网络隔离技术

网络隔离：把两个或者两个以上可路由的网络（如：TCP/IP） 通过不可路由的协议（如：IPX/SPX、NetBEUI等） 进行数据交换 而达到隔离目的。主要原理是使用了不同的协议，故也叫协议隔离。 网络隔离主要目的：将有害的网络安全威胁隔离开，以保障数据信息在可信网络内进行安全交互。 一般的网络隔离技术都是以访问控制思想为策略，物理隔离为基础，并定义相关约束和规则来保障网络的安全强度。 网络隔离技术分类 物理隔离 物理隔离：两个网络物理上互不连接。 物理隔离需要做两套或者几套网络，一般分为内外、外网。客户端需要安装隔离卡，隔离卡有两种，数据隔离和电源隔离。 数据隔离：硬盘电源接口接主板电源，数据接口接隔离卡。 电源隔离：硬盘电源接口接隔离卡，数据接口接主板电源。 逻辑隔离 逻辑隔离：一般两套或者几套网络共用一套网络设备，在网络设备上做配置，各个网络不能互相访问。这种隔离技术非常不安全，容易泄漏数据。 逻辑隔离主要技术 虚拟局域网VLAN 工作在第二层。支持VLAN的交换机可以借由使用VLAN标签的方式将预定义的端口保留在各自的广播区域中，从而建立多重的逻辑分隔网络。 虚拟路由和转发 工作在第三层。允许多个路由表同时共存在同一个路由器上，用一台设备实现网络的分区。 多协议标签转换（MPLS） 工作在第三层，使用标签而不是保存在路由表里的网络地址来转发数据包

版权声明：可以任意转载，转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) 容器 namespace技术用来进行做进程间的隔离，linux namespace包括：mount namespace, uts namespace, ipc namespace, pid namespace, network namespace, user namespace六种，用于将mount点、UTS(hostname, domain name)、IPC资源、进程、网络、用户等六种资源做到进程级别的隔离。容器作为一个普通的进程，使用namespace技术作隔离。 pivot_root根文件系统切换。mount –bind /etc /tmp/test/etc方式允许从任何其他位置访问任何文件或目录，但是其他用户仍然能看到这些mount点，而mount namespace可以做到mount点在各个进程之间隔离。尽管如此，目前没有对文件/目录做进程间隔离的namespace，所以有必要制作根文件系统再采用pivot_root命令在容器内替换为这个根文件系统（注：chroot只是在指定的根文件系统下运行命令）。 cgroups技术用来做资源限制，这些资源包括CPU、内存、存储、网络等。

基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。 VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过 VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标 vlan隔离分类 1：同一设备同一用户 实现方式：端口隔离 2：部分VLAN间互通，VLAN间隔离，vlan间内用户隔离 实现方式：mux vlan 3：vlan间三层通信，需要禁止部分用户互访 实现方式：流策略 1端口隔离范例： 配置命令： vlan 10 # interface GigabitEthernet0/0/1 port link-type access port default vlan 10

现今，在黑客病毒技术的强大威胁之下，出于商业、政策信息的安全考虑，不少政府机关、军事单位、金融保险、高新技术企业以及一些大型集团都开始根据信息重要性，做重要资料的分级管理。比如，对不同岗位的员工限止上网，限止对外传播文献资料等。其中，邮件系统作为企业办公最为核心的信息流通工具，则可采用内外网隔离部署来实现机密信息的安全管制。下面小编就以U-Mail 邮件系统 为例，为大家详细分解内外网隔离邮件系统的工作原理及优势。 1、硬件需求 因采用的是内外网网闸隔离组建，所以至少需要一台终端服务器搭建在内网和外网。这是最基本的硬件要求，至于具体的硬件配置，各企业可按需选择。 2、搭建示意图 从下图可知，U-Mail邮件系统在内网和外网分别进行了部署，对应使用，互不干涉。两个网络之间以网闸隔离，网络攻击只能前进到外部网关，无法越过网闸入侵到内部网络系统。一旦外部邮件系统因病毒等原因产生故障，及时关闭网闸，内部邮件系统照常运行，不受干扰，内网存储的各类信息数据也可保证零丢失。 选用U-Mail内外网邮件系统隔离部署方案后，企业的信息安全优势主要体现在以下几大方面： 1）邮箱账户访问限制，邮件系统互不干扰 因为这是由两套邮件系统搭建在不同的网络中，根据邮箱用户涉及到的信息安全等级来分配使用。内外网隔离的邮件系统用户互不干扰，互不相通。既能满足不同人群对企业邮箱的业务需要

