防火墻和交換機(jī)如何實現(xiàn)內(nèi)外網(wǎng)隔離

防火墻和交換機(jī)還是比較常用的，于是我研究了一下 ，在這里拿出來和大家分享一下，希望對大家有用。隨著網(wǎng)絡(luò)技術(shù)和因特網(wǎng)技術(shù)的成熟和高速發(fā)展，越來越多的企事業(yè)單位開始組建網(wǎng)絡(luò)來實現(xiàn)辦公自動化和共享因特網(wǎng)的信息。但是， 安全問題也突現(xiàn)出來，iMaxNetworks(記憶網(wǎng)絡(luò)公司)根據(jù)電子政務(wù)網(wǎng)絡(luò)的特點提出了以交換機(jī)、防火墻和交換機(jī)相結(jié)合實現(xiàn)內(nèi)外網(wǎng)隔離的解決方案。 方案一：交換機(jī)實現(xiàn)內(nèi)外網(wǎng)的物理隔離 網(wǎng)絡(luò)系統(tǒng)由內(nèi)部局域網(wǎng)和外部因特網(wǎng)兩個相對獨立又相互關(guān)聯(lián)的部分組成，均采用星形拓?fù)浣Y(jié)構(gòu)和100M交換式快速以太網(wǎng)技術(shù)。內(nèi)部網(wǎng)與外部網(wǎng)之間不存在物理上的連接，使來自Internet的入侵者無法通過計算機(jī)從外部網(wǎng)進(jìn)入內(nèi)部網(wǎng)，從而最有效地保障了內(nèi)部網(wǎng)重要數(shù)據(jù)的安全，內(nèi)部局域網(wǎng)和外部因特網(wǎng)實現(xiàn)物理隔離。 imaxnetworks終端提供了經(jīng)濟(jì)安全的內(nèi)外網(wǎng)物理隔離功能，它通過物理開關(guān)進(jìn)行內(nèi)外網(wǎng)的切換，在物理上信息終端只與其中一個網(wǎng)絡(luò)連通，所以黑客即使侵入其中一個網(wǎng)絡(luò)也無法越過物理屏障侵入另一個網(wǎng)絡(luò)。建立內(nèi)外網(wǎng)隔離方案需要在內(nèi)網(wǎng)和外網(wǎng)各安裝至少一臺終端服務(wù)器。 方案二：防火墻和交換機(jī)結(jié)合，實現(xiàn)內(nèi)外網(wǎng)隔離 VLAN隔離內(nèi)外網(wǎng)：電子政務(wù)網(wǎng)絡(luò)中存在多種業(yè)務(wù)，要實現(xiàn)多網(wǎng)的統(tǒng)一互聯(lián)，同時又要保證各個網(wǎng)絡(luò)的安全，除了在應(yīng)用層上通過加密、簽名等手段避免數(shù)據(jù)泄漏和篡改外，在局域網(wǎng)的交換機(jī)上采用VLAN技術(shù)進(jìn)行，將不同業(yè)務(wù)網(wǎng)的設(shè)備放置在不同的VLAN中進(jìn)行物理隔離，徹底避免各網(wǎng)之間的不必要的任意相互訪問。在實現(xiàn)VLAN的技術(shù)中，以基于以太網(wǎng)交換機(jī)端口的VLAN(IEEE 802.1Q)最為成熟和安全，防火墻訪問控制保證。 網(wǎng)絡(luò)核心安全：為了網(wǎng)絡(luò)構(gòu)建簡單，避免采用太多的設(shè)備使管理復(fù)雜化，從而降低網(wǎng)絡(luò)的安全性，可以放置一個高速防火墻，通過這個這個防火墻和交換機(jī)，對所有出入中心的數(shù)據(jù)包進(jìn)行安全控制及過濾，保證訪問核心的安全。另外，為保證業(yè)務(wù)主機(jī)及數(shù)據(jù)的安全，不允許辦公網(wǎng)及業(yè)務(wù)網(wǎng)間的無控制互訪，應(yīng)在進(jìn)行VLAN劃分的三層交換機(jī)內(nèi)設(shè)置ACL。數(shù)據(jù)加密傳輸：對于通過公網(wǎng)(寬帶城域網(wǎng))進(jìn)行傳輸?shù)臄?shù)據(jù)及互聯(lián)，數(shù)據(jù)加密是必須的，在對關(guān)鍵業(yè)務(wù)做加密時，可以考慮采用更強(qiáng)的加密算法。 設(shè)置DMZ區(qū)進(jìn)行外部訪問：通常對于外部網(wǎng)絡(luò)的接入，必須采取的安全策略是拒絕所有接受特殊的原則。即對所有的外部接入，缺省認(rèn)為都是不安全的，需要完全拒絕，只有一些特別的經(jīng)過認(rèn)證和允許的才能進(jìn)入網(wǎng)絡(luò)內(nèi)部。

創(chuàng)新互聯(lián)公司主營曹縣網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,重慶APP開發(fā),曹縣h5微信小程序定制開發(fā)搭建,曹縣網(wǎng)站營銷推廣歡迎曹縣等地區(qū)企業(yè)咨詢

