如何把服务器做隔离

㈠ 如何用一台电脑实现网络隔离和安全管控

由于工作性质的不同，很多企业是不允许员工上外网的，一旦有需求上网查找资料，必须要在指定的网域通过专门的电脑进行查询和下载。这样表面看是保障了内部网络的安全性，防止内部信息泄漏到外网，但从实际操作过程来看，管理复杂，效率低，资源不能合理利用，给员工工作带来很多不便。

还有一些单位，为了保障内部信息的安全，采用虚拟化的方式，将所有文件存储在远端服务器上，也就是传说中的“云端”，本地不保存文件，投入了巨资建设这套虚拟化系统，但往往由于网络带宽资源和后续维护不到位，导致更多的麻烦出现。

研发部门作为企业的核心竞争优势的主体部门，一直是企业内部信息保护的重点，所以还有一些单位直接将他们的所有文件都做加密处理，这样来控制企业的内部信息安全，这确实也是信息保护最强有力的手段。

由于内容性质不同，有些企业希望降低管理难度，节约保护成本，将内外网有效的隔离开来，采取许进不许出的原则进行控制就可以，既不影响效率，又能保证安全。但如果网络隔离后，要配置多台电脑，成本又增加了，所以市场在呼唤更有效的隔离方案来解决信息安全的问题!

亿赛通凭借自己十余市场发展经验，运用成熟的沙箱技术和加解密技术，在充分保持兼容性强的前提下，为研发企业、金融单位、军工单位、政府行业等有多种网络办公环境需求的单位提供了一套虚拟安全隔离管控系统，该系统能够有效创建并隔离多个安全域环境，保障各安全域环境中应用与原始系统一致，另一方面各个安全域环境中的数据安全隔离，全磁盘加密存储，从而达到安全防护的目的，主要特点如下：

1. 环境隔离及加密存储

各安全域环境可实现单向或双向隔离，保障不同环境间数据存储与使用安全，实现物理隔离效果。安全域环境所产生的所有数据均被重定向保存至虚拟加密磁盘中，确保隔离数据在硬盘上的存储安全，防止非法用户窃取磁盘泄密。

2. 安全身份认证

支持多种身份认证方式，包括：用户名与口令认证、硬件USB双因子认证和AD单点登录认证等，并支持与CA证书统一集成认证。

3. 网络加密与隔离

各安全域环境内网络通讯均完整加密与隔离，同一安全域环境内可组建加密安全隔离网络，各安全域环境间可实现相互隔离，并可实现对核心应用系统的访问隔离，保障应用系统的安全认证和访问安全。

4. 端口及外设管控

可对计算机端口及外设进行启用或禁用控制，包含USB存储设备、手机同步、物理打印、光驱、串口、并口、红外、蓝牙等。

5. 域内安全共享与传输

同一安全域环境内，用户间可进行安全即时通讯和文件安全共享传输，在确保安全域隔离传输安全的同时提高内部协同效率。

6. 离线安全外带

针对出差办公或网络中断等特殊场景，系统支持设置离线策略与时限;在正常策略权限下，用户可离线正常使用安全域及隔离数据，但禁止非授权导出及网络外发，系统将详细记录操作日志及审计。

7. 数据安全外发

安全域内重要文档需要外发时，需提交明文外发或密文外发申请，在审核通过后才可将文档输出至安全域外;当密文外发时，外发文档将以加密的方式提交给外部使用，防止重要文档被非法扩散及泄密。密文外发可设置文档打开认证方式、使用权限、阅读次数以及阅读时限等控制。

8. 数据集中管控与云存储

安全域中所有隔离数据可集中存储至服务器中，实现“数据大集中、终端不留痕”的高保密要求。

亿赛通虚拟安全隔离管控系统，真正的应用环境隔离防护，让之前杂乱无章的工作环境变得安全可控;该产品应用影响小、与现有环境集成快、而且安全域环境之间可一键快速切换， 真正做到安全与效率并存。

㈡ 如何把受网络攻击的服务器等设备从网络中隔离出来

1、外部来的DoS攻击会造成网络掉线，判别方法是从路由器的系统日志文件中可以看出，Qno侠诺的路由器会显示遭受攻击，而且路由器持续在工作。其它品牌的路由器，有些也有相关的功能，用户可以查看使用手册。DoS病毒攻击，如SYN攻击，因为发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络壅塞，达到瘫痪网吧网络对于广域网来的攻击，路由器能作的不多，也无法反击。此时，网吧管理者或网管应直接联系对应的运营商，请求更换WAN IP。

