怎麼隔離兩個網路的stp保護

『壹』 如何實現內網與外網的有效隔離

5月5日 23:04 保密要求比較高的場所可以使用物理隔離卡，有現成的產品賣
有如下品牌
· 易思克
· 偉思
· XWELL
· 宙斯盾
· HARD LINK
· 中孚
· 聯想
· 圖文
· 威訊

關於物理隔離

如今，我們已越來越發覺，我們必須聯結網路，無論是Internet、www、電子郵件等等，"聯結"令我們受益匪淺，當你已進入了互聯網時代，你將很難再離開網路，但與此同時，我們也正受到日益嚴重的來自網路的安全威脅，諸如網路的數據竊賊、黑客的侵襲、病毒發布者，甚至系統內部的泄密者。
盡管我們正在廣泛地使各種復雜的軟體技術，如防火牆、代理伺服器、侵襲探測器、通道控制機制，但是由於這些技術都是基於軟體的保護，是一種邏輯機制，這對於邏輯實體（即黑客或內部用戶）而言是可能被操縱的，即由於這些技術的極端復雜性與有限性，這些在線分析技術無法提供某些組織（如軍隊、軍工、政府、金融、研究院、電信以及企業）提出的高度數據安全要求。
基於安全官員的立場"如果不存在與網路的物理聯接，網路安全威脅便受到了真正的限制"，以及我國《計算機信息系統國際聯網保密管理規定》中第六條規定"涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其它公共信息網路相聯接，必須實行物理隔離"，基於上述政策與規定，我們開發出了這一全新的網路安全技術--網路安全物理隔離技術，以及實現這一技術功能的產品--偉思信安網路安全隔離卡。

技術原理

網路安全隔離卡的功能即是以物理方式將一台PC虛擬為兩個電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩個狀態是完全隔離的，從而使一部工作站可在完全安全狀態下聯結內、外網。 網路安全隔離卡實際是被設置在PC中最低的物理層上，通過卡上一邊的IDE匯流排聯結主板，另一邊聯結IDE硬碟，內、外網的聯接均須通過網路安全隔離卡，PC機硬碟被物理分隔成為兩個區域，在IDE匯流排物理層上，在固件中控制磁碟通道，在任何時候，數據只能通往一個分區。

圖1

在安全狀態時，主機只能使用硬碟的安全區與內部網聯結，而此時外部網（如Internet）聯接是斷開的，且硬碟的公共區的通道是封閉的。
在公共狀態時，主機只能使用硬碟的公共區，可以與外部網聯結，而此時與內部網是斷開的，且硬碟安全區也是被封閉的。

轉換便捷

當兩種狀態轉換時，是通過滑鼠點擊操作系統上的切換鍵，即進入一個熱啟動過程，切換時，系統通過硬體重啟信號重新啟動，這樣，PC的內存所有數據被消除，兩個狀態分別是有獨立的操作系統，並獨立導入，兩個硬碟分區不會同時激活。

數據交換

為了安全的保證，兩個分區不能直接交換數據，但是用戶可以通過我們的一個獨特的設計，來安全方便地實現數據交換，即在兩個分區以外，網路安全隔離在硬碟上另外設置了一個功能區，功能區在PC處於不同的狀態下轉換，即在兩個狀態下，功能區均表現為硬碟的D盤，各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要，也可創建單向的安全通道，即數據只能從公共區向安全區轉移，但不能逆向轉移，從而保證安全區的數據安全。

安全區控制

基於安全威脅來自內外兩方面的關系，即除了外來的黑客攻擊、病毒發布以外，系統內部有意或無意的泄密，也是必須防止的威脅。因此，網路安全隔離卡可以對安全區作只讀控制，即可禁止內部使用者以軟碟機、光碟機復制數據或纂改安全區的數據。

