網絡隔離:把兩個或者兩個以上可路由的網絡(如:TCP/IP)通過不可路由的協議(如:IPX/SPX、NetBEUI等) 進行數據交換而達到隔離目的。主要原理是使用了不同的協議,故也叫協議隔離。
網絡隔離主要目的:將有害的網絡安全威脅隔離開,以保障數據信息在可信網絡內進行安全交互。
一般的網絡隔離技術都是以訪問控制思想為策略,物理隔離為基礎,並定義相關約束和規則來保障網絡的安全強度。
網絡隔離技術分類
物理隔離
物理隔離:兩個網絡物理上互不連接。
物理隔離需要做兩套或者幾套網絡,一般分為內外、外網。客戶端需要安裝隔離卡,隔離卡有兩種,數據隔離和電源隔離。
- 數據隔離:硬盤電源接口接主板電源,數據接口接隔離卡。
- 電源隔離:硬盤電源接口接隔離卡,數據接口接主板電源。
邏輯隔離
邏輯隔離:一般兩套或者幾套網絡共用一套網絡設備,在網絡設備上做配置,各個網絡不能互相訪問。這種隔離技術非常不安全,容易泄漏數據。
邏輯隔離主要技術
虛擬局域網VLAN
工作在第二層。支持VLAN的交換機可以借由使用VLAN標簽的方式將預定義的端口保留在各自的廣播區域中,從而建立多重的邏輯分隔網絡。
虛擬路由和轉發
工作在第三層。允許多個路由表同時共存在同一個路由器上,用一台設備實現網絡的分區。
多協議標簽轉換(MPLS)
工作在第三層,使用標簽而不是保存在路由表里的網絡地址來轉發數據包。標簽是用來辨認數據包將被轉發到的某個遠程節點。
虛擬交換機
虛擬交換機可以用來將一個網絡與另一個網絡分隔開來。它類似於物理交換機,都是用來轉發數據包,但是用軟件來實現,所以不需要額外的硬件。