内外网隔离方案

内外网隔离方案

用一根网线实现内外网的传输方式，计算机用户只使用单个硬盘，这种方式是绝大多数用户所采用的。单硬盘网络安全隔离卡。应用此方案一个优点就是可以免去另外布线。只需安装网络安全隔离集线器与安装了网络安全隔离卡的安全计算机配合使用可以满足对单网布线的要求，即桌面计算机只用一条网线就可连接到远端的双网上。

我们公司的有一台电脑需要同时上内外网，内外网都是固定IP的。

以下网上转的，希望能帮的到你
如果你电脑同时装了双网卡（包括无线网卡），且分别属于不直接相连的网段，此时如果在两个属性里都设了网关，Windows只认其中一个导致两个网段不能同时上。
所以只能在其中一个网卡的属性中设网关（如两个内网段随便取一个，一个外网一个内网的设外网的方便），另一个网关先留空，然后运行cmd,运行“route -p add 内网网段 mask 子网掩码 内网网关（刚留空的）”，如果内网网段有多段的则多打几次这个命令就可以了。这个命令目的在于将原内网地址永久性地默认通过内网网关，适用于学校企业等同时存在多个不同网段服务器且接入也不同的。
特别要注意的是网段与子网掩码的对应关系不能输错！
example:
route -p add 192.168.0.0 mask 255.255.0.0 192.168.180.254 metric 1
route -p add 10.0.0.0 mask 255.0.0.0 192.168.180.254 metric 1
实践中发现该命令非常有用，可以指定任何特定的IP或段指向某网关。
玩了一个晚上得出的结论，现在双网互不干扰，希望对同时有此困扰的兄弟们一点帮助
建议把静态的IP改成静态的IP希望可以帮到你如果还是上不了的话
希望能帮上你有什么问题 可以在我的百度 邯郸乐颐贴吧 留言 我会及时回复
route -p add 172.16.0.0 mask 255.255.0.0 172.16.164.1 metric 1
单机双网卡内网外网同时访问的设置方法2008-04-23 16:18
修改掩码为255.0.0.0 ，增加无线网关192.168.1.1，活跃点1
route -p add 168.0.0.0 mask 255.0.0.0 168.37.1.1
一些单位将内网和外网分开了。痛苦啊，偶单位就是如此。boss当然是基于安全性考虑了，可是没有笔记本的怎么办？又要办公，有得上网。没办法，发扬DIY精神偷偷装一块网卡，让聊天与工作同在。让你的主机内外兼顾。这是我在网上找到的，谢谢作者了。方法如下：
1.设置其中接外网的网卡的IP地址、网关按要求进行设置
--注：这是对应外网的网卡，按照你们单位外网的ip分配情况，在TCP/IP属性中配置好 ip、掩码、DNS等
2.将连接单位内部网的网卡IP配好后，设网关设置为空（即不设网关），启用后，此时内网无法通过网关路由
注意：只设IP地址和子网掩码
3.进入CMD，运行：route -p add 192.0.0.0 mask 255.0.0.0 192.168.0.1 metric 1
--注：意思是将192*的IP包的路由网关设为192.168.0.1 ，-P 参数代表永久写入路由表，建议先不加此参数，实践通过后在写上去
--192.0.0.0与192.168.0.1为你单位内网网段及网关，根据你单位情况自行设定。
4. OK！同时启用两个网卡，两个网关可以同时起作用了，两个子网也可以同时访问了，关机重启后也不用重设！
已测试成功。泡上一杯茶，惬意的挂着QQ，再给领导汇报着本月的进销情况……
另一个参考文章：
办公室都是双网卡，因为我们这些人不但学习和工作依赖internet，连生活中的都充满了这东西的魔力。以前双网卡都是轮番禁用，后来鉴于办公内网只有一个网段，所以就采用添加静态路由的方法。
route add 10.123.36.0 mask 255.255.255.0 10.123.36.254 -p
这样重新启动也不会丢失，可是林子大了，什么兽都有，一台计算机双网卡启动之后不管怎么禁用和互换，缺省网关都是ISP提供的那个，这样可让我无所适从，抱着试一试的想法，决定更改一下

如何管控孩子电脑

1首先打开电脑的控制面板，在‘用户账户安全和家庭安全’处选择‘添加或删除用户账户’。在接下来的管理账户页面，【创建一个新账户】。讲账户命名为‘宝贝’，选择【标准用户】，单击【创建账户】。页面跳转后，我们可以新增了一个‘宝贝’账户。再次返回控制面板，在‘用户账户安全和家庭安全’处选择‘为所有用户设置家长控制’。页面再次跳转，选择‘宝贝’账户，单击后会提示设置密码，根据你的需要设置密码。然后在‘设置宝贝使用计算机的方式’处‘家长’处选择【启用】，windows设置出单击【时间限制】。接下来就是设置‘宝贝’

哪位高人帮忙解释一下下安全隔离网闸和防火墙的区别是什么啊

分类:电脑/网络 >> 反病毒
解析:

