進行上網，如何做到這點呢？

答案就是NAT（網路IP地址轉換）。內部PC訪問外網的時候，在路由器內部建立一個對應列表，列表中包含內部PCIP地址、訪問的外部IP地址，內部的IP埠，訪問目的IP埠等信息，所以每次的ping、QQ、下載、WEB訪問，都有在路由器上建立對應關系列表，如果該列表對應的網路鏈接有數據通訊，這些列表會一直保留在路由器中，如果沒有數據通訊了，也需要20-150秒才會消失掉。（對於RG-NBR系列路由器來說，這些時間都是可以設置的）

現在有幾種網路病毒，會在很短時間內，發出數以萬計連續的針對不同IP的鏈接請求，這樣路由器內部便要為這台PC建立萬個以上的NAT的鏈接。

由於路由器上的NAT的鏈接是有限的，如果都被這些病毒給佔用了，其他人訪問網路，由於沒有NAT鏈接的資源了，就會無法訪問網路了，造成斷線的現象，其實這是被網路病毒把所有的NAT資源給佔用了。

針對這種情況，不少網吧路由器提供了可以設置內部PC的最大的NAT鏈接數量的功能，可以統一的對內部的PC進行設置最大的NAT的鏈接數量設置，也可以給每台PC進行單獨限制。

同時，這些路由器還可以查看所有的NAT鏈接的內容，看看到底哪台PC佔用的NAT鏈接數量最多，同時網路病毒也有一些特殊的埠，可以通過查看NAT鏈接具體內容，把到底哪台PC中毒了給揪出來。

三：ACL防網路病毒

網路病毒層出不窮，但是道高一尺，魔高一丈，所有的網路病毒都是通過網路傳輸的，網路病毒的數據報文也一定遵循TCP/IP協議，一定有源IP地址，目的IP地址，源TCP/IP埠，目的TCP/IP埠，同一種網路病毒，一般目的IP埠是相同的，比如沖擊波病毒的埠是135，震盪波病毒的埠是445,只要把這些埠在路由器上給限制了，那麼外部的病毒就無法通過路由器這個唯一的入口進入到內部網了，內部的網路病毒發起的報文，由於在路由器上作了限制，路由器不加以處理，則可以降低病毒報文占據大量的網路帶寬。

優秀的網吧路由器應該提供功能強大的ACL功能，可以在內部網介面上限制網路報文，也可以在外部王介面上限制病毒網路報文，既可以現在出去的報文，也可以限制進來的網路報文。

四：WAN口防ping功能

以前有一個帖子，為了搞跨某個網站，只要有大量的人去ping這個網站，這個網站就會跨了，這個就是所謂的拒絕服務的攻擊，用大量的無用的數據請求，讓他無暇顧及正常的網路請求。

網路上的黑客在發起攻擊前，都要對網路上的各個IP地址進行掃描，其中一個常見的掃描方法就是ping，如果有應答，則說明這個ip地址是活動的，就是可以攻擊的，這樣就會暴露了目標，同時如果在外部也有大量的報文對RG-NBR系列路由器發起Ping請求，也會把網吧的RG-NBR系列路由器拖跨掉。

現在多數網吧路由器都設計了一個WAN口防止ping的功能，可以簡單方便的開啟，所有外面過來的ping的數據報文請求，都裝聾作啞，這樣既不會暴露自己的目標，同時對於外部的ping攻擊也是一個防範。

五：防ARP地址欺騙功能

大家都知道，內部PC要上網，則要設置PC的IP地址，還有網關地址，這里的網關地址就是NBR路由器的內部網介面IP地址，內部PC是如何訪問外部網路呢？就是把訪問外部網的報文發送給NBR的內部網，由NBR路由器進行NAT地址轉發後，再把報文發送到外部網路上，同時又把外部回來的報文，去查詢路由器內部的NAT鏈接，回送給相關的內部PC，完成一次網路的訪問。

在網路上，存在兩個地址，一個是IP地址，一個是MAC地址，MAC地址就是網路物理地址，內部PC要把報文發送到網關上，首先根據網關的IP地址，通過ARP去查詢NBR的MAC地址，然後把報文發送到該MAC地址上，MAC地址是物理層的地址，所有報文要發送，最終都是發送到相關的MAC地址上的。

所以在每台PC上，都有ARP的對應關系，就是IP地址和MAC地址的對應表，這些對應關系就是通過ARP和RARP報文進行更新的。

目前在網路上有一種病毒，會發送假冒的ARP報文，比如發送網關IP地址的ARP報文，把網關的IP對應到自己的MAC上，或者一個不存在的MAC地址上去，同時把這假冒的ARP報文在網路中廣播，所有的內部PC就會更新了這個IP和MAC的對應表，下次上網的時候，就會把本來發送給網關的MAC的報文，發送到一個不存在或者錯誤的MAC地址上去，這樣就會造成斷線了。

