网络安全-隔离技术_网络分区隔离技术战法博客

网络隔离（Network Isolation）技术的目的是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。常见网络隔离形式有物理隔离、协议隔离和VPN隔离等。

网络隔离的重点是物理隔离。物理隔离可以做到内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。

如果把网络中信任区域比作一座城池，城池外不信任，之间有条护城河。但是需要有数据交换，数据包要过河，可以有以下策略：

（1）修桥策略。业务协议直接通过，数据不重组，对速度影响小，安全性弱。

（2）渡船策略。业务协议不直接通过，数据要重组，安全性比较好。

（3）人工策略。不做物理连接，人工用移动介质交换数据，安全性较好。

网络隔离技术应用

一、子网划分

子网划分的互连和隔离可以采用下列方法。

1、路由器是网络层互连设备，具有子网互连和隔离的作用。

2、采用交换式集线器。

3、采用虚拟化功能的互连设备。

二、VLAN隔离

通过VLAN隔离技术，可以把网络系统中众多网络设备分成若干个虚拟的工作组，组合组之间的网络设备在二层上相互隔离，形成不同的广播域，将广播流量限制在不同的广播域中。由于VLAN技术是基于二层和三层之间的隔离，可以将不同的网络用户与资源进行分组并通过支持VLAN技术的交换机隔离不同组内网络设备间的数据交换来达到网络安全的目的。同一VLAN内的用户可以互相通信，而处于不同VLAN之间的用户在数据链路层是断开的，只能通过三层路由器才能访问。

三、逻辑隔离

1、防火墙

通过把防火墙放置于网络拓扑结构的合适节点上，使其成为内外通信的唯一途径，从而隔离内部和外部网络，并按照安全策略制定的过滤规则（访问控制规则）对经过它的信息流进行监控和审计，过滤掉任何不符合安全规则的信息，以保护内部网络不受外界的非法访问和攻击。防火墙是一种建立在被认为是安全可信的内部网络和被认为是不太安全可信的外部网络之间的访问控制机制。

2、多重安全网关

多重安全网关也称为UTM（统一威胁管理），实现从网络层到应用层的全面检查。

防火墙是在“桥”上架设的一道关卡，只能做到类似“护照”的检查；多重安全网关的方法就是架设多道关卡，有检查行李的、有检查人的、有检查核酸的、有检查一码通的。

多重安全网关的检查分为以下几个层次：

（1）FW：网络层的ACL

（2）IPS：防入侵行为

（3）AV：防病毒入侵

（4）可扩充功能：自身防DoS攻击、内让过滤和流量整形等。

多重安全网关对OSI七层模型中描述的所有层次的内容进行处理，其有效性超过了状态检测技术及深度包检测技术。在千兆网络中，实时将网络层数据负载重组为应用层对象的能力，而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。还可以检测到其他各种威胁，包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。

四、交换网络

交换网络是在两个隔离的网络之间建立一个网络交换区域，负责数据的交换。交换网络的两端可以采用多重网关，也可以采用网闸。

交换网络的核心是业务代理，客户业务要经过接入缓冲区的申请代理，到业务缓冲区的业务代理，才能进入生产网络。

交换网络隔离技术和网闸一样，都是采用渡船策略。

五、物理隔离

网络隔离的重点是物理隔离。

2000年1月1日起颁布实施了《计算机信息系统国际联网保密管理规定》中规定“涉及国家机密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须施行物理隔离”。

原理：

每一次数据交换，物理隔离都经历了数据的写入、数据的读出两个过程；内网与外网（或内网与专网）永不连接；内网和外网（或内网与专网）在同一时刻最多只有一个同物理隔离设备建立非TCP/IP协议的数据连接。

总结

网络隔离与数据交换是一对矛盾，网络的作用就是为了互通，但是安全问题日益重要的今天，我们的网络不得不考虑：如何解决好网络的安全，同时又方便地实现数据交换。是网络规划设计的重要内容。