2024年6月10日发(作者:)
浅析内外网隔离方案
。王明刚赵军国家广电总局916台
C
较小的办公室,不仅存在空间问题.而且还会浪费较多的
摘要:本文主要介绍了双网隔离的解决方案,主要隔
离方案有:双网双布线双电脑隔离模式;双网双布线
硬盘隔离卡隔离模式双网单布线隔离交换机隔离模
式;双网双布线网络主机隔离模式;双网单布线一分
二隔离模式。针对上述方案,就隔离的效果、优点等
进行分析,探讨。
关键词:内网外网双网安全隔离
资源。
2双网双布线硬盘隔离卡隔离模式
双网双布线硬盘隔离卡隔离模式就是在一台电脑上安
装一块硬盘隔离卡和两块硬盘.通过双硬盘隔离卡将两
个硬盘隔离,保证每块硬盘上的数据不会进入到另外一
块硬盘上.从物理上将两块硬盘隔离.保证了内网和外网
的安全。若有一块硬盘出现故障.不会影响到另外一块硬
盘的正常工作。现在方正推出了一款电脑.通过主板将内
随着信息化技术的发展,网络技术得到了广泛的应
用。网络基础建设已成为网络技术安全维护的重点和难
点;现在许多机关都有自己的内网.是以办公自动化,在
线教育、内部运行管理系统等应用提供的基础网络环境。
极大的提高了办公效率.实现信息的实时传输,是内部信
息传输及共享的专用网络。外网即Internet.主要应用于
存隔离.通过硬盘隔离卡将硬盘和网络完全隔离.保证系
统的稳定安全运行。
这种方案适合大中型机关的局域网布局.某机关内的
网络分为内部涉密网和公共网.其中公共网(即Internet)
通过网络提供商提供的集中出口连接Internet(视需要也
要安装防火墙.入侵检测及防病毒等措施).部分计算机
视需要能够接入该网络。还有一些机关的网络由于内部
功能的划分.本身就有几个分离的网络.采用硬盘隔离卡
方案能更好地把这些网络整合在一起,变为一个全范围
Intemet
对外界信息资料的了解及学习.查找相关的技术资料的
有效途径,这样就形成了两个网络。双网(内外网)共存.
为了预防内网保密资料的泄密和保证内外网络系统的安
全运行.同时也带来了新的问题——双网隔离。
针对双网隔离问题,通过学习和查找相关资料.归纳
出以下几种解决方案:双网双布线双电脑隔离模式.双网
双布线硬盘隔离卡隔离模式、双网单布线隔离交换机隔
离模式,双网双布线网络主机隔离模式。双网单布线一分
二隔离模式。各种方案都有自己的优缺点.以下将对各种
方案进行分析、探讨。
1双网双布线双电脑隔离模式
双网双布线双电脑隔离模式也就是两个网络分别通过
独立布线接入两台电脑的模式.这种模式只要做到综合
布线完全独立分开.双网分别使用独立的机柜和独立的
接入交换机.完全实现纯物理隔离。能够安全方便的在内
外网上查找所需的资料.具体连线图如图1所示。
这种方案完全可以解决双网物理隔离问题,但对一个
内网
图1双网双布线双电脑隔离模式
万方数据
(3)转换自如:用户可根据需要在任何时
间任何系统中方便自如地进行内部网和外部
网之间的转换。
(4)两种切换方式:硬切(按钮切换)和
软切(软件切换)。
(5)应用广泛:不依赖于操作系统,可以
应用于所有使用IDE—ATA硬盘的电脑系统。
可以适用于局域网,拔号上网,ISDN.宽带等
不同的网络环境。
(6)对网络技术.协议完全透明。
(7)安装方便.操作简单,不需要用户进
豳2双网双布线硬盘隔卡隔离模式
行专门的维护。
这种方案可以很好的解决办公室空间问
题,还能很好的解决各种资源的充分利用.达
到一种完美的隔离效果。
3双网单布线隔离交换机隔离模式
双网单布线隔离交换机隔离模式就是两个
网络通过隔离交换机将内.外网分开.然后通
过一根线传输到连接电脑,即桌面电脑同一
时间只能连接到一个网络。此种方案需要配
合安装了硬盘隔离卡的电脑使用,才可以满
足单布线的要求.即如果用户因某种原因无
豳3双嗣草布线鞴离交换机隔离模式
,法使用双网双布线时.可采用此方案。此方案
的连接图如图3所示。
在安装了网络安全隔离卡的电脑上,实际上存在着内
网与外网两种状态,当电脑通过网络安全隔离交换机连
接内外网时.若电脑需要连接外网时.通过硬盘隔离卡上
的网卡提供的信号连接到隔离交换机的外网接口只能连
接到外部网,若电脑需要连接内网时.通过硬盘隔离卡上
的网卡提供的信号连接到隔离交换机的内网接口只能连
接到内部网。网络安全隔离交换机对以太网信号的减弱
可以忽略不计(与电缆的长度相l:ls/b于30cm)。连接于现
有交换机开关与LAN之间的网络电缆通过网络安全隔离
交换机与数据安全保护器(控制以太网/快速以太网)进
行排线。在网线(TX与RX对)增加一个”超带”DC(直
流)电压信号,能够可靠地控制两个不同网络间的转换。
公共网加上几个内部安全子网的多网互动的有效网络格
局。还能很好的完成一台电脑既上内网又上外网的安全
布局。这种方案的连接图如图2所示。
隔离卡的特点:
(1)内外网绝对隔离:双硬盘网络隔离卡,隔离内存。
(2)完全控钒双硬盘网络隔离卡通过硬件对硬盘数
据通道和网络接口的直接控制,实现内网操作系统.应用
软件及对应的网络接口与外网操作系统.应用软件及对
应的网络接口隔离。以物理方式将一台电脑虚拟为两部
电脑.实现工作站的双重状态.既可在安全状态(内网).
