如何設計網路隔離組網

⑴ 請教網路高手，如何才能實現一個內外網隔離的地方，同時上內外網

很簡單,找根線把兩個路由直連,然後在台式機上配置雙ip,筆記本上,本地連接設置為內網ip,無線設置為外網連接即可.

⑵ 怎麼實現內網外網隔離啊

5月5日 23:04 保密要求比較高的場所可以使用物理隔離卡，有現成的產品賣
有如下品牌
· 易思克
· 偉思
· XWELL
· 宙斯盾
· HARD LINK
· 中孚
· 聯想
· 圖文
· 威訊

關於物理隔離

如今，我們已越來越發覺，我們必須聯結網路，無論是Internet、www、電子郵件等等，"聯結"令我們受益匪淺，當你已進入了互聯網時代，你將很難再離開網路，但與此同時，我們也正受到日益嚴重的來自網路的安全威脅，諸如網路的數據竊賊、黑客的侵襲、病毒發布者，甚至系統內部的泄密者。
盡管我們正在廣泛地使各種復雜的軟體技術，如防火牆、代理伺服器、侵襲探測器、通道控制機制，但是由於這些技術都是基於軟體的保護，是一種邏輯機制，這對於邏輯實體（即黑客或內部用戶）而言是可能被操縱的，即由於這些技術的極端復雜性與有限性，這些在線分析技術無法提供某些組織（如軍隊、軍工、政府、金融、研究院、電信以及企業）提出的高度數據安全要求。
基於安全官員的立場"如果不存在與網路的物理聯接，網路安全威脅便受到了真正的限制"，以及我國《計算機信息系統國際聯網保密管理規定》中第六條規定"涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其它公共信息網路相聯接，必須實行物理隔離"，基於上述政策與規定，我們開發出了這一全新的網路安全技術--網路安全物理隔離技術，以及實現這一技術功能的產品--偉思信安網路安全隔離卡。

技術原理

網路安全隔離卡的功能即是以物理方式將一台PC虛擬為兩個電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩個狀態是完全隔離的，從而使一部工作站可在完全安全狀態下聯結內、外網。 網路安全隔離卡實際是被設置在PC中最低的物理層上，通過卡上一邊的IDE匯流排聯結主板，另一邊聯結IDE硬碟，內、外網的聯接均須通過網路安全隔離卡，PC機硬碟被物理分隔成為兩個區域，在IDE匯流排物理層上，在固件中控制磁碟通道，在任何時候，數據只能通往一個分區。

圖1

在安全狀態時，主機只能使用硬碟的安全區與內部網聯結，而此時外部網（如Internet）聯接是斷開的，且硬碟的公共區的通道是封閉的。
在公共狀態時，主機只能使用硬碟的公共區，可以與外部網聯結，而此時與內部網是斷開的，且硬碟安全區也是被封閉的。

轉換便捷

當兩種狀態轉換時，是通過滑鼠點擊操作系統上的切換鍵，即進入一個熱啟動過程，切換時，系統通過硬體重啟信號重新啟動，這樣，PC的內存所有數據被消除，兩個狀態分別是有獨立的操作系統，並獨立導入，兩個硬碟分區不會同時激活。

數據交換

為了安全的保證，兩個分區不能直接交換數據，但是用戶可以通過我們的一個獨特的設計，來安全方便地實現數據交換，即在兩個分區以外，網路安全隔離在硬碟上另外設置了一個功能區，功能區在PC處於不同的狀態下轉換，即在兩個狀態下，功能區均表現為硬碟的D盤，各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要，也可創建單向的安全通道，即數據只能從公共區向安全區轉移，但不能逆向轉移，從而保證安全區的數據安全。

安全區控制

基於安全威脅來自內外兩方面的關系，即除了外來的黑客攻擊、病毒發布以外，系統內部有意或無意的泄密，也是必須防止的威脅。因此，網路安全隔離卡可以對安全區作只讀控制，即可禁止內部使用者以軟碟機、光碟機復制數據或纂改安全區的數據。

技術的廣泛應用

由於網路安全隔離卡是控制主IDE匯流排，在PC機硬體最底層的基礎上，因此廣泛支持幾乎所有奔騰以及奔騰兼容晶元。
由於網路安全隔離卡是完全獨立於操作系統的，因此也支持幾乎所有主流的操作系統。 網路安全隔離卡對網路技術和協議完全透明，因此，對目前主要協議廣泛支持，如乙太網、快速乙太網、令牌環行網、光纖、ATM、ISDN、ADSL。

安裝與使用

網路安全隔離卡的安裝並不復雜，一般情況，並不需要改變用戶原有的網路結構，安裝人員的技術水平要求相當安裝普通網卡的水平。 安裝網路安全隔離卡，一般情況下，不必因為擔心丟失數據，而去復制硬碟上數據。 用戶的使用也只須接受簡單的培訓，不存在日後的維護問題。