2、内网遭受DoS攻击时，也会造成掉线或壅塞。网吧管理者或网管可以从被激活的告警日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止DoS攻击影响扩大，并进行杀毒或重新安装系统。

3、内网遭受冲击波攻击是另一个原因，冲击波攻击，是针对网络特定服务端口(TCP/UDP 135~139，445)发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络壅塞，以达到瘫痪网吧网络的目的。同样网吧管理者或网管可以从Qno侠诺被激活的告警日志中，发现问题。 网吧管理者或网管可以针对特定服务端口(TCP/UDP 135~139，445)设置网络存取条例，并从被激活的防火墙日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止冲击波攻击影响扩大，并进行杀毒或重新安装系统。

4、内网遭受ARP攻击是最近常发生的原因，ARP病毒攻击以窜改内网PC机或路由器 IP或MAC地址，来达到盗取用户账号/密码，进一步进行网络盗宝等犯罪行为，或是恶意瘫痪网吧网络。ARP病毒攻击会造成内网IP或MAC冲突，出现短时间内部份断线。网吧要确定网吧已做好Qno侠诺路由器及内网PC机端双向绑定IP/MAC地址的防制工作，内网所有的PC机与路由器IP/MAC地址对应关系都被保存到路由器的ARP缓存表中，不能被轻易更改。此时ARP攻击虽然并不会扩及其它PC机，但网吧管理者或网管还是必须立即查找出内网攻击源头的中毒机器，进行杀毒或重新安装系统。路由器内建ARP病毒来源自动检测工具，系统日志中可提供攻击源的IP或MAC地址，帮助网吧进行查找攻击源机器。有些高阶路由器也都有相仿的设计。

网络遭受攻击，可从路由器相关功能找出遭受攻击类型，网吧管理者或网管查找、直击攻击源加以隔离与排除，在攻击发起时即能迅速加以解决，无需等到客人反应受到影响。

另外网络的雍堵也可能造成掉线.
1、短暂网络壅塞，有可能是网吧内突发的带宽高峰，网吧管理员或网管应关注路由器的带宽统计，可先持续关注状况。若是尖峰时段，网吧客人较多，带宽也会比较吃紧，或是有用户使用BT、P2P软件做大量上传，占用大量带宽，造成网络卡。网吧管理员或网管此时应设置QoS流量管理规范内网用户最大使用带宽，才能让网络联机恢复正常，解决壅塞情况。

2、尖峰时段持续性壅塞，是有用户使用BT、P2P 软件进行大量下载，或在线观看电影、视讯等占用大量带宽行为。若是用户观看电影人数很多，网吧应考虑于内网安装电影服务器供用户使用，才不致因观看影片人多占用对外带宽。对于大量下载，则应考虑建置内部私服加以改善。

3、若是长时间从路由器看到带宽占用率高，有可能表示网吧根本带宽不足，线路带宽过小，不足以提供目前在线众多人数使用，应考虑加大线路带宽。这时就可利用多WAN口特性进行带宽的升级，解决带宽不足的问题。

措施:基于路由器的防范方法
一．内部PC基于IP地址限速

现在网络应用众多，BT、电驴、迅雷、FTP、在线视频等，都是非常占用带宽，以一个200台规模的网吧为例，出口带宽为10M，每台内部PC的平均带宽为50K左右，如果有几个人在疯狂的下载，把带宽都占用了，就会影响其他人的网络速度了，另外，下载的都是大文件，IP报文最大可以达到1518个BYTE，也就是1.5k，下载应用都是大报文，在网络传输中，一般都是以数据包为单位进行传输，如果几个人在同时下载，占用大量带宽，如果这时有人在玩网络游戏，就可能会出现卡的现象。

一个基于IP地址限速的功能，可以给整个网吧内部的所有PC进行速度限制，可以分别限制上传和下载速度，既可以统一限制内部所有PC的速度，也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢？和具体的出口带宽和网吧规模有关系，不过最低不要小于40K的带宽，可以设置在100-400K比较合适。

