4.8企业网络安全隔离（P684-695）

1、网络隔离技术概述

　　面对新型网络***手段的出现和高安全度网络对安全的特殊需求，全新安全防护防范理念的网络安全技术――“网络隔离技术”应运而生。网络隔离技术的目标是确保隔离有害的***，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。

　　网络隔离，英文名为Network Isolation,主要是指把两个或两个以上可路由的网络（如：TCP/IP）通过不可路由的协议（如：IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议所以通常也叫协议隔离（Protocol Isolation）。1997年，信息安全专家Mark Joseph Edwards在他编写的＜Understanding Network Security＞一书中，就对协议隔离进行了归类。在书中他明确地指出了协议隔离和防火墙不属于同类产品。

　　网络隔离技术是把两个或两个以上可路由的网络通过不可路由的协议进行数据交换而达到隔离目的。

2、划分子网隔离

3、VLAN隔离

　　（1）VLAN隔离的概念

　　VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过 VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。

传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。

　　VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。

　　另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标， 在局域网中有效利用虚拟局域网技术能够提高网络运行效率。

　　（2）VLAN 的优点

　　--增加了网络的连接灵活性：

　　--控制网络上的安全

　　--增加网络的安全性

　　（3）VLAN的分类

　　A:基于端口的VLAN:

　　基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法，这实际上是某些交换端口的集合，网络管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。

　　B:基于MAC地址的VLAN:

　　由于只有网卡才分配有MAC地址，因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。

　　事实上，该VLAN是一些MAC地址的集合。当设备移动时，VLAN能够自动识别。网络管理需要管理和配置设备的MAC地址，显然当网络规模很大，设备很多时，会给管理带来难度。

　　C:基于第3层的VLAN:

　　基于第3层的VLAN是采用在路由器中常用的方法：IP子网和IPX网络号等。其中，局域网交换机允许一个子网扩展到多个局域网交换端口，甚至允许一个端口对应于多个子网。

D:基于策略的VLAN:

　　基于策略的VLAN是一种比较灵活有效的VLAN划分方法。该方法的核心是采用什么样的策略？目前，常用的策略有（与厂商设备的支持有关）：按MAC地址， 按IP地址， 按以太网协议类型， 按网络的应用等

　　（4）VLAN的应用

4、逻辑隔离

　　逻辑隔离主要通过逻辑隔离器实现，逻辑隔离器是一种不同网络间的隔离部件，被隔离的两端仍然存在物理上数据通道连线，但通过技术手段保证被隔离的两端没有数据通道，即逻辑上隔离。一般使用协议转换、数据格式剥离和数据流控制的方法，在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向，不能在两个网络之间直接进行数据交换。

5、物理隔离

　　物理隔离包含四个方面内容：VIGAP隔离网闸技术、水线、物理隔离、物理隔离卡。

　　1、ViGap隔离网闸，它创建一个这样的环境，内、外网物理断开，但逻辑地相连。对于有连接的PC，***可以使用各种方法，通过网络连接来对它进行控制，然而物理隔断却能杜绝这种情况发生。ViGap就是在这两个网络之间创建了一个物理隔断，这意味着网络数据包不能从一个网络流向另外一个网络，并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。

　　2、所谓“物理隔离”是指内部网不得直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听***。

　　3、在每台电脑中通过主板插槽安装物理隔离卡，把一台普通计算机分成两台虚拟计算机，实现真正的物理隔离。

　　4、在单相电源系统中，水线的功能为传导回馈的电流，与插座端与接地分配在同一个区域。而在台湾地区，只有水线与火线之分。

　　也就是说，只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的******。此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。