網絡隔離:把兩個或者兩個以上可路由的網絡(如:TCP/IP)通過不可路由的協定(如:IPX/SPX、NetBEUI等) 進行資料交換而達到隔離目的。主要原理是使用了不同的協定,故也叫協定隔離。
網絡隔離主要目的:将有害的網絡安全威脅隔離開,以保障資料資訊在可信網絡内進行安全互動。
一般的網絡隔離技術都是以通路控制思想為政策,實體隔離為基礎,并定義相關限制和規則來保障網絡的安全強度。
網絡隔離技術分類
實體隔離
實體隔離:兩個網絡實體上互不連接配接。
實體隔離需要做兩套或者幾套網絡,一般分為内外、外網。用戶端需要安裝隔離卡,隔離卡有兩種,資料隔離和電源隔離。
- 資料隔離:硬碟電源接口接主機闆電源,資料接口接隔離卡。
- 電源隔離:硬碟電源接口接隔離卡,資料接口接主機闆電源。
邏輯隔離
邏輯隔離:一般兩套或者幾套網絡共用一套網絡裝置,在網絡裝置上做配置,各個網絡不能互相通路。這種隔離技術非常不安全,容易洩漏資料。
邏輯隔離主要技術
虛拟區域網路VLAN
工作在第二層。支援VLAN的交換機可以借由使用VLAN标簽的方式将預定義的端口保留在各自的廣播區域中,進而建立多重的邏輯分隔網絡。
虛拟路由和轉發
工作在第三層。允許多個路由表同時共存在同一個路由器上,用一台裝置實作網絡的分區。
多協定标簽轉換(MPLS)
工作在第三層,使用标簽而不是儲存在路由表裡的網絡位址來轉發資料包。标簽是用來辨認資料包将被轉發到的某個遠端節點。
虛拟交換機
虛拟交換機可以用來将一個網絡與另一個網絡分隔開來。它類似于實體交換機,都是用來轉發資料包,但是用軟體來實作,是以不需要額外的硬體。
作者:AmyZYX
出處:http://www.cnblogs.com/amyzhu/
本文版權歸作者和部落格園共有,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出原文連接配接,否則保留追究法律責任的權利。
![虛拟桌面安全政策:網絡隔離方案[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)