网络隔离技术在局域网中的应用

方案，同时对比两种方案的效果和优缺点。

【关键词】物理隔离；逻辑隔离；隔离卡

随着新型网络攻击的出现和对信息安全的更高要求，网络隔离技术应运而生。

网络隔离的目的是隔离有害的安全威胁，网络隔离技术，是指两个或两个以上的网络在断开连接的基础上，实现信息交换和资源共享，也就是说，通过网络隔离技术既可以使两个网络实现物理上的隔离，又能在安全的网络环境下进行数据交换。

网络隔离分为逻辑隔离和物理隔离。网络系统在逻辑隔离和物理隔离的方面有着非常大的差异，其物理隔离主要是为了保证系统能够安全运作，不连接网络。而逻辑隔离主要是保证网络能够正常运行，并保证整个过程的安全性。这两种具有本质上的差异。

一、物理隔离

物理隔离的思路，主要是两台计算机没有相连，使用者要通过介质进行数据的拷贝。这个过程也被称为数据摆渡，两台计算机没有明确的连接方式，所以不会遭到网络的攻击，这个过程的简单形式如下图所示。

工作人员要掌握物理隔离的特点，选取有效的技术，保证系统的安全性。在系统操作中，整个过程都需要保证内部网络与外部网络没有连接。由此，工作人员要将网络系统内部的主机和外部主机进行连接，并通过固定的存储介质实现，从而建立固定的IP协议连接。这个功能能够通过物理隔离器和物理隔离卡实现，其中物理隔离器要安装在交换机之前，然后通过网络选取器进行设备的开关，由物理隔离卡进行有效监督。物理隔离卡要在用户客户端上，插一块隔离卡或是两块硬盘，经过不同的接口，达到不同网络连接的目的。工作人员还应进行两套网络布线，合理区分不同的网络。

在公司的实际实施情况是通过DM软件把单块硬盘切分，实现类似2块硬盘的功能，但硬盘空间在实际使用时只有原来的一半。隔离卡上固定了切换程序和启动程序。从LAN启动后，就可以切换不同的网络，相当于一台电脑模拟出2台电脑，一台单独上内网，一台单独上外网，从而达到隔离的目的。这种隔离需要两套网络布线，在具体实施中，利用网线只用4根线的特点，由隔离卡实现切换，既实现了两套网络的目的又不需重新布线，节约了成本。每个控制台都需要安装两套系统，内、外网的数据不能共享，需通过传输介质“数据摆渡”。互通性不好，当对不同的网络进行访问时，就要重新启动PC机。

二、逻辑隔离

逻辑隔离与物理隔离不同，其主要也是在物理上进行连接的，但其在体系结构中实现的是物理层以上的隔离。在技术上，实现逻辑隔离的方式有很多，最常见的是防火墙[9]。工作人员要使用防火墙进行有效的防护，并对其流通的通道进行扫描，及时掌握这种事件的发展。通过这种方式，能够较好的避开一些恶性攻击发，降低目标计算机上的盲目操作。防火墙还能够将一些不常使用的端口关闭，降低病毒进入的可能性。最后，它可以实现阻止来自特殊站点的访问，从而保证网络系统的安全运行。

三、方案比较

1.物理隔离。

网络系统的双网物理隔离，顾名思义其就是基于物理层的。这一方案能够保证公网系统与涉密网络系统内部的信息数据不会储存在同一介质上，而且能够划分其物理链路。与此同时，对于二两个网络系统的服务器、交换机来说，进行物理隔离方案并没有连接上相关的网络系统安全防范内容。