適用范圍與政府論證

基於國家有關保密的規定，偉思的網路安全物理隔離技術，正完全符合這一點。因此，本技術適用於幾乎所有既要求十分嚴格的數據安全，同時又期望接入互聯網的各類機構，諸如政府機關、軍事機構、金融、電信、科研院校及大型企業等等。 偉思的"網路安全隔離卡"與"網路安全隔離集線器"已通過國家公安部和國家信息安全評測認證中心等國家權威機構的認證，並已具備了相關的產品證書。
如需要了解更多資料，歡迎到<技術支持>欄目的下載區下載本產品的詳細資料或聯系我們。

⑶ 如何用VLAN技術將公司的財務部門的網路與其他部門隔離

在所有連接財務部門PC的交換機介面上都打一個單獨的VLAN，比如VLAN100，其他部門都用VLAN10。這樣就隔離了呀。
只要財務部門的使用一個VLAN，其他部門使用另外一個VLAN就實現部門間的隔離了，沒啥特殊的。

⑷ 雙網隔離

雙網隔離是一種安全高效的隔離網路桌面雲切換方案，TC只需搭配一個網路切換器，通過切換器便能夠在物理隔離的網路之間快速切換，達到快速訪問另一個網路的桌面雲資源，並且物理隔離，提供了高安全性。

監控系統網線拔插事件，當網線被拔插時觸發切換流程。切換流程為：找到與當前WI配對的另一個WI地址，並檢查到該WI地址是否連通，如果連通則載入該WI地址。

NotifyAddrChange函數主要的功能是用來通知應用程序IPv4地址的變化。注意這個函數僅僅支持IPv4地址的變化，如果需要得到IPv6地址的變化，請使用NotifyIpInterfaceChange。 實戰經驗：通過NotifyAddrChange偵測網路變化
NotifyAddrChange只是簡單的告訴我們系統的IP地址發生了變化，但是具體是怎樣變化，我們無法從此函數調用中得到。這個時候，我們可以使用GetAdaptersAddresses這一函數來得到當前最新的IP地址來判斷。
根據 GetAdaptersAddresses 介面獲取一個網路的詳細數據，其中可以獲取到IP_ADAPTER_ADDRESSES_LH結構，當中的IF_OPER_STATUS可以知曉網卡狀態，為1時表示介面已啟動，為2時表示介面已關閉。

網路設備在系統中注冊、注銷和關閉、打開等事件都可以通知給相應的內核組件或用戶空間應用程序，其中內核組件通過netdev_chain通知鏈獲取消息，而 用戶空間應用程序則通過注冊Netlink RTMGRP_LINK多播群組獲取事件消息 。
使用netlink協議，循環從內核中讀取創建網路設備的信息，判斷狀態，後獲取網線拔插消息。
通過Netlink檢測網線插拔

檢測到網路狀態改變後，發送信號給主消息流程，執行切換流程：找到與當前WI配對的另一個WI地址，並檢查到該WI地址是否連通，如果連通則載入該WI地址。

ICMP：它是TCP/IP協議簇的一個子協議，用於在IP主機路由器之間傳遞控制消息。控制消息是指網路通不通、主機是否可達、路由是否可用等網路本身的消息。
Windows下使用 IcmpCreateFile IcmpSendEcho 兩個介面
Linux下，從內核中循環發送和讀取ICMP數據包，發送時帶一個特定鹽值數據，接收時驗證。

對每一個需要探測的WI地址，新建一個QNetworkAccessManager實例，並加入一些特定鹽值，在 QObject::connect(nam, SIGNAL(finished(QNetworkReply*)), this, SLOT(onAccessibilityFinished(QNetworkReply*))); 回調中檢測鹽值，實現WI是否可達的探測。

⑸ 如何實現既內外網隔離，又能內外網業務工作的開展

保密機關單位由於其工作的性質，所涉及到的一部分數據資料必須處於完全的安全 狀態下，然而工作的需求還需聯入INTERNET，這樣就無法保證公司內部區域網的安全。我公司依據上述情況，制定以下解決方案，以便參考。 上述情況的唯一可行的解決方案就是物理隔離安全網和公共網，現在國際上最新穎的物理隔離解決思路是：在同一時間、同一空間，單個用戶是不可能同時使用兩個系統的。所以，總有一個系統處於"空閑"狀態。只要使兩個系統在空間上物理隔離，在不同的時間運行，就可以得到兩個完全物理隔離的系統，即一個區連接外部網，一個區連接內部網。 在方案一：用一根網線實現內外網的傳輸方式，計算機用戶只使用單個硬碟，這種方式是絕大多數用戶所採用的。單硬碟網路安全隔離卡。應用此方案一個優點就是可以免去另外布線。只需安裝網路安全隔離集線器與安裝了網路安全隔離卡的安全計算機配合使用可以滿足對單網布線的要求，即桌面計算機只用一條網線就可連接到遠端的雙網上。

