摘 要：本文通过对网络现状的分析，从局域网的网路安全入手，解决内外网的网络安全隔离的部署与实现。

关键词：网络安全；网络安全隔离卡

中图分类号：TP393.08

随着网络的普及，人们的日常生活已经无法离得开网络。网络给大家带来了相当程度的便利，同时也给人们带来了许多的不安全因素。针对于各类的网络安全事件，现对内外网混用提出了严格隔离要求。物理隔离作为一种的主要隔离方法应用在局域网中。

1 锡盟气象网络系统现状

从网络系统结构来讲，可分为：卫星广域网络、单向数据广播网、地面宽带网络、计算机局域网、Internet互联网、本地专用网等。各部分在结构上互为独立，业务应用中相辅相成。

1.1 本地局域网

盟局计算机局域网络结构为星型主从网络结构。在局域网中有专用于文件存取的文件服务器、大型高性能数值天气预报并行计算机系统——神箭100、区域自动气象站中心站服务器、CMAcast卫星数据广播系统、视频会议会商系统、Micaps服务器、华云卫星云图接收系统、国家公共突发事件预警信息发布系统、714CD多普勒天气雷达以及接入网络各用户等。

本地局域网用户群，根据用户需求可分为三种；单内网用户，单外网用户和双网用户。

1.2 互联网接入点

我局现互联网接入点有两个，由两个运营商提供的100兆专线。分别为联通100兆专线和移动100兆专线。根据盟局现局域网结构，联通100兆专线应用在区域自动气象站数据传输上，移动100兆专线应用在普通互联网用户接入上。

2 网络安全隔离

2.1 常用网络安全隔离

网络安全隔离主要采用的方法有：物理隔离、逻辑隔离、安全网闸等。

2.2 网络安全隔离技术要求

（1）由于原有网络系统布线及局内装修等原因，此次工程实施过程中不得改变现有网络拓扑基本结构，暨实现单终端双网线情况下的双网隔离；（2）利用现有网络实现访问互联网终端切换至访问内部局域网时，组成与现有网络系统隔离的另外独立的局域网络；（3）对计算机进行适当的建设，做到内外网终端的区分；桌面一台终端计算机虚拟成两台计算机，双网线分别连接内外网络，实现信息存储、处理、应用的物理隔离；（4）对网络平台进行适当的改造工作，做到内外网分别使用网络交换机；分别采用两条网线，将内网信号和外网信号进行分离，从而实现信息传导过程的物理隔离。

根据网络安全隔离技术要求及单位经济投入至最低，网络安全隔离卡为有效的选择。

2.3 网络安全隔离卡的工作原理

网络安全隔离卡是保护计算机数据安全的一种装置，它把一台普通的计算机分隔成两台虚拟计算机，分别对应内网、外网或专网，使各个网络之间实现物理隔离，从而满足用户对数据安全和获取互联网信息的多重要求。

双网双硬盘物理隔离卡是，在系统中安装两个硬盘，两个硬盘分别安装两个独立的操作系统，通过物理隔离卡来控制分离的网线和硬盘。当一个系统运行时，另外一个系统处于关闭状态。当两个网络进行转换时，可通过软件选择切换。切换时有快速切换和重启切换两种方式。切换过程，也是一个对内存，CPU，显示缓存等各个缓存进行物理清零的过程。以确保内外网信息不会经缓存相互传递。从而达到内外网物理隔离的要求。

2.4 网络安全隔离卡的应用

网络安全隔离卡可分为：双硬盘隔离卡、单硬盘隔离卡、三硬盘三网隔离卡。根据本单位的实际情况我局采用了双网线，双硬盘物理隔离。采用利普双硬盘物理隔离卡，每台计算机只需增加一个硬盘，即可使一台计算机虚拟成两台相对独立的计算机。两个硬盘分别连接两个网络，在不同网络之间实施有效的物理隔离。为了便于管理此次整改以楼层为单位进行部署。

由于单位的计算机购置年限不同，版本型号存在的差异具体选用了PCI和PCI-E两种插槽型的网络安全隔离卡。隔离卡的切换方式有：电源切换和串口数据线切换。电源切换隔离卡是一种切电源线型双硬盘物理隔离卡，它具有记忆功能及开机自动进上次关机时所在的网络系统，它是通过控制硬盘电源通道即电源线来实现内外网的物理隔离，即在任何状态下只有一个硬盘处于供电工作情况。串口切数据线型物理隔离卡，适用于两块硬盘都是串口硬盘，即SATA硬盘，它是通过控制数据通道即串口硬盘数据线来实现内外网的物理隔离，其实现原理是由继电器来控制内外网络和内外网硬盘的转换，以实现内外网的物理隔离。

3 部署防火墙

在外部网络入口部署防火墙系統。按照业务需求通过对防火墙和路由器优化配置，实现网络安全审计。在未来信息网络建设考虑包括硬件在内的网络安全审计系统，对网络设备、应用系统及运行状况进行全面的监测、分析、评估，以保障网络安全运行[1]。整改后网络部署图如下：

4 结束语

我单位局域网计算机约有125台，根据用户的需求除了部分服务器为固定访问内网或外网外，其他所有计算机均做了内外网物理隔离到桌面。其中约有20个用户采用双计算机配置进行内外网隔离，其余用户均使用了网络安全隔离卡进行隔离。

本文通过对本地局域网采用网络安全隔离卡技术，实现内外网隔离，解决了局域网内由于内外网络混用带来的不安全隐患问题。从这个方案来看，物理隔离作为一种高效安全的解决技术，在其应用实施过程中，要考虑到：

（1）物理隔离是物理上的彻底断开，并非逻辑断开，从而提升了安全层次；（2）要考虑到客户端用户的操作，要考虑操作简便。（3）内外网物理隔离后，内网杀毒及病毒库更新需要着重考虑。

参考文献：

[1]袁浩等编.Internet接入·网络安全[M]，北京：电子工业出版社，2011（01）：432-435.

[2]冯吴，黄治虎.交换机/路由器的配置与管理[M]，北京：清华大学出版社，2005：46-49.

[3]中国计算机学会计算机安全专业委员会.信息网络安全保护工作知识手册[S].2002.

[4]万平国.网络隔离与网闸[M]，北京：机械工业出版社，2004.

作者简介：娟娟（1980.06-），女，内蒙古锡林郭勒盟人，工程师，硕士，研究方向：信息网络。

作者单位：内蒙古锡林郭勒盟气象局，内蒙古锡林浩特 026000