网络隔离，英文名为Network Isolation，主要是指把两 个或两个以上可路由的网络（如：TCP/IP）通过不可 路由的协议（如：IPX/SPX、NetBEUI等）进行数据交 换而达到隔离目的。由于其原理主要是采用了不同的 协议，所以通常也叫协议隔离（Protocol Isolation）。



三、网络层的断开 网络层的断开，就是剥离所有的IP协议。因为剥离了 IP，就不会基于IP包来暴露内部的网络结构，就没有真假 IP地址之说，也没有IP碎片，就消除了所有基于IP协议的 攻击。
10.1.1 网络隔离技术的概念来源

1.网络隔离技术的概念来源 网络隔离的概念源于人工烤盘、Sneakernet和轮渡。 （1）人工烤盘 人工拷盘是已知的最早的网络隔离技术。最早的计算机 是单机的，不同的计算机还没有联网。没有联网的两个计算 机之间要交换数据，最简单的办法是人工拷盘。要特别强调， 在人工拷盘的任何时刻，两个计算机之间是完全断开的，没 有联网的。在拷盘的时候，当计算机操作人员在一台计算机 里拷盘时，与另外一台计算机是完全断开的；当计算机操作 人员把磁盘拿出的时候，与两台计算机都是完全断开的；当 计算机操作人员把文件数据复制到目的计算机时，与原来的 计算机是完全断开的。在任何时候，两台交换文件数据的计 算机，总是断开的。


第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和 专有安全协议等安全机制，来实现内外部网络的隔离和数据交换， 不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔 离开来，而且高效地实现了内外网数据的安全交换，透明支持多 种网络应用，成为当前隔离技术的发展方向。
Байду номын сангаас0.1.2 网络隔离技术的原理
2.网络隔离技术的发展历史

隔离概念是在为了保护高安全度网络环境的情况下产生 的；隔离产品的大量出现，也是经历了五代隔离技术不断 的实践和理论相结合后得来的。 第一代隔离技术—完全的隔离。此方法使得网络处于 信息孤岛状态，做到了完全的物理隔离，需要至少两套网 络和系统，更重要的是信息交流的不便和成本的提高，这 样给维护和使用带来了极大的不便。 第二代隔离技术—硬件卡隔离。在客户端增加一块硬 件卡，客户端硬盘或其他存储设备首先连接到该卡，然后 再转接到主板上，通过该卡能控制客户端硬盘或其他存储 设备。而在选择不同的硬盘时，同时选择了该卡上不同的 网络接口，连接到不同的网络。但是，这种隔离产品有的 仍然需要网络布线为双网线结构，产品存在着较大的安全 隐患。
（3）轮渡


网络隔离有多种方式，其中最重要的一种方式是网 闸。网闸的概念主要是源于轮渡。 对轮渡的工作机理的借鉴，大大地推动了网络隔离 的研究发展，直接导致网闸技术的出现。“下车改乘 轮船”的现象启发人们研究协议的剥离技术，“下船 改成汽车”的现象启发人们研究协议的重建技术， “轮船载人渡河”启发人们研究文件“摆渡”，最后 实现了在两网断开的情况下可以进行数据交换。从两 台主机在断开的情况下可以实现数据交换，到两个网 络之间在断开的情况下也可以实现数据交换。


1.网络隔离要解决的问题 网络隔离的指导思想与防火墙有很大的不同，体现 在防火墙的思路是在保障互联互通的前提下，尽可能 安全，而网络隔离的思路是在必须保证安全的前提下， 尽可能互联互通，如果不安全则断开。 网络隔离技术就是要解决目前网络安全存在的最根 本问题，包括对操作系统的依赖，因为操作系统有漏 洞；也包括对TCP/IP协议的依赖，而TCP/IP协议同样 有漏洞。解决通信连接的问题，当内网和外网直接连 接时，存在基于通信的攻击和应用协议的漏洞，因为 命令和指令可能是非法的。

第三代隔离技术—数据转播隔离。利用转播系统分时复制文 件的途径来实现隔离，切换时间非常之久，甚至需要手工完成， 不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了 网络存在的意义。 第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关， 使得内外部网络分时访问临时缓存器来完成数据交换的，但在安 全和性能上存在有许多问题。
第十章 网络隔离与网闸
10.1 网络隔离技术 10.2 网闸 10.3 典型网闸产品
10.1 网络隔离技术

面对新型网络攻击手段的出现和高安全度网络对安 全的特殊需求，全新安全防护防范理念的网络安全技 术——“网络隔离技术”应运而生。 网络隔离技术的目标是确保把有害的攻击隔离， 在可信网络之外和保证可信网络内部信息不外泄的前 提下，完成网间数据的安全交换。网络隔离技术是在 原有安全技术的基础上发展起来的，它弥补了原有安 全技术的不足，突出了自己的优势。

（2）Sneakernet（人力网） 人工拷盘利用软件来实现文件数据交换，但并不是 只有软盘才能交换文件数据。除软盘外、移动硬盘、 可擦写光盘以及U盘都可以实现文件数据交换。人在 两台计算机或两个网络之间使用软盘、移动硬盘等可 以移动的存储介质来交换文件或数据，这样两个隔离 的计算机或网络与人一起便构成了一个逻辑上的虚拟 网络

二、网络数据链路层的断开 数据链路是在物理层上建立一个可以进行数据通信的 数据链路，是一个通信协议的概念。只要存在通信协议 就可以被攻击。数据链路是可以被攻击的。 数据链路的断开意味着什么？ 首先，必须消除所有建立通信链路的控制信号，因为 这些信号是可以被攻击的。其次，每一次的数据传输， 是否能够到达或正确性方面是没有保证的。 再次，不能建立一个会话机制。因此，用技术术语来 定义，数据链路的断开是指上一次数据传输与下一次数 据传输的相关性的概率为零。
2.网络隔离的技术原理

互联网是基于TCP/IP来实现的，而所有的攻击都可以 归纳为基于对TCP/IP的OSI数据通信模型的某一层或多 层的攻击，因此第一个最直接的想法就是断开TCP/IP 的OSI数据模型的所有层，就可以消除目前TCP/IP网络 存在的攻击.这就是网络隔离的技术原理。

一、网络物理层的断开 物理层是可以被攻击的。尤其物理层的逻辑表示是可 以被攻击的。一个物理层上的断开，应该是“不能基于 一个物理层的连接，来完成一个OSI模型中的数据链路的 建立”。