引言：在網絡安全要求越來越高的今天，網絡隔離技術憑借既能隔離非法攻擊，又能安全交換數據等優(yōu)勢，深受各級網絡管理人員的推崇。為了讓網絡隔離功能大顯“身手”，本文就對不同隔離方式進行詳細介紹，希望大家能從中受到啟發(fā)。

在網絡安全要求越來越高的今天，網絡隔離技術憑借既能隔離非法攻擊，又能安全交換數據等優(yōu)勢，深受各級網絡管理人員的推崇。網絡隔離方式有很多，不同隔離方式適用于不同網絡環(huán)境。為了讓網絡隔離功能大顯“身手”，本文就對不同隔離方式進行詳細介紹，希望大家能從中受到啟發(fā)。

認識網絡隔離

網絡隔離技術是指多個計算機或網絡在通信連接斷開的基礎上，達到信息共享或數據交換目的，換句話說，使用網絡隔離功能讓不同網絡在物理隔離的基礎上，實現安全交換數據的目的。正常來說網絡隔離功能以物理隔離為基礎，以訪問控制為策略，通過制定相關規(guī)則來確保網絡數據交換的安全。

截至目前，網絡隔離技術已經經歷了五代隔離技術，第一代隔離技術屬于完全的隔離，這種隔離技術雖然安全性高，但是會給日常的網絡運維帶來不小的麻煩；第二代隔離技術是通過硬件卡實現的，這種方式實現要求比較高，也存在不小的安全隱患；第三代隔離技術通過數據轉播方式實現的，但這種方式需要手工完成，不僅明顯地減緩了數據交換速度，更不支持常見的網絡應用；第四代隔離技術通過使用單刀雙擲開關來進行數據交換的，但在性能和安全方面也有明顯不足；第五代隔離技術借助專業(yè)硬件和特殊安全協(xié)議等，實現不同網絡的隔離與數據交換，這種方式透明支持多種網絡應用，成為當前應用頻率很高的一種隔離技術。

當前的網絡隔離技術基本工作原理還是很簡單的，主要通過一些安全機制在不同網絡之間架構起安全隔離網墻，使不同網絡中的應用系統(tǒng)在空間上處于物理隔離狀態(tài)，同時又能對數據交換過程中的非法代碼內容進行過濾，確保合法數據內容在安全、可信狀態(tài)下進行共享訪問和交換傳輸，并在完善的身份認證機制下達到用戶按需訪問的目的。

現在的網絡隔離技術按隔離方式來分可以包括物理網絡隔離、邏輯網絡隔離、虛擬局域網、虛擬路由和轉發(fā)、多協(xié)議標簽交換以及虛擬交換機等類型，其中物理網絡隔離需要通過不少物理設備來將網絡分隔成多個部分，這種類型雖然很安全但非常昂貴，邏輯網絡隔離通過虛擬/邏輯設備，不需要物理設備就能隔離不同網段的訪問，它的安全性沒有物理隔離高。在交換機支持VLAN的場合下，可以采取虛擬局域網隔離的方式，通過使用VLAN標簽將事先指定的交換端口保留在各自廣播區(qū)域中，從而實現邏輯隔離網絡目的。虛擬路由和轉發(fā)類型允許若干路由表同時共存在相同的一臺路由器設備中，它通過一臺路由器實現網絡的隔離目的。虛擬交換機的作用與物理交換機基本相同，都是用來轉發(fā)數據包，從而實現不同網絡之間數據傳輸的隔離，且不需要過多單獨的硬件投入。

巧用防火墻隔離

在實際工作中，一些網絡隔離的需求屬于應急措施，在這種情形下，很多網絡管理員都會選用防火墻程序進行軟式網絡隔離，畢竟這種隔離措施不需要額外的投入，節(jié)省了開支。

例如，某單位網絡通過共享ADSL方式上網，所有上網終端與ADSL設備都連接到一臺48口交換機中，它們都位于同一個工作子網中，該子網使用32.177.0.2——32.177.0.254網段地址，網關使用32.177.0.1地址?，F在單位新增加了四臺上網終端，要求在不投入硬件的情況下，既要讓新增的上網終端共享ADSL上網，又要與原來的終端計算機保持隔離，還要讓它們之間相互可以正常訪問。

圖1 屬性對話框

為了實現上述訪問的要求，網絡管理員找來一款處于閑置狀態(tài)的8口小交換機，將其連接到48口交換機，那些新增添的幾臺終端全部連到小交換機上，最后通過終端系統(tǒng)內置的防火墻，達到軟式網絡隔離目的，不讓單位網絡中的其他上網終端訪問新終端系統(tǒng)。在將新終端接入單位網絡后，打開“網絡連接列表”窗口，選中“本地連接”圖標，從其右鍵菜單中單擊“屬性”命令，切換到“本地連接屬性”設置框。勾選“Internet協(xié)議（TCP/IP）”選項，選擇“屬性”按鈕，彈出“TCP/IP協(xié)議屬性”對話框。選中如圖1所示界面中的“使用下面的IP地址”選項，將IP地址設置范圍為32.177.0.2—32.177.0.254，網 絡 掩 碼輸 入 為255.255.255.0，默認網關地址調整為32.177.0.1，同時輸入好合適的首選DNS服務器地址，單擊“確定”按鈕保存設置操作，再重啟Windows系統(tǒng)，這樣新終端系統(tǒng)就能通過共享ADSL方式上網訪問了。