二：内部PC限制NAT的链接数量

NAT功能是在网吧中应用最广的功能，由于IP地址不足的原因，运营商提供给网吧的一般就是1个IP地址，而网吧内部有大量的PC，这么多的PC都要通过这唯一的一个IP地址进行上网，如何做到这点呢？

答案就是NAT（网络IP地址转换）。内部PC访问外网的时候，在路由器内部建立一个对应列表，列表中包含内部PCIP地址、访问的外部IP地址，内部的IP端口，访问目的IP端口等信息，所以每次的ping、QQ、下载、WEB访问，都有在路由器上建立对应关系列表，如果该列表对应的网络链接有数据通讯，这些列表会一直保留在路由器中，如果没有数据通讯了，也需要20-150秒才会消失掉。（对于RG-NBR系列路由器来说，这些时间都是可以设置的）

现在有几种网络病毒，会在很短时间内，发出数以万计连续的针对不同IP的链接请求，这样路由器内部便要为这台PC建立万个以上的NAT的链接。

由于路由器上的NAT的链接是有限的，如果都被这些病毒给占用了，其他人访问网络，由于没有NAT链接的资源了，就会无法访问网络了，造成断线的现象，其实这是被网络病毒把所有的NAT资源给占用了。

针对这种情况，不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能，可以统一的对内部的PC进行设置最大的NAT的链接数量设置，也可以给每台PC进行单独限制。

同时，这些路由器还可以查看所有的NAT链接的内容，看看到底哪台PC占用的NAT链接数量最多，同时网络病毒也有一些特殊的端口，可以通过查看NAT链接具体内容，把到底哪台PC中毒了给揪出来。

三：ACL防网络病毒

网络病毒层出不穷，但是道高一尺，魔高一丈，所有的网络病毒都是通过网络传输的，网络病毒的数据报文也一定遵循TCP/IP协议，一定有源IP地址，目的IP地址，源TCP/IP端口，目的TCP/IP端口，同一种网络病毒，一般目的IP端口是相同的，比如冲击波病毒的端口是135，震荡波病毒的端口是445,只要把这些端口在路由器上给限制了，那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了，内部的网络病毒发起的报文，由于在路由器上作了限制，路由器不加以处理，则可以降低病毒报文占据大量的网络带宽。

优秀的网吧路由器应该提供功能强大的ACL功能，可以在内部网接口上限制网络报文，也可以在外部王接口上限制病毒网络报文，既可以现在出去的报文，也可以限制进来的网络报文。

四：WAN口防ping功能

以前有一个帖子，为了搞跨某个网站，只要有大量的人去ping这个网站，这个网站就会跨了，这个就是所谓的拒绝服务的攻击，用大量的无用的数据请求，让他无暇顾及正常的网络请求。

网络上的黑客在发起攻击前，都要对网络上的各个IP地址进行扫描，其中一个常见的扫描方法就是ping，如果有应答，则说明这个ip地址是活动的，就是可以攻击的，这样就会暴露了目标，同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求，也会把网吧的RG-NBR系列路由器拖跨掉。

现在多数网吧路由器都设计了一个WAN口防止ping的功能，可以简单方便的开启，所有外面过来的ping的数据报文请求，都装聋作哑，这样既不会暴露自己的目标，同时对于外部的ping攻击也是一个防范。

五：防ARP地址欺骗功能

大家都知道，内部PC要上网，则要设置PC的IP地址，还有网关地址，这里的网关地址就是NBR路由器的内部网接口IP地址，内部PC是如何访问外部网络呢？就是把访问外部网的报文发送给NBR的内部网，由NBR路由器进行NAT地址转发后，再把报文发送到外部网络上，同时又把外部回来的报文，去查询路由器内部的NAT链接，回送给相关的内部PC，完成一次网络的访问。

在网络上，存在两个地址，一个是IP地址，一个是MAC地址，MAC地址就是网络物理地址，内部PC要把报文发送到网关上，首先根据网关的IP地址，通过ARP去查询NBR的MAC地址，然后把报文发送到该MAC地址上，MAC地址是物理层的地址，所有报文要发送，最终都是发送到相关的MAC地址上的。

