网络隔离什么是网络的物理隔离

网络隔离技术的发展历程

网络隔离，英文名为Network Isolation,主要是指把两个或两个以上可路由的网络（如：TCP/IP）通过不可路由的协议（如：IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。

由于其原理主要是采用了不同的协议所以通常也叫协议隔离（ProtocolIsolation）.1997年，信息安全专家Mark Joseph Edwards在他编写的一书中，就对协议隔离进行了归类。

在书中他明确地指出了协议隔离和防火墙不属于同类产品。

隔离概念是在为了保护高安全度网络环境的情况下产生的；隔离产品的大量出现，也是经历了五代隔离技术不断的实践和理论相结合后得来的。

第一代隔离技术——完全的隔离。

此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。

第二代隔离技术——硬件卡隔离。

在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。

而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。

但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。

第三代隔离技术—数据转播隔离。

利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。

第四代隔离技术—空气开关隔离。

它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。

第五代隔离技术—安全通道隔离。

此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。

什么是双网隔离

隔离可以使一台计算机存在于两或多个网络环境中,并不产生任何物理连接,和数据交换.就是在一台计算机上安装多硬盘,并通过隔离卡进行硬盘的切换,每个硬盘对应一个网络环境. 一般是用来防止内部网络的数据流失到公共网络上的.

什么是网络的物理隔离

什么是网络的物理隔离 所谓“物理隔离”是指内部网不直接或间接地连接公共网。

物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。

只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。

此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

如何实现物理隔离 网络隔离技术目前有如下两种技术： 1．单主板安全隔离计算机：其核心技术是双硬盘技术，将内外网络转换功能做入BIOS中，并将插槽也分为内网和外网，使用更方便，也更安全，价格界乎于双主机和隔离卡之间。

2．隔离卡技术：其核心技术是双硬盘技术，启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，使两个网络和硬盘物理隔离，它不仅用于两个网络物理隔离的情况，也可用于个人资料要保密又要上互联网的个人计算机的情况。

其优点是价格低，但使用稍麻烦，因为转换内外网要关机和重新开机。

单主板安全隔离计算机 单主板安全隔离计算机是采用彻底实现内外网物理隔离的个人电脑，这种安全电脑的成本仅仅增加了25%左右，并且由于这种安全电脑是在较低层的BIOS上开发的，处理器、主板、外设的升级不会给电脑带来什么“不兼容”的影响。

它很好地解决了接入网络后局域网络信息安全、系统安全、操作安全和环境安全等问题，彻底实现了网络物理隔离。

安全电脑在传统PC主板结构上形成了两个物理隔离的网络终端接入环境，分别对应于国际互联网和内部局域网，保证局域网信息不会被互联网上的黑客和病毒破坏。

主板BIOS控制由网卡和硬盘构成的网络接入和信息存储环境各自独立，并只能在相应的网络环境下工作，不可能在一种网络环境下使用另一环境才使用的设备。

BIOS还提供所有涉及信息发送和输出设备的控制，包括： 一、对软驱、光驱提供限制功能。

在系统引导时不允许驱动器中有移动存储介质。

双网计算机提供软驱关闭/禁用功能。

二、对双向端口设备提供限制功能。

双向端口包括打印机接口/并行接口、串行接口、USB接口、MIDI接口，这些接口如果使用不当，也是安全漏洞，需要加强使用管制。

对于BIOS，则由防写跳线防止病毒破坏、非法刷新或破坏以及改变BIOS的控制特性。

目前金长城世恒双网计算机就是采用这种构架的产品。

网络安全隔离卡 网络安全隔离卡的功能是以物理方式将一台PC虚拟为两部电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两种状态是完全隔离的，从而使一部工作站可在完全安全状态下连接内外网。

网络安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线连接主板，另一边连接IDE硬盘，内、外网的连接均须通过网络安全隔离卡，PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。

在安全状态时，主机只能使用硬盘的安全区与内部网连接，而此时外部网（如）连接是断开的，且硬盘的公共区的通道是封闭的；在公共状态时，主机只能使用硬盘的公共区与外部网连接，而此时与内部网是断开的，且硬盘安全区也是被封闭的。

当两种状态转换时，是通过鼠标点击操作系统上的切换键，即进入一个热启动过程。

切换时，系统通过硬件重启信号重新启动，这样，PC内存的所有数据就被消除，两个状态分别是有独立的操作系统，并独立导入，两种硬盘分区不会同时激活。

为了保证安全，两个分区不能直接交换数据，但是用户可以通过一个独特的设计，来安全方便地实现数据交换，即在两个分区以外，网络安全隔离在硬盘上另外设置了一个功能区，该功能区在PC处于不同的状态下转换，即在两种状态下功能区均表现为硬盘的D盘，各个分区可以通过功能区作为一个过渡区来交换数据。

当然根据用户需要，也可创建单向的安全通道，即数据只能从公共区向安全区转移，但不能逆向转移，从而保证安全区的数据安全。

珠海的伟思公司推出的网络安全隔离卡就采用了上述的技术。