网络隔离技术的基本分析

　　人们对于网络攻击是非常厌恶的，为了保护网络安全，人们也都想出了各种各样的防御手段，网络隔离技术就是其中的一种，这是一种全新安全防护防范理念的网络安全技术。在这里，我们就来分析一下这个网络隔离技术。

  网络隔离，是指两个或两个以上的计算机或网络，不相连、不相通、相互断开。不需要信息交换同的网络隔离，只需要完全断开，不通信不联网即可。如果即要隔离又要交换数据，就需要特定的技术来实现。一般所说的网络隔离技术，是指在需要信息交换的情况下实现网络隔离的技术。

　　表面上看网络隔离与人们的常识是矛盾的。这对理解网络隔离是个非常大的障碍。人工拷盘就在网络隔离的情况下实现了文件交换。人工拷盘是已知最早的网络隔离技术。最早的计算机是单机的，没有联网。人工拷盘时，两个计算机之间完全断开，是网络隔离的。由此我们知道，在网络隔离的情况下，两主机之间可通过非网络方式交换静态可携带的文件数据。

　　网络隔离在我国也经历了一个概念澄清的过程。早期，人们并不知道网络隔离的技术架构，但对网络安全的要求是明确的-要消除一切潜在的网络安全威胁。第一个阶段采取的策略是从严，"物理隔离"这个词诞生了。由于无法给出一个准确的技术上的物理隔离的定义，在物理隔离的技术定义上出现了一些歧义。一种观点认为，任何有物理接触的都不是物理隔离。

　　目前国外国内的趋势是用"网络隔离"这个名词。用网络隔离来代替物理隔离或安全隔离等名词的理由很充分。首先，隔离的概念是基于网络的。没有联网就没有隔离的必要。其次，没有信息交换或资源共享的概念，也谈不上隔离。隔离的本质是在需要交换信息甚至是其享资源的情况下才出现。三是物理隔离和安全隔离无法给出一个技术上的业确定义，而网络隔离可以给出一个完整准确的技术定义。

　　网络隔离技术的目标是确保把有害的攻击隔离。网络隔离有多种形式，比如物理隔离、协议隔离和VPN隔离等，无论采用什么形式的网络隔离，其实质都是数据或信息的隔离。

　　把网络与非安全区域划开，就如同在城市周围挖一条护城河，然后再建几个可以控制的“吊桥”，保持与城外的互通。网络隔离的一个重要内容是研究“桥”上的防护技术。目前有以下几种策略。

      1.修桥策略

  业务协议直接通过，数据不重组，对速度影响小，安全性弱。例如防火墙完成网络层的过滤，而多重安全网关完成从网络层到应用层的过滤，实现多重关卡策略。

      2.渡船策略

  业务协议不直接通过，数据要重组，安全性好。例如网闸采用协议落地，安全检测依赖于现有安全技术，二交换网络通过建立交换缓冲区实现立体化安全监控与防护。

      3.人工策略

  不做物理连接，人工用移动介质交换数据，安全性做好。

  不同的业务网络根据自己的安全需求选择不同的网络隔离技术，主要是看数据交换量的大小、实时性要求、业务服务方式的要求，下表给出了不同的网络隔离技术的比较。

　　1.交换网络

　　交换网络的模型来源于银行系统的Clark-Wilson模型，主要是通过业务代理与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个网络交换区域，负责数据的交换。交换网络的两端可以采用多重网关，也可以采用网闸。在交换网络内部采用监控、审计等安全技术，整体上形成一个立体的交换网安全防护体系。

　　2.网闸

　　网闸的设计是“代理+摆渡”。不在河上架桥，可以设摆渡船，摆渡船不直接连接两岸，安全性当然要比桥好，即使是攻击，也不可能一下就进入，在船上总要受到管理者的各种控制。另外，网闸的功能有代理，这个代理不只是协议代理，而是数据的“拆卸”，把数据还原成原始的部分，拆除各种通讯协议添加的“包头包尾”，很多攻击是通过对数据的拆装来隐藏自己的，没有了这些“通讯管理”，攻击的入侵就很难进入。

　　3.多重安全网关

　　多重安全网关的方法就是架设多道关卡，有检查行李的、有检查人的。多重安全网关也有一个统一的名字：UTM(统一威胁管理)。实现为一个设备，还是多个设备只是设备本身处理能力的不同，重要的是进行从网络层到应用层的全面检查。

　　4.防火墙

　　防火墙是最常用的网络隔离手段，主要是通过网络的路由控制，也就是访问控制列表(ACL)技术，网络是一种包交换技术，数据包是通过路由交换到达目的地的，所以控制了路由，就能控制通讯的线路，控制了数据包的流向，所以早期的网络安全控制方面基本上是使用防火墙。很多互联网服务网站的“标准设计”都是采用三区模式的防火墙。

　　网络隔离是目前最好的网络安全技术，消除了基于网络和基于协议的安全威胁。但网络隔离技术也存在局限性，对非网络的威胁和内容安全，就无法从理论上乇底排除，就像人工拷盘一样，交换的数据本身可能带有病毒，即使查杀病毒也不一定可以查杀干净。但它不是网络安全问题，不存在攻击和入侵之类的威胁。如果用户确定交换的内容是完全可信和可控的，那么网络隔离是用户解决网络安全问题的最佳选择。

　　作为一种网络安全技术，网络隔离在网络技术当中的重要性是不容置喙的，有了网络隔离技术的存在，我们上网的安全性也大大地提高了。上述的内容就是今天所讲的全部内容了，感谢大家的阅读，希望大家阅读愉快，有需要学习其他内容的同学可前往课课家教育进行系统学习哦。