网络安全区域隔离技术浅析

‘壹’ 安全隔离技术有哪些

安全隔离技术有物理的隔离，工作机制的隔离，技术上的隔离。

物理的隔离，主要是场地的隔离。工作机制的隔离，是通过制度实行相应的安全生产隔离。技术上的隔离，通过一些防护服务或者是潇洒化学反应等具体举措，可以起到安全隔离的作用。

物理隔离主要用来解决网络安全问题的，尤其是在那些需要绝对保证安全的保密网，专网和特种网络与互联网进行连接时，为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性，几乎全部要求采用物理隔离技术。

物理隔离包含隔离网闸技术、物理隔离卡等。物理隔离产品是用来解决网络安全问题的。尤其是在那些需要绝对保证安全的保密网，专网和特种网络与互联网进行连接时，为了防止来自互联网的攻击和保证这些高安全性网络的保密性，安全性，完整性，防抵赖和高可用性，几乎全部要求采用物理隔离技术。

‘贰’ 网络安全隔离卡的隔离卡技术的发展

1999年，国家保密局发布《关于加强政府上网信息保密管理的通知》4号文件，文件规定，涉密信息网络必须与公共信息网实行物理隔离，在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。4号文件的发布在信息安全界激起了千层浪，隔离卡可以节省一台电脑，又可以保证内外网的物理隔离，其好处是显而易见的。
到2002年，隔离卡的各项技术都得到发展和完善。此前，隔离卡主要采取电源切换方式，在切换时通过硬件开关控制。2002年推出的第二代隔离卡，用数据线切换方式替换了可能损坏硬盘的电源切换方式，并且采用了软件开关控制，拥有了开机选择菜单，极大的提高了隔离卡的易用性。更重要的是，隔离卡开始了控制软件的开发，为隔离卡将来的发展确定了基本方向。事实上，隔离卡的硬件构造比较简单，在硬件构造方面的发展无非是提升隔离卡的稳定性，发展空间非常有限，然而第二代隔离卡把隔离卡带入软件层面的发展，极大的扩展了隔离卡的发展空间，因此，第二代隔离卡具有里程碑式的意义。
2007年，隔离卡解决了一项关键技术，那就是快速切换。以往隔离卡的切换都要对计算机实行开关机或重启操作，这一过程决定了隔离卡切换内外网的时间需要1分钟，第三代隔离卡采用休眠技术，计算机不再需要重新启动，切换速度得到大幅提升；同时，休眠技术还可以保留切换前的工作状态，显着提高了工作效率。
第三代隔离卡的发展历经了五年时间，因此具备了相当完善的功能，各大隔离卡品牌也逐渐形成了自己的产品特点。隔离卡已经不再是一个单纯的硬件开关了，它已经进化为一套内外网安全管理系统，从多方面提供安全防护方法，这就是隔离卡五年发展的成果。直至如今，第三代隔离卡仍在广泛使用，得到了市场充分的肯定和认可。
小小的隔离卡何以拥有这么大的魅力呢？首先，隔离卡拥有小巧灵活的特点。隔离卡用于PC上，因此可以自由使用、自由组建，不受网络布局的限制。其次，隔离卡仍然是最安全的网络隔离产品。最后---也是最重要的，隔离卡没有固守于隔离技术，而是不断创新、不断发展，极大的延长了产品的生命。
未来的隔离卡将实现全局统一管控，每一块隔离卡的工作状态都被服务器监控，管理员可以通过服务器统一下发策略，也可以针对单块隔离卡实施特定策略。隔离卡的管控将迈入一个新台阶，在操作上更加智能化，大幅提高隔离卡的易用性，透过统一管控，隔离卡还将系统化，为管理者提供更多有价值的网络状态信息。