這就是ARM地址欺騙，這就是造成內部PC和外部網的斷線，該病毒在前一段時間特別的猖獗。針對這種情況，防ARP地址欺騙的功能也相繼出現在一些專業路由器產品上。

六：負載均衡和線路備份

舉例來說，如銳捷RG-NBR系列路由器全部支持VRRP熱備份協議，最多可以設定2-255台的NBR路由器，同時鏈接2-255條寬頻線路，這些NBR和寬頻線路之間，實現負載均衡和線路備份，萬一線路斷線或者網路設備損壞，可以自動實現的備份，在線路和網路設備都正常的情況下，便可以實現負載均衡。該功能在銳捷的所有的路由器上都支持。

而RG-NBR系列路由器中的RG-NBR1000E，更是提供了2個WAN口，如果有需要，還有一個模塊擴展插槽，可以插上電口或者光介面模塊，同時鏈接3條寬頻線路，這3條寬頻線路之間，可以實現負載均衡和線路備份，可以基於帶寬的負載均衡，也可以對內部PC進行分組的負載均衡，還可以設置訪問網通資源走網通線路，訪問電信資源走電信線路的負載均衡。

㈢ 如何實現內網與外網的有效隔離

5月5日 23:04 保密要求比較高的場所可以使用物理隔離卡，有現成的產品賣
有如下品牌
· 易思克
· 偉思
· XWELL
· 宙斯盾
· HARD LINK
· 中孚
· 聯想
· 圖文
· 威訊

關於物理隔離

如今，我們已越來越發覺，我們必須聯結網路，無論是Internet、www、電子郵件等等，"聯結"令我們受益匪淺，當你已進入了互聯網時代，你將很難再離開網路，但與此同時，我們也正受到日益嚴重的來自網路的安全威脅，諸如網路的數據竊賊、黑客的侵襲、病毒發布者，甚至系統內部的泄密者。
盡管我們正在廣泛地使各種復雜的軟體技術，如防火牆、代理伺服器、侵襲探測器、通道控制機制，但是由於這些技術都是基於軟體的保護，是一種邏輯機制，這對於邏輯實體（即黑客或內部用戶）而言是可能被操縱的，即由於這些技術的極端復雜性與有限性，這些在線分析技術無法提供某些組織（如軍隊、軍工、政府、金融、研究院、電信以及企業）提出的高度數據安全要求。
基於安全官員的立場"如果不存在與網路的物理聯接，網路安全威脅便受到了真正的限制"，以及我國《計算機信息系統國際聯網保密管理規定》中第六條規定"涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其它公共信息網路相聯接，必須實行物理隔離"，基於上述政策與規定，我們開發出了這一全新的網路安全技術--網路安全物理隔離技術，以及實現這一技術功能的產品--偉思信安網路安全隔離卡。

技術原理

網路安全隔離卡的功能即是以物理方式將一台PC虛擬為兩個電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩個狀態是完全隔離的，從而使一部工作站可在完全安全狀態下聯結內、外網。 網路安全隔離卡實際是被設置在PC中最低的物理層上，通過卡上一邊的IDE匯流排聯結主板，另一邊聯結IDE硬碟，內、外網的聯接均須通過網路安全隔離卡，PC機硬碟被物理分隔成為兩個區域，在IDE匯流排物理層上，在固件中控制磁碟通道，在任何時候，數據只能通往一個分區。

圖1

在安全狀態時，主機只能使用硬碟的安全區與內部網聯結，而此時外部網（如Internet）聯接是斷開的，且硬碟的公共區的通道是封閉的。
在公共狀態時，主機只能使用硬碟的公共區，可以與外部網聯結，而此時與內部網是斷開的，且硬碟安全區也是被封閉的。

轉換便捷

當兩種狀態轉換時，是通過滑鼠點擊操作系統上的切換鍵，即進入一個熱啟動過程，切換時，系統通過硬體重啟信號重新啟動，這樣，PC的內存所有數據被消除，兩個狀態分別是有獨立的操作系統，並獨立導入，兩個硬碟分區不會同時激活。

數據交換

為了安全的保證，兩個分區不能直接交換數據，但是用戶可以通過我們的一個獨特的設計，來安全方便地實現數據交換，即在兩個分區以外，網路安全隔離在硬碟上另外設置了一個功能區，功能區在PC處於不同的狀態下轉換，即在兩個狀態下，功能區均表現為硬碟的D盤，各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要，也可創建單向的安全通道，即數據只能從公共區向安全區轉移，但不能逆向轉移，從而保證安全區的數據安全。

安全區控制

基於安全威脅來自內外兩方面的關系，即除了外來的黑客攻擊、病毒發布以外，系統內部有意或無意的泄密，也是必須防止的威脅。因此，網路安全隔離卡可以對安全區作只讀控制，即可禁止內部使用者以軟碟機、光碟機復制數據或纂改安全區的數據。

技術的廣泛應用

由於網路安全隔離卡是控制主IDE匯流排，在PC機硬體最底層的基礎上，因此廣泛支持幾乎所有奔騰以及奔騰兼容晶元。
由於網路安全隔離卡是完全獨立於操作系統的，因此也支持幾乎所有主流的操作系統。 網路安全隔離卡對網路技術和協議完全透明，因此，對目前主要協議廣泛支持，如乙太網、快速乙太網、令牌環行網、光纖、ATM、ISDN、ADSL。