2002年FBI/CSI调查报告显示，计算机攻击事件正以每年64%的速度增加。这种威胁对我国关键领域一直存在，特别是“金盾“、“金审”、“金财”、“金税”等政务工程的核心政务网（涉密网）、政务专网等核心系统，运行着很多重要涉密信息，网络与信息的安全性尤为重要。

目前国家明确规定 *** 的涉密网络应与互联网保持物理隔离，确保信息安全。这样确实有效避免了来自Inter 的网络威胁。然而涉密网络之间如行业内部上下级与不同行业部门之间是相互不信任的关系，当信息流通时就面临带来的安全问题；如公安内网中的敏感信息需要流通到检委内网，同时两个部门涉密网内部都具有高度的信息敏感资源，相互是不信任关系，再比如工商内网与税务内网、财政内网与海关内网之间的信息流通都面临涉密网的安全与互通问题。所以必须采取相应的安全措施来保障涉密内网的安全问题，目前常用以下两种方法。

用人工拷贝实现隔离下的信息交换

目前，涉密网络通常与外界实现物理隔离，当涉密网之间需要交换信息时，通常在中间区域设置双方数据服务器，通过可信人员通过人工拷贝来实现。通过人工拷贝的方式，的确避免了来自不信任网络的黑客攻击等威胁，然而也带来新的问题。首先，人工投入管理开销比较大，双方必须投入人员参与数据拷贝工作；其次，人工拷贝实时性较差，无法发挥网络信息技术带来的快速的通信便利等优点；最后，由于频繁使用软盘或其他存储介质，增加了病毒和木马程序传播的途径和几率，带来新的安全问题。所以该方式无法适应电子政务的发展趋势。
用防火墙等逻辑机制保护涉密内网的安全

除采用保证物理隔离条件下采用人工拷贝实现信息交换的方式外，另一些部门涉密内网之间采用了防火墙来实现与其他专网之间的逻辑隔离。但防火墙发展到现在仍存在以下弱点。

图1 单方不信任涉密内网之间安全隔离解决方案

首先防火墙无法抵御数据驱动式攻击，即大量合法的数据包导致网络阻塞而使正常通信瘫痪；其次，防火墙很难阻止由通用协议本身漏洞发起的入侵；再次，防火墙系统本身的缺陷也是影响内部网络安全的重要问题；另外，只有正确、合理配置防火墙才能起到本身的安全作用，而配置的复杂为网管人员带来烦琐工作量的同时，也增加了配置不当带来的隐患。由于目前能攻破防火墙的技术正不断发展，所以对于涉密网络中使用防火墙做屏障是不可靠的防御手段。

由上面分析可知，第一种解决方案虽实现了物理隔离，但缺乏信息实时机制，而且人员管理开销较大；第二种方案采用了安全防御机制不太严密的逻辑隔离技术来保护涉密网络的信息安全，无疑为数据泄秘和黑客破坏等提供了可能。故两者不能算完整的解决方案。而目前渐渐兴起的GAP技术可以为涉密网络提供可靠的保护，该技术利用专用硬件保证两个网络在物理链路层断开的前提下实现数据安全传输和资源共享，并能够显著提高内部用户网络的安全强度。

天行网安GAP技术让信息隔离并交换着

天行安全隔离网闸（Topwalk-GAP）是由天行网安信息技术有限公司与公安部通信局联合研制的新一代安全隔离产品，也是GAP技术在国内的代表产品之一。该产品采用自主产权的专用隔离硬件和多个处理单元紧密集成的独特设计，集成各种安全模块为一体，部署于信任网络与非信任网络之间，能够防止并抵御各种网络攻击及黑客病毒入侵，并给用户提供了文件传输与数据库交换、收发邮件和浏览网页等多种信息交换方式。它通常部署于信任与非信任网络之间的核心内部网络之间，采用GAP（安全隔离）技术、协议转换、安全操作系统内核技术、内核的入侵检测技术、病毒扫描技术以及安全P&P（Pull and Push）等安全技术，杜绝有害信息，组成网络之间数据交换的安全通道。该隔离网闸主要提供了以下功能模块以及根据用户特殊要求的定制模块。

单方信任涉密网络隔离解决方案

在同行业部门上下级涉密网常要面临信息流通的问题,在这种情况下通常具备下级信任上级、上级的信息敏感度比下级要高等特点，即不同信任级别的涉密网要进行信息交换，可以参考以下解决方案。

图2 涉密网络之间信息交换示意图

如图2所示，左边方框内表示信任部门的涉密内网，通常为中央、部委、省级机关等重要部门的核心内部网络，在涉密内网通常运行关系国家机密、 *** 和经济敏感信息等资源，所以对安全性要求很高。而这些部门内网需要通过专网同地方、下级相应部门的涉密内网进行信息共享与交换。在这种情况下，通常是上级安全性高于下级，中央 *** 高于地方 *** 的单方信任关系，可采用上述单方信任涉密网之间安全解决方案。该方案将隔离网闸设在可信任端，所有请求从信任端发起，确保了信任涉密网的安全性。同时隔离网闸为用户提供了多种功能模块，实现了灵活方便的如公文交换、邮件收发、数据库共享等功能，从而满足如部门上下级等不同涉密网络之间的信息共享需求。