工程实施的优点：

（1）如果物理隔离卡在工作站上合理配置，就能较好的起到内置卡的作用。针对内置卡在主机箱外的设置，几乎稍有其他附加设备，几乎不会占有空间资源。

（2）物理隔离的应用成本较为低廉。网络系统的用户能够利用原有的局域网，而不是进行重新布线。这就极大的节约了网络建设的投资成本，而且还能够缩短系统改造的时间。

（3）改造成本低廉：安装一块物理隔离卡和二块硬盘，就可以起到两台PC机的功能。

（4）当隔离网络系统安装完毕后，系统用户就能够共享除了硬盘外的信息数据资源。

2.逻辑隔离。

防火墙主要是通过对特殊站点的访问控制、包过滤技术，来监测和预警数据包的。其除了具有隔离功能外，还具有克服物理隔离的缺陷的特点。然而，由于互联网系统的使用开放性，逻辑隔离也存在着一些无法解决的问题。具体内容如下：

（1）如果受到保护的网络系统内部不受限制的向外进行拨号，那么这些内部系统用户就能够与Internet进行有效连接。这种情况，就绕过了防火墙，从而使网络系统形成了一个潜在的后门，非常容易受到攻击。

（2）对于数据驱动式的攻击防火墙很难发挥作用。

（3）对于系统内部驻存病毒的攻击，像是特洛依木马等，防火墙技术则不能发挥作用。

四、四平联通的网络隔离方案

（一）物理隔离方案

四平联通采用双网线物理隔离卡，安装在客户端PC的PCI槽上。客户端PC的硬盘通过软件修改硬盘内部物理地址标志，并通过隔离卡识别其标志，使其不同物理分区分别对应内外网络，不可重用。

这种情况表示，在接入内网之后，工作人员要断开外部网络的连接，然后直接启动内网的系统，并进行激活，从而实现一些操作。在外部网络的分配中，同时也要断开内部的网络连接，开启外网系统，进行分区。整个工程的效率，相当于模拟2台电脑，一台能够独立上网，一台能够进行外部网络隔离。

（二）逻辑隔离方案

四平联通的逻辑隔离，部署的是网络防火墙，具体网络结构见图4。

防火墙实施的安全策略：

1.内网中的指定用户（如10.62.30.8）可以访问Internet和DMZ中的WEB服务器（如133.200.124.254）。并且内网所有用户都可访问DMZ区域服务器。

2.外网的用户可以访问DMZ区的Web平台（133.200.124.254）。

3.DMZ区的WEB服务器可以访问内网中的ORACLE数据库服务器和外网中的其它服务器。

事实证明，物理隔离与逻辑隔离的防火墙能够各有优势，且能互为补充。在通过建立DCN网络并制定隔离方案的过程中，对于两个密级不同的网络系统业务要利用物理隔离将其断开。这里说的两个密级不同的网络系统是指，公共网络和含有机密文件资料内部局域网，换句话说就是涉密网。保障各级涉密信息均能够安全地在涉密网内应用，并为有效地防御来自公司其他网络直接或者间接的破坏。在物理隔离的基础上加装防火墙，这样一来就可以有效的提高涉密网络连接的安全性。同时针对病毒和恶意入侵等，增加了病毒服务模块。如果能够增加网络系统的域管理，就可以使网络系统的安全性进一步得到强化。物理隔离有效阻止了内、外网的交叉感染，同时防止了通过INTERNET的恶意攻击。病毒查杀模块对进出隔离系统的静态数据进行检查，为用户消除了木马程序与病毒带来的隐患。

通过以上措施，公司网络的安全性有较好的保障，经过实践证明效果是明显的。但安全管理是网络系统用户和网络管理人员的一种思维意识，仅通过科学技术是很难将其的效果发挥完全的，比如有的员工为图使用方便，在内网通过ADSL与外网连通，整个物理隔离性能就大打折扣了。所以安全不仅仅从技术角度出发，还要加强安全意识，才能真正保障安全。

参考文献：

[1]李志红 计算机网络隔离技术浅析 数字技术与应用 2012-11-15.

[2]周进，熊建武，戴小鹏 高校图书馆网络安全隐患及其防范 中国西部科技 2013-02-15.

作者简介：

李乔（1982.4），男，吉林四平人，硕士研究生，工程师，研究方向为信息安全。

推荐访问： 隔离 网中 技术 网络

---