网络设计-网络隔离技术.pptVIP

网络隔离技术 网络物理隔离基本技术 网络安全隔离卡技术 网络安全隔离卡技术 网络安全隔离卡技术 网络安全隔离卡技术 隔离集线器技术 单主板隔离计算机技术 网络物理隔离系统方案举例 安全隔离网闸方案 安全隔离网闸方案 基于无盘系统的隔离方案 单网解决方案 双网解决方案 * * 与此对应，实现网络物理隔离的技术主要有：网络安全隔离卡技术、安全集线器技术和单主板隔离计算机技术。 目前物理隔离技术主要在如下三个网络位置上实施： 客户端物理隔离：在客户端采用隔离卡，可以使客户端机器既连接内网又连接外网，在两个网上分时地工作，在保证内外网络隔离的同时，资源节省、工作方便。 集线器物理隔离：在集线器处的物理隔离常常要与客户端的物理隔离相结合，它可以使客户端使用一条网线由远端切换器连接双网，实现一台工作站连接两个网络的目的。 服务器端物理隔离：它采用复杂的软硬件技术，实现在服务器端的数据过滤和传输，使内外网之间同一时刻没有连线，能快速、分时地传递数据。 内部网络 连接外部网络 安全区 公共区 S P 网络安全隔离卡 网络安全隔离卡的工作方式 网络安全隔离卡是一个硬件插卡，可以在物理上将计算机划分成两个独立的部分，每一部分都有自己的“虚拟”硬盘； 网络安全隔离卡设置在PC最低层的物理部件上，卡的一边通过IDE总线连接主板，另一边连接IDE硬盘。PC机的硬盘被分割成两个物理区： 安全区，只与内部网络连接； 公共区，只与外部网络连接。 网络安全隔离卡就像一个分接开关，任何时刻计算机只能与一个数据分区以及相应的网络连通。计算机因此被分为安全模式和公共模式，并且某一时刻只可以在一个模式下工作。两个模式转换时，所有的临时数据都会被彻底删除。 内部网络 连接外部网络 安全区 公共区 S P 网络安全隔离卡 网络安全隔离卡的工作方式 在安全状态时，主机只能使用硬盘的安全区与内部网连接，此时外部网是断开的，硬盘的公共区也是封闭的； 在公共状态时，主机只能使用硬盘的公共区与外网连接，此时与内网是断开的，且硬盘的安全区是封闭的。 内部网络 连接外部网络 安全区 公共区 S P 网络安全隔离卡 网络安全隔离卡的工作方式 两个状态各有自己独立的操作系统，并分别导入，保证两个硬盘不会同时被激活。两个分区不可以直接交换数据，但是可以通过专门设置的中间功能区进行，或通过设置的安全通道使数据由公共区向安全区转移（不可逆向）。 内部网络 连接外部网络 安全区 公共区 S P 网络安全隔离卡 网络安全隔离卡的工作方式 网络安全集线器是一种多路开关切换设备。它与网络安全隔离卡配合使用，并通过对网络安全隔离卡上发出的特殊信号的检测，识别出所连接的计算机，自动将其网线切换到相应网络的HUB上，从而实现多台独立的安全计算机与内、外两个网络的安全连接与自动切换。 内网HUB 外网HUB 隔离集线器 网络安全 隔 离 卡 安全区 公共区 控制信号 网络安全集线器的工作原理 单主板隔离计算机技术的核心是双硬盘技术，它将内外网转换功能做入BIOS中，并将插槽也分为内网和外网。使用方便，也安全，价格介于双主机与隔离卡之间。 这种安全计算机是在较低层的BIOS上开发的。BIOS提供信息发送和输出设备的控制，并在PC主板上形成两个各自独立的由网卡和硬盘构成的网络接入和信息存储环境，并只能在相应的网络环境下才能工作，不可能在一种环境下使用另一种环境下才能使用的设备，包括： 对软驱、光驱提供功能限制，在系统引导时不允许驱动器中有移动存储介质。双网计算机提供软驱关闭/禁用控制。 提供双端口设备（打印机接口/并行接口、串行接口、USB接口、MIDI接口等）限制。对于BIOS则由防写跳线防止病毒、非法刷新、破坏等。 1.双硬盘隔离方案 双硬盘隔离方案的客户端安装有两块硬盘，当用户登录内网时，内网硬盘有效，外网硬盘无效；用户登录外网时，外网硬盘有效，内网硬盘无效。 外网 内网 安全隔离网闸是一种由带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备，由软件和硬件组成。网闸用于自动处理两个物理上隔离的网络之间的数据安全交换问题。 内部网络 内部交换机 安全隔离网闸 内部 服务器 转发 服务器 当网闸和外网连接时，与内网的连接断开，需要向内网传送的来自外网的数据被传送到转发服务器中，在转发服务器内进行信息过滤，然后网闸断开外网，与内网连接，将存储在转发服务器中的外网数据传送到内网服务器中。同时内网中需要向外网发送的数据被传送到转发服务器中，然后网闸断开内网，与外网连接，存储在转发服务器上的内网传送数据被传到外网服务器上。 内