现有两台硬件防火墙，两服务器，两路由器，服务器用来做网站的，为了网络安全应怎么配制？

两路由器接入网络，并且做负载均衡；下面接两个防火墙，两个墙也做负载均衡；然后把服务器单独放个网段，做端口映射出去，只开放80端口和必要端口，两个服务器如果做同一件事，也可以做服务器负载均衡
-------------------------------------
在防火墙上做配置，仅仅允许内网机器访问服务器网段，不能出去；这样外网也仅能访问服务器，还可以配置不让服务器能上网+不能访问内网，避免成为跳板
-------------------------------
同意pwdprotected的观点。另外内网PC机上要处理网站的一些业务，这样做不影响 *** 作的，对内开放必要端口，也可以限制允许接入的IP

按传统理论,防火墙可分为包过滤(Packetfiltering)和应用代理(ApplicationProxy)两种类型。
1、包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。

2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。

3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。

4、其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏蔽主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。

其实目前防火墙产品非常之多，划分的标准也比较杂。 主要分类如下：
1 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。
2从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3从防火墙结构分为 < 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。
5 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。

下面是我找的一些资料，但自架服务器是不被允许的，而且中间还有很多插曲需要克服，估计自己架设好的成本比购买的差别很大！

穷玩党，没钱买服务器，闲的蛋疼又不甘堕落的，在寝室或家里宽带60m，身边还有台电脑，梦想把家里的电脑如何架设成服务器自己当网管，肯定比买某云的强太多了，即使不能保障36524持续维护，但能够爽个一年半载也是不要不要的。即使不同的服务器提供的服务并不相同，但每种服务器由规划、架设到后续的安全维护，流程是没太大差别的。

下面介绍一下第一种， *** 作的话还需自己琢磨。比如说光纤猫是网通的，有公有地址，平时用nat连接，本质就是端口映射，如果将光纤猫的某个固定端口，映射到自己电脑上的服务端口(就80吧)，那应该就ok的，虽然正常是dhcp分配的，临时映射端口，但是提供映射的应该还是有的吧。想要原理，自己上网。网上有人成功把私有地址改成了公有地址，那就下面是过程。

1、直接输入网关地址登录进去了，进去直接看到一个应用的，端口是应用层的了。

2、然后，可以看到nat服务器，可以直接设置，添加，

3、外部端口就是猫的端口，也就是客户端访问的时候的端口了。初始和终止的，直接设置80，

4、然后，还要选择服务器，默认的就什么telnet之类的，直接其他服务器地址的话，选择电脑的地址。

5、确认了。设置好后，首先是进入状态，copy了下公有地址了(没有的话，就网上搜下查看自己的共有ip啥的就行了)，

6、输入，如果成功，可以试试电脑、手机了，输入发现ok的话可以断下wifi，用的数据，如果，连接不上。首先，就apache(我用的wamp)是不是受限了，反正跟着网上的搞了很多>

7、如果不行就可能是防火墙了，电脑防火墙是关着的，测试了下把防火墙打开，还是不行。那就只能是猫的防火墙了。但是，一打开，发现猫的防火墙只有高中低，不能关闭，

8、还不行就是超级管理员的问题，但这个管理员才能修改，账户只能查看，也可以直接修改啊，

9、期间还可以把apache的权限搞一遍，重启几遍，还是不行就映射其他端口试试。可以把端口改成了8520，这自己调试。

解决了问题关键是到一千还是两千是熟知端口，到8000以上的，肯定是自定义端口了，最低级别就是屏蔽这些端口了。可能，nat映射，这些熟知端口就默认没拿来映射(现在只是光纤猫，如果是主机那就废了)所以，端口映射的时候，最好还是选择自定义端口的。（文章来源互联数据）

首先，看你是不是有固定的公网IP，如果有的话，直接可以发布，如果你用的是内网IP，需要在防火墙上把你所做的WEB分发出去，并且将DNS和>