网络安全逻辑隔离装置

‘壹’ 网络中的逻辑隔离和物理隔离一般要用到什么设备，怎么区别啊

都要用到交换机、路由器等网络设备，只不过物理隔离等于是完全新建一套网络系统，而逻辑隔离是在已有的网络上通过划分VLAN从而形成一个逻辑上的虚拟局域网，一般政府部门等重要场所设计网络时都要物理隔离各个网段的。

‘贰’ 请问一下上网安全桌面中的逻辑隔离是什么意思

实际上它主要的意思是为每个用户分配一个虚拟化桌面用于上网和日常办公，与用于机密工作的本地电脑相互隔离。实现机密与非机密数据隔离、安全与非安全网络隔离。上海达龙信息科技有限公司！

‘叁’ 酒店网络物理隔离和逻辑隔离的的区别

物理隔离就是两个网络的任何设备到终端网口都没有共享

而逻辑隔离是将一个物理网络实行IP网段隔离,配合采用掩码使得只能之间访问自己所在的网段
比如设定192.168.1.X 255.255.255.0 和使用192.168.2.X 255.255.255.0
就能分开了

‘肆’ 哪位高人帮忙解释一下下安全隔离网闸和防火墙的区别是什么啊

2002年FBI/CSI调查报告显示，计算机攻击事件正以每年64%的速度增加。这种威胁对我国关键领域一直存在，特别是“金盾“、“金审”、“金财”、“金税”等政务工程的核心政务网（涉密网）、政务专网等核心系统，运行着很多重要涉密信息，网络与信息的安全性尤为重要。

目前国家明确规定政府的涉密网络应与互联网保持物理隔离，确保信息安全。这样确实有效避免了来自Internet 的网络威胁。然而涉密网络之间如行业内部上下级与不同行业部门之间是相互不信任的关系，当信息流通时就面临带来的安全问题；如公安内网中的敏感信息需要流通到检委内网，同时两个部门涉密网内部都具有高度的信息敏感资源，相互是不信任关系，再比如工商内网与税务内网、财政内网与海关内网之间的信息流通都面临涉密网的安全与互通问题。所以必须采取相应的安全措施来保障涉密内网的安全问题，目前常用以下两种方法。

用人工拷贝实现隔离下的信息交换

目前，涉密网络通常与外界实现物理隔离，当涉密网之间需要交换信息时，通常在中间区域设置双方数据服务器，通过可信人员通过人工拷贝来实现。通过人工拷贝的方式，的确避免了来自不信任网络的黑客攻击等威胁，然而也带来新的问题。首先，人工投入管理开销比较大，双方必须投入人员参与数据拷贝工作；其次，人工拷贝实时性较差，无法发挥网络信息技术带来的快速的通信便利等优点；最后，由于频繁使用软盘或其他存储介质，增加了病毒和木马程序传播的途径和几率，带来新的安全问题。所以该方式无法适应电子政务的发展趋势。

用防火墙等逻辑机制保护涉密内网的安全

除采用保证物理隔离条件下采用人工拷贝实现信息交换的方式外，另一些部门涉密内网之间采用了防火墙来实现与其他专网之间的逻辑隔离。但防火墙发展到现在仍存在以下弱点。

图1 单方不信任涉密内网之间安全隔离解决方案

首先防火墙无法抵御数据驱动式攻击，即大量合法的数据包导致网络阻塞而使正常通信瘫痪；其次，防火墙很难阻止由通用协议本身漏洞发起的入侵；再次，防火墙系统本身的缺陷也是影响内部网络安全的重要问题；另外，只有正确、合理配置防火墙才能起到本身的安全作用，而配置的复杂为网管人员带来烦琐工作量的同时，也增加了配置不当带来的隐患。由于目前能攻破防火墙的技术正不断发展，所以对于涉密网络中使用防火墙做屏障是不可靠的防御手段。

由上面分析可知，第一种解决方案虽实现了物理隔离，但缺乏信息实时机制，而且人员管理开销较大；第二种方案采用了安全防御机制不太严密的逻辑隔离技术来保护涉密网络的信息安全，无疑为数据泄秘和黑客破坏等提供了可能。故两者不能算完整的解决方案。而目前渐渐兴起的GAP技术可以为涉密网络提供可靠的保护，该技术利用专用硬件保证两个网络在物理链路层断开的前提下实现数据安全传输和资源共享，并能够显着提高内部用户网络的安全强度。