又可在公共状态《外网),两种状态是完全隔离的.从而
使一部电脑可在完全隔离状态下连接内外网。网络安全
隔离卡实际是被设置在电脑中最低的物理层上.通过卡
上中间的IDE总线连接主板.两边分别连接相应的IDE硬
盘,内.外网的连接均须通过硬盘安全隔离卡.电脑将两
块硬盘物理分隔成为两个区域,在IDE总线物理层上.在
硬件中控制磁盘通道.在内存中将物理地址分区使用.在
任何时候.数据只能通往一个系统。
信号的极性可以测定哪一个网络通过网络安全隔离交换
机与电脑连接。网络安全隔离交换机与数据安全保护器
抹去DC元素,并用清晰.标准的IEEE802.3信号将网络
端口呈现在”背面”。所有以太网参数同样适用于快速以
太网。网络隔离交换机的工作原理如图4所示。
万方数据
键盘和鼠标连接到网络主
机,实现一拖32台网络主机
上网的模式。这样就可以实
现双网双布线网络主机隔离
模式。
网络主机的工作原理:
现在服务器变得如此强大.
特别是系统的可利用资源。
图4安全隔离交换机工作原理
为了更分地利用这种技术资
源.每个网络主机可有效的访问服务器。每一个网络主
机都可做为独立的电脑终端运行而不会影响到其它的终
端及整体运行.为每一个用户创造了独立和安全的使用
环境。
根据网络主机的使用数量的最大配置.即连接32台
电脑时,服务器的配置需求:主机的CPU要求4个四核
2.0G以上CPU主机内存要求4G以上.主机硬盘使用SCSI
硬盘,操作系统要求w
ndOw
s
2000S
ERVER或者
Windows2003Server,但是不支持网上电影和网络游戏。
图5网络主机连接图
能够满足于网上办公,网上聊天.网上视频等正常使用。
此种方案的网络主机连接图如图5所示。
如果没有检测到DC电流.两个网络都会被全部切断,
这样减小了安全区工作站被错误地连接到未分类网络的
风险。
这种网络安全隔离交换机与数据安全保护器的设置允
许用户顺利地进行内外网络切换工作.避免了向桌面铺
设新电缆的问题.所有的附属设施被连接在通信机箱与
后面的中枢上。此外.数据安全隔离交换机操作是全透明
的,无需维修.且对以太网/快速以太网的标准通信没有
任何影响。
那些对安全要求高的机关一方面寻求向他们的用户提
这种方案适合用于正常办公.但又不影响查找相关的
资料.能够较全面的解决现实办公自动化而充分利用现
有资源,有效地解决了资金不足和办公室狭小等问题带
来上网困难的问题。
5双网单布线一分二隔离模式
双网单布线一分二隔离模式也就是将一根网线的8芯
线分成两组,每组4芯线来使用,分别接入内外网实现双
网隔离的模式。因为现在大多数使用的是超5类网络线,
一根网线内有8芯.每二芯线互绕合在一起.现有网络中
只用到网线中的4芯线.所以可将一根网线分成两组分别
接入内外网来使用,达到隔离的模式。此种方案虽然可以
解决能双网上网.又可以充分利用资源.但是由于应用的
供Internet连接,另一方面保证内部数据的安全。这样的
话.这些机构只需在桌面工作站内安装数据安全保护器,
然后添加普通的商业Internet访问解决方案即可。
这种方案可以更好的解决由于综合布线带来的一些难
题,同时可以充分利用现有资源,解决桌面双网办公问
题,能够很好的解决隔离。
是同一根网线.双网会出现相互干扰的现象。建议不采用
此种方案来解决双网隔离的模式。
6小结
本文中提到的五种解决方案.只是一些典型的例子.
