如何规化防火墙，将内部的服务器和部分PC与internet 隔离

内部的服务器（私有地址）和内部机器放在防火墙内网区（必要时通过三层交换机划分Vlan），公网IP服务器（需要从互联网访问的机器）放在防火墙的DMZ区。
防火墙只对需要开放的端口“允许”，其他一律“拒绝”

安全
d性网卡 ENI 支持为网络创建多套安全策略。您可以使用一个d性网卡来处理外部通信，并为其设置安全组策略，以管理 Internet 对服务器的访问；使用另一个d性网卡管理内部通信，为其分配多个分别存在于不同的 VPC 子网中的 IP，您可为不同的子网设置不同的安全组策略，从而构建一个管理网络。
隔离
d性网卡 ENI 可实现内网、外网、管理网络三网隔离，您可以为云服务器配置多个属于不同子网的d性网卡，每个子网可以配置不同的网络路由，实现内网、外网、管理网的网络流量隔离。
灵活
单台云服务器可配置多个d性网卡，单个d性网卡可配置多个内网 IP。例如，您可以为中间层 Web 服务器配置多个d性网卡以构建双宿主机；您还可以为d性网卡分配主备 IP 地址，以便实例故障时快速迁移。

---