‘叁’ 网络隔离技术的网络隔离技术分类

网络隔离技术有很多种，包括:
物理网络隔离：在两个DMZ之间配置一个网络，让其中的通信只能经由一个安全装置实现。在这个安全装置里面，防火墙及IDS/IPS规则会监控信息包来确认是否接收或拒绝它进入内网。这种技术是最安全但也最昂贵的，因为它需要许多物理设备来将网络分隔成多个区块。
逻辑网络隔离：这个技术借由虚拟/逻辑设备，而不是物理的设备来隔离不同网段的通信。
虚拟局域网(VLAN)：VLAN工作在第二层，与一个广播区域中拥有相同VLAN标签的接口交互，而一个交换机上的所有接口都默认在同一个广播区域。支持VLAN的交换机可以借由使用VLAN标签的方式将预定义的端口保留在各自的广播区域中，从而建立多重的逻辑分隔网络。
虚拟路由和转发：这个技术工作在第三层，允许多个路由表同时共存在同一个路由器上，用一台设备实现网络的分区。
多协议标签交换(MPLS)：MPLS工作在第三层，使用标签而不是保存在路由表里的网络地址来转发数据包。标签是用来辨认数据包将被转发到的某个远程节点。
虚拟交换机：虚拟交换机可以用来将一个网络与另一个网络分隔开来。它类似于物理交换机，都是用来转发数据包，但是用软件来实现,所以不需要额外的硬件。

‘肆’ 如何以安全网闸技术实现计算机网络安全

随着计算机网络的不断普及和发展，已经应用了十年左右的时间的传统的网络防御技术如防火墙、ids等技术，其安全效能正在下降，最新的病毒、黑客攻击已经使传统防御技术防不胜防，因为这些病毒和攻击技术正是针对防火墙、ids的弱点进行攻击和传播的。信息化建设迫切需要引入新的、更强有力的防御技术为其发展作保障。攻击技术的不断进化，催生了防御技术的革命，网闸因此而诞生。 网闸又叫安全隔离与信息交换系统。美国、以色列等国家规定高密级网络要采用物理隔离，从1999年开始，使用物理隔离卡。物理隔离卡保证了网络间的物理隔离，但是却无法实现信息交换。
随着网络应用及我国信息化建设和电子政务的发展，网络间在物理隔离基础上进行适度、可控和安全的数据交换的需求在我国逐渐显露。安全隔离网闸技术应运而生。 网闸技术在物理隔离技术基础上，实现了网络间物理层和网络协议断开的同时进行数据交换。是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。
当前，国内网闸市场已经具备一定规模，进入市场成熟期。前期用户主要集中在政府、公安等对安全性要求很高的重要部门。随着网闸产品的更新换代，安全隔离网闸越来越趋向适用于包括政府、公安在内的其他行业，如：军队、银行、金融、证券、工商、航空、电力和电子商务等有高安全级别需求的网络。 就电子政务建设来说，目前，各政府行业面向全国的纵向网络建设已经基本完成，但是行业网络之间的横向数据交换由于安全缺乏保障的原因而发展滞后。网闸能够完美解决电子政务建设中不同网络之间、同一网络的不同安全域之间的数据安全交换、摆渡。使得原有各个政府部门之间相互独立的网络之间数据交换、各种跨部门跨行业的协同办公得以实现。 国内网闸技术的发展自2000年第一台网闸的诞生后，至今已有将近八年的历史，网闸产品的性能有了大规模的提升，功能也得到大规模的扩展，网闸市场出现一派繁荣景象。如代表我国的gap研发与服务水准的天行网安公司于今年新推出的“网闸家族”，其家族成员就是一系列按不同硬件性能进行划分、并针对不同的硬件平台进行软件系统优化、提供多种可选软件功能模块的网闸系列新品，用户可根据需求的不同，灵活选择软硬件组合，从而更进一步提高网闸的适用性使得各项性能均达到最优化，最大限度的发挥网闸的安全防护作用。 “网闸家族”的出现，预示着未来网闸技术将朝着更加深入应用的方向发展，以其作为核心的“综合接入平台”，更可以在多对多的网络之间实现集中统一管理的访问接入和数据交换，推动信息化建设的进一步发展。硬件实现的可信计算、深度内容检查等技术也越来越多地被融入到网闸产品当中，网闸对各种应用架构、应用系统的适应性将会得到更大程度的提高，为越来越多的应用提供强有力的安全保障。

‘伍’ 网络隔离技术的发展方向

第五代隔离技术的出现，是在对市场上网络隔离产品和高安全度网需求的详细分析情况下产生的，它不仅很好地解决了第三代和第四代很难解决的速度瓶颈问题，并且先进的安全理念和设计思路，明显地提升了产品的安全功能，是一种创新的隔离防护手段。

隔离原理 第五代隔离技术的实现原理是通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断了网络间的直接TCP/IP连接，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。