所以在每台PC上，都有ARP的对应关系，就是IP地址和MAC地址的对应表，这些对应关系就是通过ARP和RARP报文进行更新的。

目前在网络上有一种病毒，会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成断线了。

这就是ARM地址欺骗，这就是造成内部PC和外部网的断线，该病毒在前一段时间特别的猖獗。针对这种情况，防ARP地址欺骗的功能也相继出现在一些专业路由器产品上。

六：负载均衡和线路备份

举例来说，如锐捷RG-NBR系列路由器全部支持VRRP热备份协议，最多可以设定2-255台的NBR路由器，同时链接2-255条宽带线路，这些NBR和宽带线路之间，实现负载均衡和线路备份，万一线路断线或者网络设备损坏，可以自动实现的备份，在线路和网络设备都正常的情况下，便可以实现负载均衡。该功能在锐捷的所有的路由器上都支持。

而RG-NBR系列路由器中的RG-NBR1000E，更是提供了2个WAN口，如果有需要，还有一个模块扩展插槽，可以插上电口或者光接口模块，同时链接3条宽带线路，这3条宽带线路之间，可以实现负载均衡和线路备份，可以基于带宽的负载均衡，也可以对内部PC进行分组的负载均衡，还可以设置访问网通资源走网通线路，访问电信资源走电信线路的负载均衡。

㈢ 如何实现内网与外网的有效隔离

5月5日 23:04 保密要求比较高的场所可以使用物理隔离卡，有现成的产品卖
有如下品牌
· 易思克
· 伟思
· XWELL
· 宙斯盾
· HARD LINK
· 中孚
· 联想
· 图文
· 威讯

关于物理隔离

如今，我们已越来越发觉，我们必须联结网络，无论是Internet、www、电子邮件等等，"联结"令我们受益匪浅，当你已进入了互联网时代，你将很难再离开网络，但与此同时，我们也正受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒发布者，甚至系统内部的泄密者。
尽管我们正在广泛地使各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是由于这些技术都是基于软件的保护，是一种逻辑机制，这对于逻辑实体（即黑客或内部用户）而言是可能被操纵的，即由于这些技术的极端复杂性与有限性，这些在线分析技术无法提供某些组织（如军队、军工、政府、金融、研究院、电信以及企业）提出的高度数据安全要求。
基于安全官员的立场"如果不存在与网络的物理联接，网络安全威胁便受到了真正的限制"，以及我国《计算机信息系统国际联网保密管理规定》中第六条规定"涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离"，基于上述政策与规定，我们开发出了这一全新的网络安全技术--网络安全物理隔离技术，以及实现这一技术功能的产品--伟思信安网络安全隔离卡。

技术原理

网络安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两个状态是完全隔离的，从而使一部工作站可在完全安全状态下联结内、外网。 网络安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线联结主板，另一边联结IDE硬盘，内、外网的联接均须通过网络安全隔离卡，PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。

图1

在安全状态时，主机只能使用硬盘的安全区与内部网联结，而此时外部网（如Internet）联接是断开的，且硬盘的公共区的通道是封闭的。
在公共状态时，主机只能使用硬盘的公共区，可以与外部网联结，而此时与内部网是断开的，且硬盘安全区也是被封闭的。

转换便捷

当两种状态转换时，是通过鼠标点击操作系统上的切换键，即进入一个热启动过程，切换时，系统通过硬件重启信号重新启动，这样，PC的内存所有数据被消除，两个状态分别是有独立的操作系统，并独立导入，两个硬盘分区不会同时激活。

数据交换

为了安全的保证，两个分区不能直接交换数据，但是用户可以通过我们的一个独特的设计，来安全方便地实现数据交换，即在两个分区以外，网络安全隔离在硬盘上另外设置了一个功能区，功能区在PC处于不同的状态下转换，即在两个状态下，功能区均表现为硬盘的D盘，各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要，也可创建单向的安全通道，即数据只能从公共区向安全区转移，但不能逆向转移，从而保证安全区的数据安全。

安全区控制

基于安全威胁来自内外两方面的关系，即除了外来的黑客攻击、病毒发布以外，系统内部有意或无意的泄密，也是必须防止的威胁。因此，网络安全隔离卡可以对安全区作只读控制，即可禁止内部使用者以软驱、光驱复制数据或纂改安全区的数据。

技术的广泛应用

由于网络安全隔离卡是控制主IDE总线，在PC机硬件最底层的基础上，因此广泛支持几乎所有奔腾以及奔腾兼容芯片。
由于网络安全隔离卡是完全独立于操作系统的，因此也支持几乎所有主流的操作系统。 网络安全隔离卡对网络技术和协议完全透明，因此，对目前主要协议广泛支持，如以太网、快速以太网、令牌环行网、光纤、ATM、ISDN、ADSL。