有些能够解决现存的双网隔离问题.但会带来其它的影
响.有些虽然可以解决双网上网问题,但隔离上还存在缺
陷.五种方案也可以结合起来使用。由于我们水平有限,
4双网双布线网络主机隔离模式
双网双布线网络主机隔离模式就是其中一个网络通
过一条布线连接到电脑.进行网络工作的模式.另一个
网络通过在服务器上安装网络主机软件.将网络主机通
过综合布线连接到交换机,然后再将办公桌上的显示器、
论述和分析的不够深刻,有不足之处.尽请批评指正。衄
万方数据
浅析内外网隔离方案
作者:
作者单位:
刊名:
英文刊名:
年,卷(期):
引用次数:
王明刚, 赵军, Wang Minggang, Zhao Jun
国家广电总局916台
广播与电视技术
RADIO & TV BROADCAST ENGINEERING
2009,36(4)
0次
1.期刊论文
汤彬.刘玲.周蓉生.TANG Rongsheng
内网和外网间的同名IP地址转换技术及应用
-计算机工程2006,32(7)
介绍了内网和外网之间的IP地址转换技术(即NAT技术),探讨了利用Cisco公司PIX(私有Internet交换)防火墙实现内网和外网(Internet)隔离的技术
特点,并提出了同名IP地址转换技术(即同名NAT技术)的新概念.通过在PIX防火墙的内网和外网之间实现同名NAT技术与内网路由策略,将比PIX防火墙的停
火区技术(DMZ技术)具有更多的优点和更广的应用范围.
2.期刊论文
叶向东
浅谈内网电脑不能访问外网的解决办法
-科技信息2009(31)
我们在平时的网络管理工作中,经常会遇到局域网网内电脑不能访问外网(即不能上互联网)的问题,这样的问题有时会让网络管理员倍感压力巨大.本
文以本人的实际学校网络管理工作的基础,分析局域网网内电脑不能访问外网的原因,并且总结出一些具体的解决办法.
3.期刊论文
黄倩春.陈月峰.HUANG Yue-feng
内网与外网安全的防御策略
-信息技术2007,31(11)
网络在给我们带来巨大便利的同时,也可能会因网络病毒的传播和黑客的攻击而造成损失大、破坏性强的网络危害,所以网络时刻处于危险之中,网络
安全问题的解决不容忽视.主要从设备本身的安全性能、内网的分布式安全防护、外网的安全防护、网络管理等方面论述了网络安全防御策略.
4.期刊论文
刘洪霞
一次灰鸽子内网入侵实例解析
-电脑知识与技术2009,5(33)
灰鸽子是一款优秀的远程控制软件.我们通过灰鸽子就可以生成一个木马程序,将此木马程序发送到远程计算机,一旦对方运行该文件就可以实现对它
的远程控制.该文就详细介绍灰鸽子是如何实现远程控制的.
5.期刊论文
练振兴.LIAN Zhen-xing
NAT技术在实现外网主机访问内网服务器中的应用
-电脑知识与技术
2009,5(9)
本文介绍了NAT技术的基本原理.并通过NAT技术在内外网访问的具体实例,探索了NAT技术在实现外网主机访问内网服务器中的应用意义.
6.期刊论文
郭西平.张先俊
建设坚强信息网络支撑设计院产业技术升级
-计算机安全2009(10)
对设计院信息内、外网的拓扑结构、功能、备份等进行了说明,并简述了信息内、外网之间的逻辑关系.信息网络的正常运行,为设计院实现产业升级
,再上新台阶提供了可靠的保障和支撑.
7.期刊论文
郭理豪.陈新
外网全透明访问内网技术剖析
-沿海企业与科技2006(4)
文章在综合各种内网访问技术的基础上,阐述了一种通过内网PC连接外网主机,达到公网PC全透明访问内网全部资源的的方法.人们通过这种方法,甚
至坐在家里也可以访问原本只能在内网内才能浏览的数字图书、视频等资源.
8.期刊论文
段翰聪.卢显良.宋杰.DUAN Jie
面向连接的P2P即时通信中继策略研究
-计算机科学2005,32(6)
P2P即时通信模型要求所有对等节点都能进行双向通信,但网络安全技术方案的实施,使得整个P2P通信域有了内网和外网的区分,并且外网节点不能向
内网主动发起连接,故P2P双向通信受到限制.本文分析并设计了一种高效的通信机制一小服务器节点(Small Service Peer)避免由第三方的通信中继服务
所导致的延时.提出了内网中继判定算法,以优化处于同一内网节点之间通信的性能.试验表明,采用本文提出小服务器对等节点的通信机制和内网中继判
定算法,在不改变下层网络结构和配置的条件下,可以显著降低P2P应用系统对中继服务器的依赖,并提高即时通信系统实时性.
9.期刊论文
胡敏.王晓琳.HU Xiao-lin
基于政务网的数字档案馆内外网隔离研究
-常熟理工学院学报
2009,23(9)
在阐述了政务网和数字档案馆网络关系及数字档案馆网络风险的基础上,提出采用物理隔离网闸对数字档案馆内外网进行物理隔离,从而保护数字档
案信息安全的建议.此方案的优点是从物理上阻断具有潜在攻击可能的一切连接,防止黑客攻击和病毒侵扰,实现真正的安全保护;缺点是数据控制方面功
能还很弱,还没有能对格式文件进行格式比对的功能.
10.期刊论文
冯敏.向洁
内网宽带用户建站指南
-自贡师范高等专科学校学报2003,18(4)
内网宽带用户在建FTP、 Web站点时,由于常常没有在网关进行端口映射的权限,而无法建站,本文主要针对这种情况提出详细解决方案.
本文链接:/Periodical_
下载时间:2010年4月9日
发布评论