‘陆’ 网络隔离属于什么防护技术

网络隔离属于网络安全防护技术。

面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，全新安全防护防范理念的网络安全技术――“网络隔离技术”应运而生。

网络隔离技术的目标是确保隔离有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。

内容发展

所谓网络隔离技术是指两个或两个以上的计算机或网络在断开连接的基础上，实现信息交换和资源共享，也就是说，通过网络隔离技术既可以使两个网络实现物理上的隔离，又能在安全的网络环境下进行数据交换。

网络隔离技术的主要目标是将有害的网络安全威胁隔离开，以保障数据信息在可信网络内在进行安全交互。目前，一般的网络隔离技术都是以访问控制思想为策略，物理隔离为基础，并定义相关约束和规则来保障网络的安全强度。

‘柒’ 怎么实现内网外网隔离啊

5月5日 23:04 保密要求比较高的场所可以使用物理隔离卡，有现成的产品卖
有如下品牌
· 易思克
· 伟思
· XWELL
· 宙斯盾
· HARD LINK
· 中孚
· 联想
· 图文
· 威讯

关于物理隔离

如今，我们已越来越发觉，我们必须联结网络，无论是Internet、www、电子邮件等等，"联结"令我们受益匪浅，当你已进入了互联网时代，你将很难再离开网络，但与此同时，我们也正受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒发布者，甚至系统内部的泄密者。
尽管我们正在广泛地使各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是由于这些技术都是基于软件的保护，是一种逻辑机制，这对于逻辑实体（即黑客或内部用户）而言是可能被操纵的，即由于这些技术的极端复杂性与有限性，这些在线分析技术无法提供某些组织（如军队、军工、政府、金融、研究院、电信以及企业）提出的高度数据安全要求。
基于安全官员的立场"如果不存在与网络的物理联接，网络安全威胁便受到了真正的限制"，以及我国《计算机信息系统国际联网保密管理规定》中第六条规定"涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离"，基于上述政策与规定，我们开发出了这一全新的网络安全技术--网络安全物理隔离技术，以及实现这一技术功能的产品--伟思信安网络安全隔离卡。

技术原理

网络安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两个状态是完全隔离的，从而使一部工作站可在完全安全状态下联结内、外网。 网络安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线联结主板，另一边联结IDE硬盘，内、外网的联接均须通过网络安全隔离卡，PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。

图1

在安全状态时，主机只能使用硬盘的安全区与内部网联结，而此时外部网（如Internet）联接是断开的，且硬盘的公共区的通道是封闭的。
在公共状态时，主机只能使用硬盘的公共区，可以与外部网联结，而此时与内部网是断开的，且硬盘安全区也是被封闭的。

转换便捷

当两种状态转换时，是通过鼠标点击操作系统上的切换键，即进入一个热启动过程，切换时，系统通过硬件重启信号重新启动，这样，PC的内存所有数据被消除，两个状态分别是有独立的操作系统，并独立导入，两个硬盘分区不会同时激活。

数据交换

为了安全的保证，两个分区不能直接交换数据，但是用户可以通过我们的一个独特的设计，来安全方便地实现数据交换，即在两个分区以外，网络安全隔离在硬盘上另外设置了一个功能区，功能区在PC处于不同的状态下转换，即在两个状态下，功能区均表现为硬盘的D盘，各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要，也可创建单向的安全通道，即数据只能从公共区向安全区转移，但不能逆向转移，从而保证安全区的数据安全。

安全区控制

基于安全威胁来自内外两方面的关系，即除了外来的黑客攻击、病毒发布以外，系统内部有意或无意的泄密，也是必须防止的威胁。因此，网络安全隔离卡可以对安全区作只读控制，即可禁止内部使用者以软驱、光驱复制数据或纂改安全区的数据。

技术的广泛应用

由于网络安全隔离卡是控制主IDE总线，在PC机硬件最底层的基础上，因此广泛支持几乎所有奔腾以及奔腾兼容芯片。
由于网络安全隔离卡是完全独立于操作系统的，因此也支持几乎所有主流的操作系统。 网络安全隔离卡对网络技术和协议完全透明，因此，对目前主要协议广泛支持，如以太网、快速以太网、令牌环行网、光纤、ATM、ISDN、ADSL。