天行网安GAP技术让信息隔离并交换着

天行安全隔离网闸（Topwalk-GAP）是由天行网安信息技术有限公司与公安部通信局联合研制的新一代安全隔离产品，也是GAP技术在国内的代表产品之一。该产品采用自主产权的专用隔离硬件和多个处理单元紧密集成的独特设计，集成各种安全模块为一体，部署于信任网络与非信任网络之间，能够防止并抵御各种网络攻击及黑客病毒入侵，并给用户提供了文件传输与数据库交换、收发邮件和浏览网页等多种信息交换方式。它通常部署于信任与非信任网络之间的核心内部网络之间，采用GAP（安全隔离）技术、协议转换、安全操作系统内核技术、内核的入侵检测技术、病毒扫描技术以及安全P&P（Pull and Push）等安全技术，杜绝有害信息，组成网络之间数据交换的安全通道。该隔离网闸主要提供了以下功能模块以及根据用户特殊要求的定制模块。

单方信任涉密网络隔离解决方案

在同行业部门上下级涉密网常要面临信息流通的问题,在这种情况下通常具备下级信任上级、上级的信息敏感度比下级要高等特点，即不同信任级别的涉密网要进行信息交换，可以参考以下解决方案。

图2 涉密网络之间信息交换示意图

如图2所示，左边方框内表示信任部门的涉密内网，通常为中央、部委、省级机关等重要部门的核心内部网络，在涉密内网通常运行关系国家机密、政府和经济敏感信息等资源，所以对安全性要求很高。而这些部门内网需要通过专网同地方、下级相应部门的涉密内网进行信息共享与交换。在这种情况下，通常是上级安全性高于下级，中央政府高于地方政府的单方信任关系，可采用上述单方信任涉密网之间安全解决方案。该方案将隔离网闸设在可信任端，所有请求从信任端发起，确保了信任涉密网的安全性。同时隔离网闸为用户提供了多种功能模块，实现了灵活方便的如公文交换、邮件收发、数据库共享等功能，从而满足如部门上下级等不同涉密网络之间的信息共享需求。

双方不信任涉密网隔离解决方案

在电子政务的应用中，常常遇到不同行业的网络之间信息交换的问题。由于两个行业部门都有各自的信息管理系统和人员管理体制，所以仍应在保证双方涉密网的高度安全下实现适度信息交换。如图3所示，A部门涉密内网和B部门涉密内网都属于对安全高敏感区域，通常要求与外网安全隔离。由于涉密内网之间需要适度交换信息，所以应为双方设置数据中间区域。中间区域与两边涉密内网通过安全隔离网闸来实现隔离下的信息交换。

如此配置安全隔离网闸基于以下几点：安全隔离网闸采取了安全的数据P&P（Pull and Push）技术，所有请求由内网（即信任网络端）发起，外部处理单元不提供任何服务。所以建议设中间隔离区域提供文件、邮件和数据库的服务器，负责接受双方提交的数据，然后再由涉密网内部主动请求从中间隔离区域提取所需要的数据。这样保证用户提交数据或提取数据都由双方可信任方主动发起，在加上安全隔离网闸所采用的访问控制和身份验证机制，确保了双方交换数据信息时的安全性和可靠性，同时保证了信息流通的实时性和易操作性。

GAP技术信息交换有优势

上述两套方案通过采用天行安全隔离网闸（Topwalk-GAP）作为涉密网络之间的隔离屏障，该产品通过不同涉密网络之间物理链路层断开以得到高度安全，并满足了相互之间进行多种形式的信息交换。

与人工拷贝相比具备的优势具有以下优势：

交换方式灵活多样

GAP技术提供了文件交换、数据库交换以及邮件收发等多种安全数据交换手段。如果人工拷贝只能通过软盘或其他移动存储介质实现文件间的拷贝，当文件过多或过大时，难以满足需求，或者在大型关系数据库间表格或记录传递时无法实现。

信息交换及时

该产品硬件内部数据交换速率达到819.2Mbps，系统数据交换速率达到120Mbps，硬件切换时间只有5ms，最大并发连接数更是突破了目前国内最多1500个的限制，达到了5000以上，可保证内外网的信息交换在较短的时间完成，可以满足大部分政府办公对信息交换的需求，而人工拷贝则耗时较多。