安装与使用

网络安全隔离卡的安装并不复杂，一般情况，并不需要改变用户原有的网络结构，安装人员的技术水平要求相当安装普通网卡的水平。 安装网络安全隔离卡，一般情况下，不必因为担心丢失数据，而去复制硬盘上数据。 用户的使用也只须接受简单的培训，不存在日后的维护问题。

适用范围与政府论证

基于国家有关保密的规定，伟思的网络安全物理隔离技术，正完全符合这一点。因此，本技术适用于几乎所有既要求十分严格的数据安全，同时又期望接入互联网的各类机构，诸如政府机关、军事机构、金融、电信、科研院校及大型企业等等。 伟思的"网络安全隔离卡"与"网络安全隔离集线器"已通过国家公安部和国家信息安全评测认证中心等国家权威机构的认证，并已具备了相关的产品证书。
如需要了解更多资料，欢迎到<技术支持>栏目的下载区下载本产品的详细资料或联系我们。

㈣ 服务器上安装双网卡如何实现隔离

喵呜。亲， 双网卡隔离是这样的。 安装完两块网卡后。在“网络和拨号连接”中选择“本地连接”，进入设置属性页面。再在“Internet协议（TCP/IP）”中的属性中设置IP地址、子网掩码、网关、DNS等参数。两块网卡都这样设置，但IP地址不能相同。

㈤ 如何规划防火墙区域将内部服务器、对外业务服务器、用户终端同INTERNET隔离开

用硬件隔开最安全。可以在交换机上划开网段，网段1作为内网计算机运行，不接入外网。网段2作为对外业务使用，接入外网。网段3再作为其他之用。有个不好的地方就是网段之间的计算机不能访问，如果需要访问的话，可以在各个网段接一台代理服务器就行。 软件防火墙的话，根本就不建议用。

㈥ 怎么实现内外网的完全隔离

可以安装物理安全隔离网闸设备进行内外网隔离。物理安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

这个设备主要用来解决网络安全问题的，尤其是在那些需要绝对保证安全的保密网，专网和特种网络与互联网进行连接时，用来防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性。

(6)如何把服务器做隔离扩展阅读：

安全隔离网闸的原理

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。

所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的安全。

参考资料来源：网络--网闸

参考资料来源：网络--物理隔离

㈦ 如何规化防火墙，将内部的服务器和部分PC与internet 隔离

内部的服务器（私有地址）和内部机器放在防火墙内网区（必要时通过三层交换机划分Vlan），公网IP服务器（需要从互联网访问的机器）放在防火墙的DMZ区。
防火墙只对需要开放的端口“允许”，其他一律“拒绝”

㈧ 防关联ip隔离怎么操作

Ip关联是什么？

简单来说，为了避免账号关联，我们一般会为多账号中每一个账号都配备一条专门的网线，这个ip一般是固定的。当我们访问网站时，网站就会获取到我们的IP地址并记录在自己的数据库中。而当你下次再使用这个ip访问该网站时，网站就会根据这个ip地址识别到用户的身份。

跨境电商IP防关联三大方法简单分享

方法一、使用云服务器

云主机提供的IP是固定的，但当卖家不对这些IP进行续费后，IP就会被回收，进行重新销售。有些卖家就是用了之前一些被封的IP，结果直接导致自己的账号被关联。所以需要长期持有IP。

方法二、国际专线

卖家去移动运营商那申请固定的IP专线，也是相对操作简单、比较稳妥的一种防账号关联方法，一条网线一个账号，但费用很高。现在基本上只有少部分用户在使用！

方法三、使用防关联指纹浏览器

重重点推荐第三种方法，不仅能防关联，且费用低性价比高，还可以一劳永逸。指纹浏览器，顾名思义能够通过模仿不同的浏览器指纹，让网站无法判断当前访问者的具体身份。一个指纹浏览器应该具备三个基础能力：能够模仿不同的浏览器指纹信息；能够和IP代理服务相结合；能够按照用户的需求进行Cookie数据的迁移或清理。目前市面上指纹浏览器比较多，大家可以免费试用一下的！

㈨ 如何将局域网中的服务器隔离

可以考虑使用ISA防火墙，设置为dmz模型。