安装与使用

网络安全隔离卡的安装并不复杂，一般情况，并不需要改变用户原有的网络结构，安装人员的技术水平要求相当安装普通网卡的水平。 安装网络安全隔离卡，一般情况下，不必因为担心丢失数据，而去复制硬盘上数据。 用户的使用也只须接受简单的培训，不存在日后的维护问题。

适用范围与政府论证

基于国家有关保密的规定，伟思的网络安全物理隔离技术，正完全符合这一点。因此，本技术适用于几乎所有既要求十分严格的数据安全，同时又期望接入互联网的各类机构，诸如政府机关、军事机构、金融、电信、科研院校及大型企业等等。 伟思的"网络安全隔离卡"与"网络安全隔离集线器"已通过国家公安部和国家信息安全评测认证中心等国家权威机构的认证，并已具备了相关的产品证书。
如需要了解更多资料，欢迎到<技术支持>栏目的下载区下载本产品的详细资料或联系我们。

‘捌’ 网络隔离技术的安全要点

要具有高度的自身安全性 隔离产品要保证自身具有高度的安全性，至少在理论和实践上要比防火墙高一个安全级别。从技术实现上，除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外，关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成，一套控制外网接口，另一套控制内网接口，然后在两套主机系统之间通过不可路由的协议进行数据交换，如此，既便黑客攻破了外网系统，仍然无法控制内网系统，就达到了更高的安全级别。
要确保网络之间是隔离的 保证网间隔离的关键是网络包不可路由到对方网络，无论中间采用了什么转换方法，只要最终使得一方的网络包能够进入到对方的网络中，都无法称之为隔离，即达不到隔离的效果。显然，只是对网间的包进行转发，并且允许建立端到端连接的防火墙，是没有任何隔离效果的。此外，那些只是把网络包转换为文本，交换到对方网络后，再把文本转换为网络包的产品也是没有做到隔离的。
要保证网间交换的只是应用数据 既然要达到网络隔离，就必须做到彻底防范基于网络协议的攻击，即不能够让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取，然后进行数据交换，这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包，彻底地阻挡在了可信网络之外，从而明显地增强了可信网络的安全性。
要对网间的访问进行严格的控制和检查 作为一套适用于高安全度网络的安全设备，要确保每次数据交换都是可信的和可控制的，严格防止非法通道的出现，以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术，保证每一次数据交换过程都是可信的，并且内容是可控制的，可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。
要在坚持隔离的前提下保证网络畅通和应用透明 隔离产品会部署在多种多样的复杂网络环境中，并且往往是数据交换的关键点，因此，产品要具有很高的处理性能，不能够成为网络交换的瓶颈，要有很好的稳定性；不能够出现时断时续的情况，要有很强的适应性，能够透明接入网络，并且透明支持多种应用。

‘玖’ 什么是网络的物理隔离

所谓“物理隔离”是指内部网不直接或间接地连接公共网。

物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。

只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

网络隔离技术目前有如下两种技术：

1、单主板安全隔离计算机：其核心技术是双硬盘技术，将内外网络转换功能做入BIOS中，并将插槽也分为内网和外网，使用更方便，也更安全，价格界乎于双主机和隔离卡之间。

2、隔离卡技术：其核心技术是双硬盘技术，启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，使两个网络和硬盘物理隔离，它不仅用于两个网络物理隔离的情况，也可用于个人资料要保密又要上互联网的个人计算机的情况。其优点是价格低，但使用稍麻烦，因为转换内外网要关机和重新开机。

‘拾’ 如何实现既内外网隔离，又能内外网业务工作的开展

保密机关单位由于其工作的性质，所涉及到的一部分数据资料必须处于完全的安全 状态下，然而工作的需求还需联入INTERNET，这样就无法保证公司内部局域网的安全。我公司依据上述情况，制定以下解决方案，以便参考。 上述情况的唯一可行的解决方案就是物理隔离安全网和公共网，现在国际上最新颖的物理隔离解决思路是：在同一时间、同一空间，单个用户是不可能同时使用两个系统的。所以，总有一个系统处于"空闲"状态。只要使两个系统在空间上物理隔离，在不同的时间运行，就可以得到两个完全物理隔离的系统，即一个区连接外部网，一个区连接内部网。 在方案一：用一根网线实现内外网的传输方式，计算机用户只使用单个硬盘，这种方式是绝大多数用户所采用的。单硬盘网络安全隔离卡。应用此方案一个优点就是可以免去另外布线。只需安装网络安全隔离集线器与安装了网络安全隔离卡的安全计算机配合使用可以满足对单网布线的要求，即桌面计算机只用一条网线就可连接到远端的双网上。