技術的廣泛應用

由於網路安全隔離卡是控制主IDE匯流排，在PC機硬體最底層的基礎上，因此廣泛支持幾乎所有奔騰以及奔騰兼容晶元。
由於網路安全隔離卡是完全獨立於操作系統的，因此也支持幾乎所有主流的操作系統。 網路安全隔離卡對網路技術和協議完全透明，因此，對目前主要協議廣泛支持，如乙太網、快速乙太網、令牌環行網、光纖、ATM、ISDN、ADSL。

安裝與使用

網路安全隔離卡的安裝並不復雜，一般情況，並不需要改變用戶原有的網路結構，安裝人員的技術水平要求相當安裝普通網卡的水平。 安裝網路安全隔離卡，一般情況下，不必因為擔心丟失數據，而去復制硬碟上數據。 用戶的使用也只須接受簡單的培訓，不存在日後的維護問題。

適用范圍與政府論證

基於國家有關保密的規定，偉思的網路安全物理隔離技術，正完全符合這一點。因此，本技術適用於幾乎所有既要求十分嚴格的數據安全，同時又期望接入互聯網的各類機構，諸如政府機關、軍事機構、金融、電信、科研院校及大型企業等等。 偉思的"網路安全隔離卡"與"網路安全隔離集線器"已通過國家公安部和國家信息安全評測認證中心等國家權威機構的認證，並已具備了相關的產品證書。
如需要了解更多資料，歡迎到<技術支持>欄目的下載區下載本產品的詳細資料或聯系我們。

『貳』 在兩個不同的網段之間部署防火牆,要怎麼設置

基於你以上提供的信息，可按這樣的思路配置：
（1）防火牆一個口接A網交換機，一個口接B網交換機。
（2）防火牆開啟網關模式，接A網的那個口IP配成和A網一個網段；同理，接B網的那個口IP配成和B網一個網段。
（3）A網的客戶端和伺服器可能需要加靜態路由，估計原有的客戶端和伺服器都已經配了專網的默認網關了吧？那麼寫一條靜態路由，去往B網的下一跳交給防火牆。
（4）B網的客戶端和伺服器估計沒有配置默認網關吧，那麼就直接填防火牆地址就好了。
（5）防火牆做好ACL訪問控制策略，保障安全性。

『叄』 怎麼實現內外網的完全隔離

可安裝物理安全隔離裝置進行內外網隔離。物理安全隔離網關是通過具有多種控制功能的專用硬體，切斷電路上網路之間的鏈路層連接，在網路之間安全、適度地交換應用數據的一種網路安全設備。

該設備主要用於解決網路安全問題，特別是那些需要絕對安全的秘密網路、專用網路和專用網路接入互聯網時，防止來自互聯網的攻擊，保證這些高安全網路的機密性、安全性和完整性。

(3)怎麼隔離兩個網路的stp保護擴展閱讀：

安全隔離網閘門原理

網關是利用具有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。

在物理隔離網關連接的兩個獨立主機系統之間，沒有物理連接、邏輯連接、信息傳輸命令、信息傳輸協議、按協議進行的包轉發，沒有數據文件的協議「輪渡」，只有固態存儲介質的「讀」和「寫」。

因此，物理隔離網關在物理上隔離和屏蔽所有可能受到攻擊的連接，使「黑客」無法入侵、攻擊或破壞，實現真正的安全。

『肆』 如何將一個路由器下的兩個區域網隔離開

那得看你的路由有無ap隔離功能了，有的話開啟後，更自電腦能上網，但是互ping是不同的。

『伍』 如何實現物理隔離

所謂「物理隔離」是指內部網不直接或間接地連接公共網。物理隔離的目的是保護路由器、工作站、網路伺服器等硬體實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離，才能真正保證內部信息網路不受來自互聯網的黑客攻擊。此外，物理隔離也為內部網劃定了明確的安全邊界，使得網路的可控性增強，便於內部管理。

物理隔離技術是解決網路不安全性的一種技術，物理隔離從廣義上講分為網路隔離和數據隔離，只有達到這兩種要求才是真正意義上的隔離，並介紹了網路隔離和數據隔離。現在我們主要介紹物理隔離及其產品。