具有病毒和关键字内容过滤功能

人工拷贝需要采用软盘等移动存储介质，往往成为病毒或木马程序传播的途径，同时也不易于集中管理控制。采用隔离网闸时，交换的文件或数据会被进行病毒或关键字内容检测，大大降低了由病毒或无意泄露信息带来的安全风险。

图3 双方不信任涉密内网之间安全隔离解决方案

GAP技术与防火墙等产品相比，该产品具备的需求以下的优势：

比防火墙安全强度更高和更可靠

防火墙采用在网络层上的逻辑隔离机制，即主要通过软件策略来实现，由于在网络层是相通的，所以很难终结有经验的黑客。基于GAP技术的天行安全隔离网闸实现了涉密网与外界基于链路层的安全隔离，使得黑客基于网络协议的攻击无效，这样不但消除了通用协议漏洞给涉密内网带来的威胁，同时也使内部的系统与软件后门与漏洞不会被外部利用。

有效阻止DOS网络攻击

由于防火墙通常建立在TCP/IP协议的通路上，需要提供对外服务，而拒绝服务攻击（DOS），就是利用TCP/IP协议的缺陷，对于隔离网闸外部处理单元不需要运行任何服务器程序，并保证了与内网不存在TCP/IP协议通路，不接受来自外部任何主机的发起连接（TCP SYN），这样外部主机对于因特网来说就像被隐藏了一样，有效保证了隔离网闸本身和内网的安全性。

防配置错误引起的网络隐患

我们知道，防火墙是由一系列的规则组成，使用该规则对于进出的网络包进行检查，通常情况下，防火墙都比较安全，但是也有可能出现配置错误，造成不安全通道打开，这样就有可能被黑客所利用。而隔离网闸仅允许定制的信息进行交换，即使出现错误，也至多是数据不再传输，而不会为黑客打开安全之门。

避免操作系统和软件的不断升级

通常防火墙只能防止网络层的攻击，对于操作系统和软件出现的安全问题并不能提供一个很好的防护方式，很多采用防火墙的用户仍然受到“Nimda”病毒困扰就是一个很好的例证，用户使用了防火墙仍然得不断地升级自己的操作系统和浏览器，以避免由于这些问题导致系统被攻击。而隔离网闸由于在链路层断开，禁止所有的直接网络连接，因此可以有效保证内部系统的安全，避免了用户繁杂的升级工作。

‘伍’ 什么是物理隔离装置 和防火墙有什么区别

物理隔离，是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。物理隔离主要用来解决网络安全问题的，尤其是在那些需要绝对保证安全的保密网。

为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性，几乎全部要求采用物理隔离技术。

区别：

1，防火墙传输数据可以双向，支持TCP/IP七层协议。

2，防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。

3，无论从功能还是实现原理上讲，安全隔离网闸和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具（如通常的非军事化区），而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同，不能相互取代。

4，物理隔离装置也就是安全网闸，只能单向传输数据，不是正向就是反向。不能同时双向，这样也就切断了黑客的访问连接。

5，物理隔离装置针对的是一区二区与三区之间传输间才用到的，横向隔离装置相当于是安全网闸，数据只能单向传输，不能双向。

(5)网络安全逻辑隔离装置扩展阅读

防火墙一般在进行IP包转发的同时，通过对IP包的处理，实现对TCP会话的控制，但是对应用数据的内容不进行检查。这种工作方式无法防止泄密，也无法防止病毒和黑客程序的攻击。

只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为。

进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。

通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，计算机系统的内部中具有的日志功能。

‘陆’ 物理隔离与逻辑隔离有什么区别

您好

1、定义不同

逻辑隔离主要通过逻辑隔离器实现，逻辑隔离器是一种不同网络间的隔离部件，被隔离的两端仍然存在物理上数据通道连线，但通过技术手段保证被隔离的两端没有数据通道，即逻辑上隔离。

物理隔离，是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。

2、作用不同

物理隔离：为防止涉及国家秘密的计算机及信息系统受到来自互联网等公共信息网络的攻击，确保国家秘密信息的安全，党和国家多次强调要求涉密计算机及信息系统要与互联网等公共信息网实行物理隔离，

国家保密局2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条明确规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。

