網絡隔離的 5 種常規手段

網絡隔離的 5 種常規手段如下：

DMZ 區隔離

DMZ（Demilitarized Zone，隔離區）它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。一般來講，企業在內外網間架設兩道防火墻，兩道防火墻中間的區域即為 DMZ 區。內部網絡可以主動訪問 DMZ 區，DMZ 區可以主動訪問外部網絡，這樣就形成了一個中間緩沖區，從而可以達到更高的安全標準。為了讓特定業務跨網，需要使其穿透 DMZ 區，這一般要求在 DMZ 區內部署針對該業務的代理（中轉）設備。

雙網卡主機隔離

在一臺物理主機上安裝兩個網卡，一個連接內部網絡，一個連接外部網絡。這種隔離方式實際上是構造了一個同時能夠連接兩個網絡的特殊設備，一般需要有專人管理。當需要進行跨網文件交換時，發送者將數據傳輸到該主機上，由專人進行文件內容的審查和登記后，再將數據由這臺主機發送到另一個網絡內。

防火墻隔離

在內部網和外部網之間、專用網與公共網之間的邊界上構造的保護屏障。在兩個網絡之間架設防火墻，默認阻斷所有跨網通信。為了讓特定業務跨網，可以在防火墻上配置針對于該業務的特殊規則，使該業務的通信可以穿過防火墻。使用防火墻的好處有：保護脆弱的服務，控制對系統的訪問，集中地安全管理，增強保密性，記錄和統計網絡利用數據以及非法使用數據情況。

虛擬機隔離

如果企業已經實施了云桌面虛擬化平臺，可以在虛擬化平臺內構造兩個虛擬子網（比如一個辦公虛擬子網，一個研發虛擬子網），兩個虛擬子網子網間不連通。企業可以為每個有需求的員工分配兩個虛擬桌面，分別連接兩個虛擬子網，通過這種方式來實現虛擬桌面的隔離。虛擬機隔離技術是一項很好的策略，能夠有效防止病毒蔓延到整個云環境。

網閘 / 光閘隔離

網閘 / 光閘是專用的網絡隔離設備，其隔離安全性最高，基本原理是阻斷網絡通信協議，在內部采用私有通信協議，同一時間只連接一個網絡，輪流連接兩個網絡進行數據擺渡。

回答所涉及的環境：聯想天逸510S、Windows 10。