3．物理隔離產品

物理隔離產品有效地解決了上述數據隔離和計算機終端的網路隔離問題。它能實現在建好兩個網路的前提下使一台計算機能連接兩個網路，並且在同一時間，用戶在裝有物理隔離產品的計算機里，只能應用其中的一個網路系統。

物理隔離產品利用了計算機的數據處理方式，用戶所有計算機應用操作都必須依賴操作系統和應用系統來完成。有了操作系統，用戶才能方便、快捷地把數據存儲在硬碟上。所以，只要對硬碟的讀寫進行全面控制，就可以實現數據隔離。對硬碟的讀寫進行控制可以用軟體實現，也可以用硬體實現。可利用計算機加電啟動後必須讀主引導記錄這一特點，把對硬碟讀寫控制的代碼放在主引導程序中。這樣，只要計算機一啟動，這段代碼就會被激活，所有對硬碟的讀寫就完全被這段代碼接管。如果再利用硬體對硬碟的主引導記錄進行防寫的特性，計算機就可以實現數據隔離。但是像這種用軟體實現的數據隔離依然存在漏洞，因為那些被激活的對硬碟進行讀寫控制的代碼是放在內存中的，而內存中的任何數據都可以通過程序來釋放，黑客就可以利用這一特點編寫相應的代碼，先釋放這段代碼，然後讀取他想讀取或想破壞的任何數據。但是，我們如果能把對硬碟進行讀寫控制的代碼用硬體實現，那麼不管是黑客還是病毒都無能為力了。

最後，物理隔離產品控制網路與計算機的連接，這樣就實現了一台計算機既能連接兩個網路，又能實現完全數據隔離的目的。

隨著網路化、信息化的迅猛發展，「安全源於物理隔離」的概念將不斷深入到各行業、各部門、各地區。

『陸』 什麼是網路的物理隔離

所謂「物理隔離」是指內部網不直接或間接地連接公共網。

物理隔離的目的是保護路由器、工作站、網路伺服器等硬體實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。

只有使內部網和公共網物理隔離，才能真正保證內部信息網路不受來自互聯網的黑客攻擊。此外，物理隔離也為內部網劃定了明確的安全邊界，使得網路的可控性增強，便於內部管理。

網路隔離技術目前有如下兩種技術：

1、單主板安全隔離計算機：其核心技術是雙硬碟技術，將內外網路轉換功能做入BIOS中，並將插槽也分為內網和外網，使用更方便，也更安全，價格界乎於雙主機和隔離卡之間。

2、隔離卡技術：其核心技術是雙硬碟技術，啟動外網時關閉內網硬碟，啟動內網時關閉外網硬碟，使兩個網路和硬碟物理隔離，它不僅用於兩個網路物理隔離的情況，也可用於個人資料要保密又要上互聯網的個人計算機的情況。其優點是價格低，但使用稍麻煩，因為轉換內外網要關機和重新開機。

『柒』 同一台電腦連接的兩個網路如何隔離

買一台可管理的交換機劃分兩個VLAN ，一個跑內網一個跑外網。就可以了！

『捌』 怎樣做才能用一個IP訪問兩個網路，並且兩條網路互相隔離。

隨著技術的發展，深圳市博睿勤電子文檔防泄密管理系統-安全桌面版能實現兩網分離，這一防泄密實現方式更加完善，更加安全，保密性更強，辦公更加靈活，博睿勤電子文檔防泄密管理系統-安全桌面版完美呈現，完全具備這些特點。安全桌面是一款基於桌面安全工作環境的安全管理系統，它在Windows操作系統上利用虛擬技術構建出一個全新的安全工作環境，該安全工作環境專門用作重要文檔的保護或重要應用系統的訪問處理，用戶只能通過該安全工作環境訪問重要文檔和重要應用系統。重要數據與非重要數據隔離在兩個不同的環境中進行訪問，即重要的數據在用戶的安全工作環境內部進行訪問，受到系統嚴格的管理控制，而非重要數據則在普通Windows桌面環境中進行訪問。這樣既保證了內部重要數據的安全性，也兼顧了訪問非重要數據的便捷性。同時，博睿勤電子文檔防泄密管理系統--安全桌面版對普通環境中的外設使用進行嚴格控制，以保證系統更加安全。可以說，深圳市博睿勤電子文檔防泄密管理系統是所有泄密單位，各級政府及事業單位，以及企業的電子文檔安全的理想解決方案。