逻辑隔离：逻辑隔离最新实现手段是利用虚拟化技术实现逻辑隔离。利用虚拟化技术，可以让用户在一台计算机上打开一个或多个虚拟桌面，每个虚拟桌面以及该计算机的真实操作系统之间都可以互相隔离，数据不能相互传输。

因此可以将不同的虚拟桌面以及真实系统连接到不同安全级别的网络，比如利用虚拟桌面来访问外部互联网，而本地真实操作系统则连接到内部机密网络进行研发设计工作，这样就实现了内外的隔离；

此时不同安全级别的网络之间，有着物理上的连接，但互相之间不能相互访问，只有指定的协议才能通过，符合逻辑隔离的国家标准定义，因此属于逻辑隔离的范畴。

3、特点不同

物理隔离：物理隔离技术为信息网络提供了更高层次的安全防护能力，不仅使信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生，它至今已发展到了第二代；第一代网闸的技术原理是利用单刀双掷开关，使得内外网的处理单元分时存取共享存储设备来完成数据交换，

实现了在物理隔离下的数据交换；第二代网闸在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道 peTprivate exchange tunnel)技术，在不降低安全性的前提下，完成内外网之间高速的数据交换它的安全数据交换过程由专用硬件通信卡、私有通信协议加密签名机制来实现，

仍通过应用层数据提取与安全审査来杜绝基于协议层的攻击,并增强应用层安全.它提供了更多的网络应用支持,能够适应复杂网络对隔离应用的需求

逻辑隔离：虚拟化的逻辑隔离较之传统的逻辑隔离手段，特点在于使用的便利性，在同一台计算机上进行窗口切换即可实现不同安全级别网络的访问，同时也不降低安全性。目前市面上一些上网安全桌面类的产品就属于虚拟化逻辑隔离范畴。

‘柒’ 网络物理隔离装置什么最好

南瑞SYSKEEPER-2000（正向型）网络安全物理隔离装置不错

‘捌’ 内网物理隔离和逻辑隔离之间的区别以及网闸算物理隔离还是逻辑隔离

准确的说是逻辑隔离，不算物理隔离，因为物理隔离是完全隔离的，而网闸是联系在一起的只是通过私有协议进行数据交换，来确保信息的安全。 像利普的网闸就很不错，用得挺好的。 利普公司是国家高新技术企业，深圳市“双软”企业，是我国信息安全行业领先的产品与服务供应商。产品曾属国家保密局科技创新成果，被国家保密局列入推荐目录，向全国发文推广，是全国各省国家保密局以及国内众多省市政府主管部门指定配置产品，深受广大用户的好评。准确的说是逻辑隔离，不算物理隔离，因为物理隔离是完全隔离的，而网闸是联系在一起的只是通过私有协议进行数据交换，来确保信息的安全。 像利普的网闸就很不错，用得挺好的。 利普公司是国家高新技术企业，深圳市“双软”企业，是我国信息安全行业领先的产品与服务供应商。产品曾属国家保密局科技创新成果，被国家保密局列入推荐目录，向全国发文推广，是全国各省国家保密局以及国内众多省市政府主管部门指定配置产品，深受广大用户的好评。准确的说是逻辑隔离，不算物理隔离，因为物理隔离是完全隔离的，而网闸是联系在一起的只是通过私有协议进行数据交换，来确保信息的安全。 像利普的网闸就很不错，用得挺好的。 利普公司是国家高新技术企业，深圳市“双软”企业，是我国信息安全行业领先的产品与服务供应商。产品曾属国家保密局科技创新成果，被国家保密局列入推荐目录，向全国发文推广，是全国各省国家保密局以及国内众多省市政府主管部门指定配置产品，深受广大用户的好评。

‘玖’ 什么是逻辑隔离以太网

逻辑隔离器也是一种不同网络间的隔离部件，被隔离的两端仍然存在物理层/数据链路层上数据通道连线，但通过技术手段保证被隔离的两端没有数据通道，即逻辑上隔离,市面上的网络光端机/交换机的逻辑隔离一般过通过划VLAN（IEEE802.1Q）组的方式来实现；
VLAN相当于OSI参考模型的第二层（数据链路层）的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，实现两个不同VLAN分组网络端口的隔离。
飞畅科技，专业做光端机、光纤收发器、工业交换机、协议转换器等工业通信设备的厂家，自主研发品牌，欢迎前来了解、交流。