具体实施物理隔离措施的过程当中，为了避免使用两套独立的计算机网络系统，做到物理隔离和使用方便相结合，实行物理隔离采用网络隔离卡是一种简单易行的方法。将一台工作站或pc机的单个硬盘物理分割为两个分区，即公共区（public）和安全区（secure）。这些分区容量可以由用户指定，因此使一台pc能连接两个网络。通过公共区连接外部网，如internet，主机只能使用硬盘的公共区与外部网连接，而此时与内部网是断开的，且硬盘安全区也是被封闭的。而安全区则连接内部网，主机只能使用硬盘的安全区与内部网连接，而此时与外部网（如internet）连接是断开的，且硬盘的公共区的通道是封闭的。两个分区分别安装各自的操作系统，是两个完全独立的环境，操作者一次只能进入其中一个系统，从而实现内外网的完全隔离。

网络安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两个状态是完全隔离的，从而使一部工作站可在完全安全状态下联结内、外网网络安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线联结主板，另一边联结IDE硬盘，内、外网的联接均须通过网络安全隔离卡，PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。 在安全状态时，主机只能使用硬盘的安全区与内部网联结，而此时外部网（如Internet）联接是断开的，且硬盘的公共区的通道是封闭的。在公共状态时，主机只能使用硬盘的公共区，可以与外部网联结，而此时与内部网是断开的，且硬盘安全区也是被封闭的。 转换便捷 当两种状态转换时，是通过鼠标点击操作系统上的切换键，即进入一个热启动过程，切换时，系统通过硬件重启信号重新启动，这样，PC的内存所有数据被消除，两个状态分别是有独立的操作系统，并独立导入，两个硬盘分区不会同时激活。 数据交换 为了安全的保证，两个分区不能直接交换数据，但是用户可以通过我们的一个独特的设计，来安全方便地实现数据交换，即在两个分区以外，网络安全隔离在硬盘上另外设置了一个功能区，功能区在PC处于不同的状态下转换，即在两个状态下，功能区均表现为硬盘的D盘，各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要，也可创建单向的安全通道，即数据只能从公共区向安全区转移，但不能逆向转移，从而保证安全区的数据安全。 安全区控制 基于安全威胁来自内外两方面的关系，即除了外来的黑客攻击、病毒发布以外，系统内部有意或无意的泄密，也是必须防止的威胁。因此，网络安全隔离卡可以对安全区作只读控制，即可禁止内部使用者以软驱、光驱复制数据或纂改安全区的数据。 技术的广泛应用 由于网络安全隔离卡是控制主IDE总线，在PC机硬件最底层的基础上，因此广泛支持几乎所有奔腾以及奔腾兼容芯片。 由于网络安全隔离卡是完全独立于操作系统的，因此也支持几乎所有主流的操作系统。网络安全隔离卡对网络技术和协议完全透明，因此，对目前主要协议广泛支持，如以太网、快速以太网、令牌环行网、光纤、ATM、ISDN、ADSL。

2、安装与使用 网络安全隔离卡的安装并不复杂，一般情况，并不需要改变用户原有的网络结构，安装人员的技术水平要求相当安装普通网卡的水平。安装网络安全隔离卡，一般情况下，不必因为担心丢失数据，而去复制硬盘上数据。用户的使用也只须接受简单的培训，不存在日后的维护问题。设备清单 现状：共有50台客户端，每台客户端都需要实现内外网的访问所需设备列表
（1）两组交换机，每组共有50个端口以上
（2）24口的网络安全隔离集线器需要：7个
（3）网络安全隔离卡：50个
（4）在同一个硬盘安装两套操作系统
（5）内外网的相互转换应用用户选择界面来执行的，只对机器进行热启动，即可完成安全转换。
方案二：重新布线到各客户端，按照客户需求共需50个点的布线，这样在客户端共需两个节点来满足要求。 所需的设备： 50个节点的布线材料 两组端口数超过50个口的交换机组50块安全隔离卡