『玖』 STP的工作原理和作用

STP的基本原理是通過在交換機之間傳遞一種特殊的協議報文，網橋協議數據單元（簡稱BPDU），來確定網路的拓撲結構。BPDU有兩種，配置BPDU（和TCNBPDU。前者是用於計算無環的生成樹的，後者則是用於在二層網路拓撲發生變化時產生用來縮短MAC表項的刷新時間的。

STP的作用：可應用於計算機網路中樹形拓撲結構建立，主要作用是防止網橋網路中的冗餘鏈路形成環路工作，即能解決了核心層網路需要冗餘鏈路的網路健壯性要求，又能解決因為冗餘鏈路形成的物理環路導致「廣播風暴」問題。

(9)怎麼隔離兩個網路的stp保護擴展閱讀：

STP的潛在故障

1、生成樹演算法不穩定

STP協議工作在第二層，在交換機埠之間傳遞網路協議單元獲取網路拓撲，並通過STA演算法阻斷環路形成樹形邏輯網路拓撲。但如果網路拓撲過於復雜，STA演算法有時會存在失效的情況，這時根橋、根埠和指定埠的選舉失敗，導致環路的產生，使網路癱瘓。

2、埠工作方式導致埠工作模式不匹配

工作在全雙工模式下的埠在發送數據前不載波偵聽鏈路是否處於空閑狀態，直接發送數據，而工作在半雙工模式下的埠在發送數據前先執行載波偵聽且當鏈路處於空閑狀態時才發送數據，此時，全雙工埠持續性的有大量數據需要發送，那麼半雙工狀態的埠將不會有數據傳送給對端。

3、單向鏈路故障

在採用光纖為通信介質的網路中，往往採用兩組光纖收發鏈路來保證網路的可靠性和穩定性。單鏈路故障影響了STP的網橋協議單元的發送，致使STA計算出現錯誤碼，將本應處於阻斷狀態的埠轉變為轉發狀態，從而導致環路的產生。

『拾』 網路隔離技術的技術原理

網路隔離技術的核心是物理隔離，並通過專用硬體和安全協議來確保兩個鏈路層斷開的網路能夠實現數據信息在可信網路環境中進行交互、共享。一般情況下，網路隔離技術主要包括內網處理單元、外網處理單元和專用隔離交換單元三部分內容，其中，內網處理單元和外網處理單元都具備一個獨立的網路介面和網路地址來分別對應連接內網和外網，而專用隔離交換單元則是通過硬體電路控制高速切換連接內網或外網。網路隔離技術的基本原理通過專用物理硬體和安全協議在內網和外網的之間架構起安全隔離網牆，使兩個系統在空間上物理隔離，同時又能過濾數據交換過程中的病毒、惡意代碼等信息，以保證數據信息在可信的網路環境中進行交換、共享，同時還要通過嚴格的身份認證機制來確保用戶獲取所需數據信息。 網路隔離技術的關鍵點是如何有效控制網路通信中的數據信息，即通過專用硬體和安全協議來完成內外網間的數據交換，以及利用訪問控制、身份認證、加密簽名等安全機制來實現交換數據的機密性、完整性、可用性、可控性，所以如何盡量提高不同網路間數據交換速度，以及能夠透明支持交互數據的安全性將是未來網路隔離技術發展的趨勢。