怎么實現(xiàn)內(nèi)外網(wǎng)的完全隔離

可以安裝物理安全隔離網(wǎng)閘設(shè)備進(jìn)行內(nèi)外網(wǎng)隔離。物理安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。

這個設(shè)備主要用來解決網(wǎng)絡(luò)安全問題的，尤其是在那些需要絕對保證安全的保密網(wǎng)，專網(wǎng)和特種網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行連接時，用來防止來自互聯(lián)網(wǎng)的攻擊和保證這些高安全性網(wǎng)絡(luò)的保密性、安全性、完整性。

擴(kuò)展資料：

安全隔離網(wǎng)閘的原理

網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機(jī)系統(tǒng)的信息安全設(shè)備。

由于物理隔離網(wǎng)閘所連接的兩個獨立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議"擺渡"，且對固態(tài)存儲介質(zhì)只有"讀"和"寫"兩個命令。

所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。

參考資料來源：百度百科--網(wǎng)閘

參考資料來源：百度百科--物理隔離

架設(shè)Windows用戶隔離FTP服務(wù)器方法介紹

架設(shè)FTP站點似乎已經(jīng)不是什么困難的事情了，我們不需要借助任何外來工具的幫忙，只需要使用Windows服務(wù)器系統(tǒng)自帶的IIS功能，就能輕易地架設(shè)一臺FTP站點了。不過，用這種方法架設(shè)的FTP站點不但允許任何用戶進(jìn)行匿名訪問，而他們也能對FTP站點的主目錄進(jìn)行隨意“讀取”與“寫入”，如此一來保存在FTP站點中的內(nèi)容就沒有安全性了。那么我們究竟該怎樣才能讓架設(shè)成功的FTP站點，不允許用戶訪問主目錄、而只能訪問用戶自己的目錄呢?事實上，在Windows 2003服務(wù)器的IIS 6.0系統(tǒng)中，我們只需要利用新增加的“隔離用戶”FTP組件，就能輕松讓用戶只訪問自己的目錄。

安裝“隔離用戶”FTP組件

由于架設(shè)FTP站點需要IIS6.0的支持，而在默認(rèn)狀態(tài)下Windows 2003服務(wù)器并沒有安裝該組件，所以在架設(shè)具有用戶隔離功能的FTP站點之前，我們需要先安裝好IIS6.0組件，并將其中的“隔離用戶”FTP組件一并安裝成功，下面就是安裝“隔離用戶”FTP組件的具體操作步驟：

首先在Windows 2003服務(wù)器系統(tǒng)中，依次單擊“開始”/“設(shè)置”/“控制面板”命令，在彈出的“控制面板”窗口中用鼠標(biāo)雙擊其中的“添加或刪除程序”圖標(biāo)，在其后出現(xiàn)的“添加或刪除程序”設(shè)置界面中單擊一下“添加/刪除Windows組件”按鈕，進(jìn)入到一個標(biāo)題為“Windows組件向?qū)А钡慕缑妗?/p>

其次在“組件”列表框中，選中“應(yīng)用程序服務(wù)器”復(fù)選項，并單擊“詳細(xì)信息”按鈕，在隨后彈出的“應(yīng)用程序服務(wù)器”設(shè)置窗口中，用鼠標(biāo)雙擊其中的“Internet信息服務(wù)(IIS)”項目，進(jìn)入到“Internet信息服務(wù)(IIS)”屬性設(shè)置框，在該設(shè)置框的子組件列表中選中“文件傳輸協(xié)議(FTP)服務(wù)”項目，單擊“確定”按鈕，然后按照向?qū)崾就瓿删哂小案綦x用戶”功能的FTP組件。

為了防止普通用戶通過匿名帳號訪問FTP站點，我們在架設(shè)FTP站點的時候肯定會限制匿名帳號的訪問權(quán)限，只讓特定用戶才能訪問FTP站點下面的內(nèi)容。為此，在正式架設(shè)FTP站點之前，我們有必要在Windows 2003服務(wù)器系統(tǒng)中為FTP站點創(chuàng)建一些用戶訪問帳號，日后用戶必須憑事先創(chuàng)建好的帳號才能登錄進(jìn)行FTP站點。在創(chuàng)建FTP站點用戶訪問帳號時，我們可以按照如下步驟進(jìn)行操作:

首先在服務(wù)器系統(tǒng)桌面中依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令“compmgmt.msc”，單擊回車鍵后，打開本地服務(wù)器系統(tǒng)的計算機(jī)管理窗口;

其次在該管理窗口的左側(cè)顯示區(qū)域中，用鼠標(biāo)雙擊“本地用戶和組”選項，在其后展開的分支下面選中“用戶”文件夾，在對應(yīng)該文件夾的右側(cè)顯示區(qū)域中，用鼠標(biāo)右鍵單擊空白位置，從彈出的右鍵菜單中單擊“新用戶”命令，進(jìn)入“新用戶”創(chuàng)建窗口;

