服务器和域隔离

    在基于 Microsoft Windows 的网络中，管理员可以在逻辑上隔离服务器资源和域资源，以限制对通过身份验证和授权的计算机的访问。例如，可在现有的物理网络中创建一个逻辑网络，其中计算机共享一组相同的要求以便安全地通信。在这个逻辑上隔离的网络中，每台计算机必须向该隔离网络中的其他计算机提供身份验证凭据以便建立连接。

    这种隔离可防止未授权计算机和程序不恰当地获取资源的访问权限。来自不属于隔离网络的计算机的请求将被忽略。服务器和域隔离可帮助保护特定的高价值服务器和数据，也可使托管计算机免遭未托管或恶意的计算机和用户破坏。

    可使用以下两种类型的隔离保护网络：

    • 服务器隔离：在服务器隔离方案中，使用 IPsec 策略将特定服务器配置为仅接受来自其他计算机的通过身份验证的通信。例如，可将数据库服务器配置为仅接受来自 Web 应用程序服务器的连接。

    • 域隔离：要隔离域，管理员可以使用 Active Directory 域成员身份，确保作为域成员的计算机仅接受来自作为域成员的其他计算机的通过身份验证的安全通信。隔离网络仅由属于该域的计算机组成。域隔离使用 IPsec 策略为域成员（包括所有客户端计算机和服务器计算机）之间发送的通信提供保护。

总结

    通过 Windows Server 2008，组织可以使用基于安全功能（如网络访问保护）的策略获得前所未有的安全性。评估和控制连接计算机的运行状况和安全状态将为组织提供重要的安全改进。Windows Server 2008 中新的管理界面简化了配置和维护组织内多台服务器的管理过程，从而降低了管理企业的网络安全所需的成本。