本文关于网络隔离技术的方案综述,据
亚洲金融智库2022-08-06日讯:
下是已有隔离技术主要由如下几种类型: (1)双机双网。双机双网隔离技术方案是指通过配置两台计算机来分别联接内网和外网环境,再利用移动存储设备来完成数据交互操作,然而这种技术方案会给后期系统维护带来诸多不便,同时还存在成本上升、占用资源等缺点,而且通常效率也无法达到用户的要求。 (2)双硬盘隔离。双硬盘隔离技术方案的基本思想是通过在原有客户机上添加一块硬盘和隔离卡来实现内网和外网的物理隔离,并通过选择启动内网硬盘或外网硬盘来连接内网或外网网络。由于这种隔离技术方案需要多添加一块硬盘,所以对那些配置要求高的网络而言,就造成了成本浪费,同时频繁的关闭、启动硬盘容易造成硬盘的损坏。 (3)单硬盘隔离。单硬盘隔离技术方案的实现原理是从物理层上将客户端的单个硬盘分割为公共和安全分区,并分别安装两套系统来实现内网和外网的隔离,这样就可具有较好的可扩展性,但是也存在数据是否安全界定困难、不能同时访问内外两个网络等缺陷。 (4)集线器级隔离。集线器级隔离技术方案的一个主要特征在客户端只需使用一条网络线就可以部署内网和外网,然后通过远端切换器来选择连接内外双网,避免了客户端要用两条网络线来连接内外网络。 (5)服务器端隔离。服务器端隔离技术方案的关键内容是在物理上没有数据连通的内外网络下,如何快速分时地处理和传递数据信息,该方案主要是通过采用复杂的软硬件技术手段来在服务器端实现数据信息过滤和传输任务,以达到隔离内外网的目的。
要实现内网隔离同时可以对内网上网进行控制
互访问题可以通过VLAN划分来实现,所以只要三层交换机买的时候问好带VLAN划分功能就可以,价格也不是很高,多数的三层交换机都有这个功能
至于说按时段控制上网,恐怕就需要借助外部软件来实现了,前提是上网是通过代理服务器进行的,那么在S/C模式下,在代理服务器中加装管理软件,对C端进行IP访问INTERNET时间段设置就可以,如果是全天不允许上的,直接把这个IP从地址表里删除就可以了。我记得Wingate,Sysgate都有这个功能,而且可以从网上免费下,使用起来也很简单。但是通过这样的控制弊端在于控制手段是针对IP的,而不是针对具体机器的,换句话说就是如果有人知道的IP控制设置,一台机器换个IP可能就可以突破IP封锁限制,不知道现在的管理软件有没有通过MAC地址来控制的
以上意见为个人意见,仅供参考
两台华为交换机之间怎么做端口隔离,实现他们之间的任何端口都不能通讯?
端口隔离可以实现在同一台交换机上对端口进行逻辑隔离,可以在同一个vlan内实现隔离。端口隔离分为L2层隔离和L3层隔离,其中在L2层的端口隔离中还可以有端口单向隔离技术用于某些特殊场景。
将pc1与pc2的端口加入同一个隔离组就实现了端口的隔离,默认是L2层隔离(无网关SVI接口),L3层隔离需要修改端口隔离模式,在全局模式使用命令:
[Huawei]port-isolate mode ?
all All
l2 L2 only
上面命令修改端口隔离模式,L2或者all(L2+L3全部隔离)
如果只需要实现L2层隔离,配置如下:
interface GigabitEthernet0/0/1
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
port-isolate enable group 1
#
在SVI接口下必须使用三层隔离才能将端口隔离开,就需要使用[Huawei]port-isolate mode all 来修改端口隔离模式为L2+L3层。
扩展资料
端口隔离的方法和应用场景:
配置接口单向隔离:接入同一个设备不同接口的多台主机,若某台主机存在安全隐患,往其他主机发送大量的广播报文,可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。
同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。
配置端口隔离组:
为了实现接口之间的二层隔离,可以将不同的接口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内接口之间的隔离。
用户只需要将接口加入到隔离组中,就可以实现隔离组内接口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
专题推荐:
两个局域网安全隔离传输方案(16)