文档介绍:内、外网隔离调研报告及隔离技术与方案自2011年10月网络改造以来,我集团网络基本运行平■稳,鉴丁前期网络架构及其他因素致使内、外网并网运行,为集团计算机数据安全埋下隐患。此次调研本着节约成本为前提,数据安全为原则,适用为向导,并能充分利用网络拓扑资源,特拟写此方案。截止8月中旬,集团在册登记外网连接(不包含服务器)数量共计 159台,其中77台通过内、外网并网方式连接,剩余82台为ADSL方式连接。下述两种技术与两种方式,除使用ADSL方式外,其余三种使用其中任何一种都可实现集团所有ADSL用户都可改变外网上网方式,每年可节省ADSL±网费用大约5万元,且该费用还在逐年上涨。四种方式当中个人趋向丁网闸的应用。内、外网实现隔离的两种技术与两种方式:技术一、网闸( GAR全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。技术二、物理隔离卡,在每台电脑中通过主板插槽安装物理隔离卡,把一台普通计算机分成两台虚拟计算机,实现物理隔离。方式一:从布线的角度讲就是完全的物理隔离,内网与外网分别自成系统。方式二:独立的 ADSL±网。一、安全隔离网闸1、 网闸的工作原理切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。2、 网闸的特点对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。、物理隔离卡1、 物理隔离卡技术在一台电脑上增加一个硬盘,通过控制硬盘及切换网线,在内、外网的环境中使一个硬盘仅对应一个网络有效,其网络物理连线上是完全分离的且不存在公用存储信息,从而实现单机在两个网络之间真正的物理隔离,单台电脑低成本实现了传统两台电脑才能实现的网络物理隔离的信息安全功能, 一机两用,极大地提高了计算机系统的资源利用率。2、 双硬盘物理隔离卡工作原理是在现有的计算机中增加一个硬盘,通过隔离卡上的控制和开关电路,实现工作站在内、外网双重工作状态,两个状态是完全物理隔离。当一个硬盘工作时,另一个硬盘处于断电不工作状态。内网硬盘工作时,只有内网网线接入;外网硬盘工作时,只有外网网线接入。这样,内网数据与外网数据不存在电气通道,相互完全物理隔离。 使用时,开机前通过一个选择开关,选定进入的”或夕卜”工作方式,开机后,将相应启动内”或夕卜”硬盘,并接入对应的内”或外”网线。使用中需要切换内”或外”工作方式时,则应正常退出关闭电源,再行选定选择开关,重新开机。3、 单硬盘物理隔离卡工作原理是通过对单个硬盘上磁道的读写控制技术, 在一个硬盘上分隔出两个工作区问,这两个区间无法互相访问。它以物理方式将一台电脑虚拟为两部电脑,实现工作站的双重状态,既可在安全状态,乂可在公共状态,且两种状态是完全隔离的,从而使一部工作站可在完全安全状态下连接内、 外网。安全隔离卡被设置在PC的