双方不信任涉密网隔离解决方案

在电子政务的应用中，常常遇到不同行业的网络之间信息交换的问题。由于两个行业部门都有各自的信息管理系统和人员管理体制，所以仍应在保证双方涉密网的高度安全下实现适度信息交换。如图3所示，A部门涉密内网和B部门涉密内网都属于对安全高敏感区域，通常要求与外网安全隔离。由于涉密内网之间需要适度交换信息，所以应为双方设置数据中间区域。中间区域与两边涉密内网通过安全隔离网闸来实现隔离下的信息交换。

如此配置安全隔离网闸基于以下几点：安全隔离网闸采取了安全的数据P&P（Pull and Push）技术，所有请求由内网（即信任网络端）发起，外部处理单元不提供任何服务。所以建议设中间隔离区域提供文件、邮件和数据库的服务器，负责接受双方提交的数据，然后再由涉密网内部主动请求从中间隔离区域提取所需要的数据。这样保证用户提交数据或提取数据都由双方可信任方主动发起，在加上安全隔离网闸所采用的访问控制和身份验证机制，确保了双方交换数据信息时的安全性和可靠性，同时保证了信息流通的实时性和易操作性。

GAP技术信息交换有优势

上述两套方案通过采用天行安全隔离网闸（Topwalk-GAP）作为涉密网络之间的隔离屏障，该产品通过不同涉密网络之间物理链路层断开以得到高度安全，并满足了相互之间进行多种形式的信息交换。

与人工拷贝相比具备的优势具有以下优势：

交换方式灵活多样

GAP技术提供了文件交换、数据库交换以及邮件收发等多种安全数据交换手段。如果人工拷贝只能通过软盘或其他移动存储介质实现文件间的拷贝，当文件过多或过大时，难以满足需求，或者在大型关系数据库间表格或记录传递时无法实现。

信息交换及时

该产品硬件内部数据交换速率达到819.2Mbps，系统数据交换速率达到120Mbps，硬件切换时间只有5ms，最大并发连接数更是突破了目前国内最多1500个的限制，达到了5000以上，可保证内外网的信息交换在较短的时间完成，可以满足大部分 *** 办公对信息交换的需求，而人工拷贝则耗时较多。

具有病毒和关键字内容过滤功能

人工拷贝需要采用软盘等移动存储介质，往往成为病毒或木马程序传播的途径，同时也不易于集中管理控制。采用隔离网闸时，交换的文件或数据会被进行病毒或关键字内容检测，大大降低了由病毒或无意泄露信息带来的安全风险。

图3 双方不信任涉密内网之间安全隔离解决方案

GAP技术与防火墙等产品相比，该产品具备的需求以下的优势：

比防火墙安全强度更高和更可靠

防火墙采用在网络层上的逻辑隔离机制，即主要通过软件策略来实现，由于在网络层是相通的，所以很难终结有经验的黑客。基于GAP技术的天行安全隔离网闸实现了涉密网与外界基于链路层的安全隔离，使得黑客基于网络协议的攻击无效，这样不但消除了通用协议漏洞给涉密内网带来的威胁，同时也使内部的系统与软件后门与漏洞不会被外部利用。

有效阻止DOS网络攻击

由于防火墙通常建立在TCP/IP协议的通路上，需要提供对外服务，而拒绝服务攻击（DOS），就是利用TCP/IP协议的缺陷，对于隔离网闸外部处理单元不需要运行任何服务器程序，并保证了与内网不存在TCP/IP协议通路，不接受来自外部任何主机的发起连接（TCP SYN），这样外部主机对于因特网来说就像被隐藏了一样，有效保证了隔离网闸本身和内网的安全性。

防配置错误引起的网络隐患

我们知道，防火墙是由一系列的规则组成，使用该规则对于进出的网络包进行检查，通常情况下，防火墙都比较安全，但是也有可能出现配置错误，造成不安全通道打开，这样就有可能被黑客所利用。而隔离网闸仅允许定制的信息进行交换，即使出现错误，也至多是数据不再传输，而不会为黑客打开安全之门。

避免操作系统和软件的不断升级

通常防火墙只能防止网络层的攻击，对于操作系统和软件出现的安全问题并不能提供一个很好的防护方式，很多采用防火墙的用户仍然受到“Nimda”病毒困扰就是一个很好的例证，用户使用了防火墙仍然得不断地升级自己的操作系统和浏览器，以避免由于这些问题导致系统被攻击。而隔离网闸由于在链路层断开，禁止所有的直接网络连接，因此可以有效保证内部系统的安全，避免了用户繁杂的升级工作。

声明： 我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本站部分文字与图片资源来自于网络，转载是出于传递更多信息之目的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们(管理员邮箱：daokedao3713@qq.com)，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!