1.Vlan作用 隔离广播域 ：防止网络中的广播包过多，导致网络拥塞，同时也是为了提高网络带宽的利用率。 实现故障隔离 ：减小网络故障带来的影响，缩小范围后也方便故障的定位和排除。 增强安全性 ：不同Vlan间的数据通信只能通过三层设备进行，在三层设备上采取安全措施可以防止病毒在局域网内大范围扩散。 2.Vlan的划分方式 可以基于 交换机端口 的（最常用），基于 协议 的，基于 IP 地址的，基于 MAC 地址的。 3.802.1q帧结构 4.交换机端口分类 Access 类型的端口只能属于1个VLAN，一般用于连接计算机的端口。 Trunk 类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口。 Hybrid 类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。 Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时 ： Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签 。 端口的缺省VLAN的概念：Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置； 　　Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN

随着网络技术和因特网技术的成熟和高速发展，电子邮件已逐渐成为最受网民青睐的一种交流方式，越来越多的企事业单位开始组建属于自己的邮件服务器。同时，为了保证邮件数据的安全性，杜绝外网病毒的攻击，很多企业都会加用防火墙。但大家都知道，防火墙不是万能的，黑客可多种手段绕过防火墙的阻挡，侵入内网窃取数据或破坏数据，以致损失惨重。针对要求高安全性的客户，就可以考虑使用内外网物理隔离的方案来组建邮件系统。 1. 适用对象 1) 要求高安全性。内部服务器与外部环境实行隔离，在外部服务器被攻击或者出现任何因人为 / 自然灾害等因素导致外部网关服务器失效时，都不会损害或影响内部用户的各种数据信息，保证零数据丢失。 2) 对内网实行控制。对内网各个用户的访问网络权实行严格控制。 3) 内网已有邮件服务器。有些企业本身已经搭建有邮件系统，例如 Exchange 等等。 Exchange 最大的好处是集成了 Outlook 客户端，但众所周知， Exchange 在邮件管理方面功能不强，例如没有邮件审核、邮件归档、短信接口等等个性化的设置，而且一旦给病毒攻击，邮件服务器一崩溃，将会极大的影响企业运作。虽然有很多弊端，但企业又不想再换已经熟悉的邮件系统，这时候，这类企业可以考虑在外网上组建一个邮件网关系统，既可以实现对邮件管理，保护内网安全，又不影响 Exchange 的使用。 2. 组建内外网邮件系统 1

1、MUX VLAN 1.1、为什么会有MUX VLAN？应用场景？ 应用场景？ 企业外来访客、企业员工都能够访问企业服务器。 企业员工部门内部可以通信，而企业员工部门之间不能通信。 企业外来访客间不能通信、外来访客和企业员工之间不能互访。 为什么需要有MUX VLAN技术 对于企业来说，希望企业内部员工之间可以互相访问，而企业外来访客之间是隔离的，可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工，此时不但需要耗费大量的VLAN ID，还增加了网络维护的难度 总结： MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的 1.2、MUX VLAN的实现原理 MUX VLAN的划分：  主VLAN（Principal VLAN）：可以与MUX VLAN内的所有VLAN进行通信。  隔离型从VLAN（Separate VLAN）：和其他类型的VLAN完全隔离，Separate VLAN内部也完全隔离。 注意点： 1、 MUX VLAN技术中只能将一个VLAN设置为Separate VLAN，所以可以将外来访客划分到Separate VLAN  互通型从VLAN（Group VLAN）：可以和Principal VLAN进行通信，在同一Group VLAN内的用户也可互相通信，但不能和其他Group