具體實施物理隔離措施的過程當中，為了避免使用兩套獨立的計算機網路系統，做到物理隔離和使用方便相結合，實行物理隔離採用網路隔離卡是一種簡單易行的方法。將一台工作站或pc機的單個硬碟物理分割為兩個分區，即公共區（public）和安全區（secure）。這些分區容量可以由用戶指定，因此使一台pc能連接兩個網路。通過公共區連接外部網，如internet，主機只能使用硬碟的公共區與外部網連接，而此時與內部網是斷開的，且硬碟安全區也是被封閉的。而安全區則連接內部網，主機只能使用硬碟的安全區與內部網連接，而此時與外部網（如internet）連接是斷開的，且硬碟的公共區的通道是封閉的。兩個分區分別安裝各自的操作系統，是兩個完全獨立的環境，操作者一次只能進入其中一個系統，從而實現內外網的完全隔離。

網路安全隔離卡的功能即是以物理方式將一台PC虛擬為兩個電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩個狀態是完全隔離的，從而使一部工作站可在完全安全狀態下聯結內、外網網路安全隔離卡實際是被設置在PC中最低的物理層上，通過卡上一邊的IDE匯流排聯結主板，另一邊聯結IDE硬碟，內、外網的聯接均須通過網路安全隔離卡，PC機硬碟被物理分隔成為兩個區域，在IDE匯流排物理層上，在固件中控制磁碟通道，在任何時候，數據只能通往一個分區。 在安全狀態時，主機只能使用硬碟的安全區與內部網聯結，而此時外部網（如Internet）聯接是斷開的，且硬碟的公共區的通道是封閉的。在公共狀態時，主機只能使用硬碟的公共區，可以與外部網聯結，而此時與內部網是斷開的，且硬碟安全區也是被封閉的。 轉換便捷 當兩種狀態轉換時，是通過滑鼠點擊操作系統上的切換鍵，即進入一個熱啟動過程，切換時，系統通過硬體重啟信號重新啟動，這樣，PC的內存所有數據被消除，兩個狀態分別是有獨立的操作系統，並獨立導入，兩個硬碟分區不會同時激活。 數據交換 為了安全的保證，兩個分區不能直接交換數據，但是用戶可以通過我們的一個獨特的設計，來安全方便地實現數據交換，即在兩個分區以外，網路安全隔離在硬碟上另外設置了一個功能區，功能區在PC處於不同的狀態下轉換，即在兩個狀態下，功能區均表現為硬碟的D盤，各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要，也可創建單向的安全通道，即數據只能從公共區向安全區轉移，但不能逆向轉移，從而保證安全區的數據安全。 安全區控制 基於安全威脅來自內外兩方面的關系，即除了外來的黑客攻擊、病毒發布以外，系統內部有意或無意的泄密，也是必須防止的威脅。因此，網路安全隔離卡可以對安全區作只讀控制，即可禁止內部使用者以軟碟機、光碟機復制數據或纂改安全區的數據。 技術的廣泛應用 由於網路安全隔離卡是控制主IDE匯流排，在PC機硬體最底層的基礎上，因此廣泛支持幾乎所有奔騰以及奔騰兼容晶元。 由於網路安全隔離卡是完全獨立於操作系統的，因此也支持幾乎所有主流的操作系統。網路安全隔離卡對網路技術和協議完全透明，因此，對目前主要協議廣泛支持，如乙太網、快速乙太網、令牌環行網、光纖、ATM、ISDN、ADSL。

2、安裝與使用 網路安全隔離卡的安裝並不復雜，一般情況，並不需要改變用戶原有的網路結構，安裝人員的技術水平要求相當安裝普通網卡的水平。安裝網路安全隔離卡，一般情況下，不必因為擔心丟失數據，而去復制硬碟上數據。用戶的使用也只須接受簡單的培訓，不存在日後的維護問題。設備清單 現狀：共有50台客戶端，每台客戶端都需要實現內外網的訪問所需設備列表
（1）兩組交換機，每組共有50個埠以上
（2）24口的網路安全隔離集線器需要：7個
（3）網路安全隔離卡：50個
（4）在同一個硬碟安裝兩套操作系統
（5）內外網的相互轉換應用用戶選擇界面來執行的，只對機器進行熱啟動，即可完成安全轉換。
方案二：重新布線到各客戶端，按照客戶需求共需50個點的布線，這樣在客戶端共需兩個節點來滿足要求。 所需的設備： 50個節點的布線材料 兩組埠數超過50個口的交換機組50塊安全隔離卡

⑹ 伺服器、防火牆、內網該如何組網以及設置

1、首先打開Windows server，在Windows防火牆中選擇【高級設置】。