接下來在該窗口中設(shè)置好用戶的訪問帳號以及密碼信息，將“用戶下次登錄時須更該密碼”項目的.選中狀態(tài)取消，同時選中“用戶不能更該密碼”選項與 “密碼永不過期”選項，再單擊一下“創(chuàng)建”按鈕，這么一來一個目標(biāo)用戶的帳號信息就算創(chuàng)建成功了。同樣地，我們可以為那些需要訪問FTP站點的所有用戶都創(chuàng)建一個帳號信息。

創(chuàng)建與訪問帳號對應(yīng)的目錄

當(dāng)創(chuàng)建好了用戶訪問帳號后，我們下面需要進(jìn)行的操作就是在服務(wù)器系統(tǒng)的本地硬盤中創(chuàng)建好FTP站點的主目錄，以及各個用戶帳號所對應(yīng)的用戶帳號，以便確保每一個用戶日后只能訪問自己的目錄，而沒有權(quán)利訪問其他用戶的目錄。

為了讓架設(shè)好的FTP站點具有用戶隔離功能，我們必須按照一定的規(guī)則設(shè)置好該站點的主目錄以及用戶目錄。首先我們需要在NTFS格式的磁盤分區(qū)中建立一個文件夾，例如該文件夾名稱為“aaa”，并把該文件夾作為待建FTP站點的主目錄;

接著進(jìn)入到“aaa”文件夾窗口中，并在其中創(chuàng)建一個子文件夾，同時必須將該子文件夾名稱設(shè)置為“LocalUser”(該子文件夾名稱不能隨意設(shè)置)，再打開“LocalUser”子文件夾窗口，然后在該窗口下依次創(chuàng)建好與每個用戶帳號名稱相同的個人文件夾，例如我們可以為“aaa”用戶創(chuàng)建一個“aaa”子文件夾(要是用戶帳號名稱與用戶目錄名稱不一樣的話，日后用戶就無法訪問到自己目錄下面的內(nèi)容)。

當(dāng)然，要是我們?nèi)匀幌Ｍ茉O(shè)成功的FTP站點具有匿名登錄功能的話，那就必須在“LocalUser”文件夾窗口中創(chuàng)建一個“Public”子目錄，日后訪問者通過匿名方式登錄進(jìn)FTP站點時，只能瀏覽到“Public”子目錄中的內(nèi)容。

創(chuàng)建“用戶隔離”FTP站點

做好上面的各項準(zhǔn)備工作后，我們現(xiàn)在就能正式搭建具有“用戶隔離”功能的FTP站點了，下面就是具體的搭建步驟：

首先用鼠標(biāo)逐一單擊系統(tǒng)桌面中的“開始”、“程序”、“管理工具”、“Internet 信息服務(wù)(IIS)管理器”命令，打開IIS控制臺窗口，在該窗口的左側(cè)列表區(qū)域，用鼠標(biāo)右擊“FTP站點”，并從彈出的右鍵菜單中依次選擇“新建”、 “FTP站點”菜單命令，進(jìn)入到FTP站點創(chuàng)建向?qū)гO(shè)置界面，單擊其中的“下一步”按鈕;

其次在彈出的“FTP站點描述”界面中輸入FTP站點的名稱信息，例如這里可以輸入“用戶隔離站點”，繼續(xù)單擊“下一步”按鈕;在隨后出現(xiàn)的IP地址和端口設(shè)置頁面中，設(shè)置好目標(biāo)FTP站點的IP地址，同時將服務(wù)端口號碼設(shè)置成默認(rèn)的“21”，再單擊“下一步”按鈕;

接著我們將看到一個標(biāo)題為“FTP用戶隔離”的設(shè)置界面，選中該界面中的“隔離用戶”項目，之后進(jìn)入到FTP站點主目錄向?qū)гO(shè)置窗口，單擊其中的“瀏覽”按鈕，從隨后彈出的文件夾選擇對話框中將前面已經(jīng)創(chuàng)建好的“aaa”文件夾選中并導(dǎo)入進(jìn)來，再單擊“確定”按鈕;當(dāng)向?qū)Т翱谝笪覀冊O(shè)置 “FTP站點訪問權(quán)限”時，我們必須將“寫入”項目選中，最后單擊一下“完成”按鈕，結(jié)束FTP站點的架設(shè)操作。

當(dāng)FTP站點架設(shè)成功后，我們不妨從局域網(wǎng)的另外一臺工作站中，以帳號“aaa”登錄進(jìn)剛剛創(chuàng)建好的FTP站點，然后在對應(yīng)目錄中重新創(chuàng)建一個文件。為了檢驗剛剛創(chuàng)建的文檔是否保存在“aaa”子文件夾中，我們不妨登錄進(jìn)Windows 2003服務(wù)器中，檢查“LocalUser”文件夾下面的“aaa”子目錄，看看其中是否有自己剛剛才建的文件，如果看到的話，那說明具有用戶隔離功能的FTP站點就已經(jīng)架設(shè)成功了。