按照相同的操作步驟，配置好其他幾臺上網終端系統(tǒng)的網絡參數，讓它們都能正常上網。此時，新終端系統(tǒng)與其他終端系統(tǒng)同處一個子網，它們相互之間可以訪問，要想達到網絡隔離目的，還要啟用并設置終端系統(tǒng)自帶防火墻。在進行這種配置操作時，先逐一單擊“開始”、“設置”、“控制面板”，雙擊系統(tǒng)控制面板窗口中的“Windows防火墻”圖標，展開系統(tǒng)防火墻配置對話框。選擇“常規(guī)”選項卡，勾選界面中的“啟用”選項，來啟動運行防火墻。之后進入“例外”選項設置頁面，勾選“文件和打印共享”復選項，單擊“編輯”按鈕，在其后界面中將“TCP 139”、“TCP 445”、“UDP 137”、“UDP 138”等端口選項都勾選起來，選擇“更改范圍”按鈕，選中“自定義列表”選項，將新添加的幾臺終端計算機IP地址填寫在這里，每個IP地址之間必須用逗號分隔開，并將網絡掩碼地址都設置為 255.255.255.0，例 如可以輸入“32.177.0.128，32.177.0.129，32.177.0.1 30，32.177.0.131/255.255.255.0 ”，確認后保存設置操作。這個時候，單位網絡中的其他終端系統(tǒng)，因為受到防火墻程序的軟式隔離，將不能訪問新添加的終端系統(tǒng)，而開啟了防火墻例外功能的幾臺新添加終端系統(tǒng)是可以互相訪問的，如圖2所示。

巧用端口隔離

所謂端口隔離，就是在上網終端所連交換端口之間有足夠的隔離強度，確保一個上網終端不會接受到另外一個上網終端的數據信息。借助端口隔離措施，網絡管理員可以將需要管控的交換端口添加到隔離組中，達到端口在二層數據上的無法交換的目的；一旦采取了端口隔離措施后，交換端口之間就不會出現組播、廣播、單播現象，病毒木馬等威脅程序也不會輕易地在單位網絡中傳播擴散。

圖2 防火墻設置

圖3 交換端口視圖狀態(tài)

例如，單位的三臺重要計算機依次接入到H3C S3050交換機的 4、5、6端口上，為了保證網絡訪問安全，要求這三臺計算機之間不能相互訪問。要達到這個控制目的，只需要簡單地在它們所連的交換機后臺系統(tǒng)中，將4、5、6這三個交換端口分別配置為隔離端口，這樣在交換機內部形成數據隔離組，在不影響網絡訪問的情況下，將廣播數據包和其他交換端口進行了有效的網絡隔離。在配置隔離端口時，先進入交換機后臺系統(tǒng)，使用“system-view”命令，切換到系統(tǒng)全局視圖模式狀態(tài)；接著執(zhí)行“interface e0/4”字符串命令，進入4交換端口視圖狀態(tài)（如圖3所示），輸入“port isolate”命令將當前交換端口設置為隔離端口。之后依次執(zhí)行“quit”、“interface e0/5”、“port isolate”等命令，將5交換端口也設置為隔離端口。同樣地，將6交換端口設置為隔離端口后，再執(zhí)行字符串命令“display isolate port”，查看端口隔離組中究竟添加了哪些隔離端口，每個隔離端口的狀態(tài)怎么樣。倘若發(fā)現某個交換端口不需要被網絡隔離時，可以進入對應交換端口視圖模式狀態(tài)，然后執(zhí)行字符串命令“undo port isolate”，就能夠取消目標交換端口的網絡隔離功能。

上面的配置操作方法僅適合H3C系列交換機，如果交換機使用的是華為品牌的產品，可以在特定交換端口視圖狀態(tài)下，使用“port-isolate enable” 命令，來啟用對應交換端口的網絡隔離功能。而思科型號的交換機，更是采用了“switchport protected”完全不同的命令，來啟用交換端口的網絡隔離功能，值得注意的是，protected交換端口可以正常訪問非protected交換端口。

巧用路由隔離

對網絡拓撲熟悉的管理員都清楚，在組網過程中路由器的作用相當關鍵，它實現了不同網絡的相互連接。隨著網絡應用的不斷提高，越來越需要對這種網絡互連加以一定的限制，而路由器天生也具有一定的網絡隔離功能，它的隔離功能主要通過訪問控制技術來實現，通過制定訪問控制列表達到對數據報文轉發(fā)進行過濾和控制，只允許訪問控制列表中許可的報文通過路由器進行轉發(fā)。在手頭沒有路由器設備的情況下，大家也能巧妙地利用終端計算機系統(tǒng)自帶的Route命令，實現軟式路由隔離目的。