安裝與使用

網路安全隔離卡的安裝並不復雜，一般情況，並不需要改變用戶原有的網路結構，安裝人員的技術水平要求相當安裝普通網卡的水平。 安裝網路安全隔離卡，一般情況下，不必因為擔心丟失數據，而去復制硬碟上數據。 用戶的使用也只須接受簡單的培訓，不存在日後的維護問題。

適用范圍與政府論證

基於國家有關保密的規定，偉思的網路安全物理隔離技術，正完全符合這一點。因此，本技術適用於幾乎所有既要求十分嚴格的數據安全，同時又期望接入互聯網的各類機構，諸如政府機關、軍事機構、金融、電信、科研院校及大型企業等等。 偉思的"網路安全隔離卡"與"網路安全隔離集線器"已通過國家公安部和國家信息安全評測認證中心等國家權威機構的認證，並已具備了相關的產品證書。
如需要了解更多資料，歡迎到<技術支持>欄目的下載區下載本產品的詳細資料或聯系我們。

㈣ 伺服器上安裝雙網卡如何實現隔離

喵嗚。親， 雙網卡隔離是這樣的。 安裝完兩塊網卡後。在「網路和撥號連接」中選擇「本地連接」，進入設置屬性頁面。再在「Internet協議（TCP/IP）」中的屬性中設置IP地址、子網掩碼、網關、DNS等參數。兩塊網卡都這樣設置，但IP地址不能相同。

㈤ 如何規劃防火牆區域將內部伺服器、對外業務伺服器、用戶終端同INTERNET隔離開

用硬體隔開最安全。可以在交換機上劃開網段，網段1作為內網計算機運行，不接入外網。網段2作為對外業務使用，接入外網。網段3再作為其他之用。有個不好的地方就是網段之間的計算機不能訪問，如果需要訪問的話，可以在各個網段接一台代理伺服器就行。 軟體防火牆的話，根本就不建議用。

㈥ 怎麼實現內外網的完全隔離

可以安裝物理安全隔離網閘設備進行內外網隔離。物理安全隔離網閘是一種由帶有多種控制功能專用硬體在電路上切斷網路之間的鏈路層連接，並能夠在網路間進行安全適度的應用數據交換的網路安全設備。

這個設備主要用來解決網路安全問題的，尤其是在那些需要絕對保證安全的保密網，專網和特種網路與互聯網進行連接時，用來防止來自互聯網的攻擊和保證這些高安全性網路的保密性、安全性、完整性。

(6)如何把伺服器做隔離擴展閱讀：

安全隔離網閘的原理

網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。

由於物理隔離網閘所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議"擺渡"，且對固態存儲介質只有"讀"和"寫"兩個命令。

所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現了真正的安全。

參考資料來源：網路--網閘

參考資料來源：網路--物理隔離

㈦ 如何規化防火牆，將內部的伺服器和部分PC與internet 隔離

內部的伺服器（私有地址）和內部機器放在防火牆內網區（必要時通過三層交換機劃分Vlan），公網IP伺服器（需要從互聯網訪問的機器）放在防火牆的DMZ區。
防火牆只對需要開放的埠「允許」，其他一律「拒絕」

㈧ 防關聯ip隔離怎麼操作

Ip關聯是什麼？

簡單來說，為了避免賬號關聯，我們一般會為多賬號中每一個賬號都配備一條專門的網線，這個ip一般是固定的。當我們訪問網站時，網站就會獲取到我們的IP地址並記錄在自己的資料庫中。而當你下次再使用這個ip訪問該網站時，網站就會根據這個ip地址識別到用戶的身份。

跨境電商IP防關聯三大方法簡單分享

方法一、使用雲伺服器

雲主機提供的IP是固定的，但當賣家不對這些IP進行續費後，IP就會被回收，進行重新銷售。有些賣家就是用了之前一些被封的IP，結果直接導致自己的賬號被關聯。所以需要長期持有IP。

方法二、國際專線

賣家去移動運營商那申請固定的IP專線，也是相對操作簡單、比較穩妥的一種防賬號關聯方法，一條網線一個賬號，但費用很高。現在基本上只有少部分用戶在使用！

方法三、使用防關聯指紋瀏覽器

重重點推薦第三種方法，不僅能防關聯，且費用低性價比高，還可以一勞永逸。指紋瀏覽器，顧名思義能夠通過模仿不同的瀏覽器指紋，讓網站無法判斷當前訪問者的具體身份。一個指紋瀏覽器應該具備三個基礎能力：能夠模仿不同的瀏覽器指紋信息；能夠和IP代理服務相結合；能夠按照用戶的需求進行Cookie數據的遷移或清理。目前市面上指紋瀏覽器比較多，大家可以免費試用一下的！

㈨ 如何將區域網中的伺服器隔離

可以考慮使用ISA防火牆，設置為dmz模型。