圖4 高級TCP/IP設置對話框

比如說，筆者主要負責管理單位內網系統(tǒng)的運維工作，閑暇之余，會上外網查詢一些數據信息。以前，筆者通過筆記本電腦專門管理單位內網，通過臺式計算機訪問單位外網。不過現在因為要用筆記本電腦進行移動辦公，筆者想在辦公桌上的臺式計算機中，可以同時訪問單位內網和外網。

為了能夠實現同時上網目的，筆者認真檢查了臺式計算機的網絡走線，看到其與樓層交換機直接連接，恰好樓層交換機又與單位外網和單位內網同時連接，為此筆者打算通過Windows系統(tǒng)內置的Route命令，也就是使用路由隔離法，對單位內網、外網的訪問進行軟式網絡隔離。假設，單位外網地址范圍為168.160.1.0-168.160.1.255，網關地址為168.160.1.1，掩 碼 地址 為 255.255.255.0，臺式計算機使用的地址為168.160.1.32；單 位 內 網地址范圍為32.177.1.0-32.177.1.255，網 關 地 址為32.177.1.1，掩碼地址為255.255.255.0，臺式計算機使用的地址為32.177.1.10。現在，筆者登錄進入臺式計算機系統(tǒng)中，打開“TCP/IP協(xié)議屬性”設置框，單擊“高級”按鈕，切換到如圖4所示的“高級TCP/IP設置”對話框，在這里依次輸入好單位內外網的IP地址、網關地址以及掩碼地址，然后單擊“確定”按鈕退出“設置”對話框。

接下來逐一點選“開始”、“運行”命令，展開系統(tǒng)運行文本框，在其中輸入“cmd”命令并回車，彈出MS-DOS命令行界面，在該界面命令行狀態(tài)下，輸入字符串命令“route add -p 168.160.1.0 mask 255.255.255.0 168.160.1.1”，添 加 好 訪問單位外網的路由記錄，再輸入字符串命令“route add -p 32.177.1.0 mask 255.255.255.0 32.177.1.1”，添加好訪問單位內網的路由記錄，這樣臺式計算機就可以正常訪問單位內外網了。

巧用VLAN隔離

基于VLAN隔離技術的網絡管控措施，在一些規(guī)模不大的單位局域網中得到廣泛的應用。VLAN是對接入到二層交換機端口的邏輯分段，不受終端用戶的物理位置限制而按照上網需求進行網絡分段的。借助VLAN隔離功能，管理員能將一個單位局域網中很多的網絡設備分成不同虛擬的工作組，每個組之間的網絡設備在二層鏈路上相互隔離，形成不同的廣播域，將廣播流量限制在不同的廣播域。善于使用VLAN隔離方式，可以讓同一VLAN上的用戶互相訪問，不同VLAN的用戶之間不能相互訪問。

例如，某單位網絡中的甲交換機位于三樓，乙交換機位于五樓，該網絡中的有限幾個VLAN被合理劃分到這兩臺交換機中，它們使用光纖線路與單位局域網的核心路由交換機相連，同時通過該核心設備的路由功能進行共享上網。但后來因為某些方面的原因，單位管理者要求只能允許位于每個樓層的領導辦公室的所有上網終端可以訪問外網，而其他任何計算機都不允許通過核心路由交換機訪問Internet網絡。

圖5 字符串命令

為了實現領導要求的隔離目的，網絡管理員檢查了網絡原始資料，看到各個樓層領導辦公室的上網終端，分別被設置在不同的VLAN中，幸運的是這些上網終端數量不是很多，總共不到15臺。為了達到特定的網絡隔離目的，網絡管理員決定將所有領導辦公室的上網終端，依次設置到一個全新的VLAN中，接著在甲乙交換機的級聯端口中進行適當設置，只讓新VLAN與核心設備保持連接，從而可以通過它順利訪問單位外網絡。進行一系列的手動設置，管理員在逐一將所有領導上網終端的連接端口設置到全新的VLAN 22中之后，為了讓甲乙交換機的級聯端口只允許VLAN 22通行，管理員登錄進入交換機后臺系統(tǒng)，通過“Interface”命令切換到特定交換端口視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行如圖5所示的“port linktype access”字符串命令，強制級聯端口位于“access”訪問模式下，同時使用“port access vlan 22”命令，讓級聯端口只允許VLAN 22通行，其他VLAN中的上網終端自然就不能順利上網訪問了。

最后小結

隔離不同上網終端的相互通信，可以采取以上多種措施來實現，但是不同措施使用的環(huán)境和方法各不相同，因此在平時的工作實踐中，大家一定要靈活選用合適的網絡隔離措施，這樣才能達到有效地網絡隔離目的。