面对新型网路攻击手段的出现和高安全度网路对安全的特殊需求，全新安全防护防範理念的网路安全技术――“网路隔离技术”应运而生。网路隔离技术的目标是确保隔离有害的攻击，在可信网路之外和保证可信网路内部信息不外泄的前提下，完成网间数据的安全交换。网路隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。

所谓网路隔离技术是指两个或两个以上的计算机或网路在下线的基础上，实现信息交换和资源共享，也就是说，通过网路隔离技术既可以使两个网路实现物理上的隔离，又能在安全的网路环境下进行数据交换。网路隔离技术的主要目标是将有害的网路安全威胁隔离开，以保障数据信息在可信网路内在进行安全互动。目前，一般的网路隔离技术都是以访问控制思想为策略，物理隔离为基础，并定义相关约束和规则来保障网路的安全强度。

网路隔离，英文名为Network Isolation,主要是指把两个或两个以上可路由的网路（如：TCP/IP）通过不可路由的协定（如：IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是採用了不同的协定所以通常也叫协定隔离（ProtocolIsolation）.1997年，信息安全专家Mark Joseph Edwards在他编写的一书中，就对协定隔离进行了归类。在书中他明确地指出了协定隔离和防火墙不属于同类产品。隔离概念是在为了保护高安全度网路环境的情况下产生的；隔离产品的大量出现，也是经历了五代隔离技术不断的实践和理论相结合后得来的。

第一代隔离技术——完全的隔离。此方法使得网路处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网路和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。

第二代隔离技术——硬体卡隔离。在客户端增加一块硬体卡，客户端硬碟或其他存储设备首先连线到该卡，然后再转接到主机板上，通过该卡能控制客户端硬碟或其他存储设备。而在选择不同的硬碟时，同时选择了该卡上不同的网路接口，连线到不同的网路。但是，这种隔离产品有的仍然需要网路布线为双网线结构，产品存在着较大的安全隐患。

第三代隔离技术—数据转播隔离。利用转播系统分时複製档案的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网路套用，失去了网路存在的意义。

第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关，使得内外部网路分时访问临时快取器来完成数据交换的，但在安全和性能上存在有许多问题。

第五代隔离技术—安全通道隔离。此技术通过专用通信硬体和专有安全协定等安全机制，来实现内外部网路的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网路隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网路套用，成为当前隔离技术的发展方向。

网路隔离技术的核心是物理隔离，并通过专用硬体和安全协定来确保两个链路层断开的网路能够实现数据信息在可信网路环境中进行互动、共享。一般情况下，网路隔离技术主要包括区域网路处理单元、外网处理单元和专用隔离交换单元三部分内容，其中，区域网路处理单元和外网处理单元都具备一个独立的网路接口和网路地址来分别对应连线区域网路和外网，而专用隔离交换单元则是通过硬体电路控制高速切换连线区域网路或外网。网路隔离技术的基本原理通过专用物理硬体和安全协定在区域网路和外网的之间架构起安全隔离网墙，使两个系统在空间上物理隔离，同时又能过滤数据交换过程中的病毒、恶意代码等信息，以保证数据信息在可信的网路环境中进行交换、共享，同时还要通过严格的身份认证机制来确保用户获取所需数据信息。
网路隔离技术的关键点是如何有效控制网路通信中的数据信息，即通过专用硬体和安全协定来完成内外网间的数据交换，以及利用访问控制、身份认证、加密签名等安全机制来实现交换数据的机密性、完整性、可用性、可控性，所以如何儘量提高不同网路间数据交换速度，以及能够透明支持互动数据的安全性将是未来网路隔离技术发展的趋势。

要具有高度的自身安全性 隔离产品要保证自身具有高度的安全性，至少在理论和实践上要比防火墙高一个安全级别。从技术实现上，除了和防火墙一样对作业系统进行加固最佳化或採用安全作业系统外，关键在于要把外网接口和区域网路接口从一套作业系统中分离出来。也就是说至少要由两套主机系统组成，一套控制外网接口，另一套控制区域网路接口，然后在两套主机系统之间通过不可路由的协定进行数据交换，如此，既便黑客攻破了外网系统，仍然无法控制区域网路系统，就达到了更高的安全级别。

要确保网路之间是隔离的 保证网间隔离的关键是网路包不可路由到对方网路，无论中间採用了什幺转换方法，只要最终使得一方的网路包能够进入到对方的网路中，都无法称之为隔离，即达不到隔离的效果。显然，只是对网间的包进行转发，并且允许建立端到端连线的防火墙，是没有任何隔离效果的。此外，那些只是把网路包转换为文本，交换到对方网路后，再把文本转换为网路包的产品也是没有做到隔离的。

要保证网间交换的只是套用数据 既然要达到网路隔离，就必须做到彻底防範基于网路协定的攻击，即不能够让网路层的攻击包到达要保护的网路中，所以就必须进行协定分析，完成套用层数据的提取，然后进行数据交换，这样就把诸如TearDrop、Land、Smurf和SYN Flood等网路攻击包，彻底地阻挡在了可信网路之外，从而明显地增强了可信网路的安全性。

要对网间的访问进行严格的控制和检查 作为一套适用于高安全度网路的安全设备，要确保每次数据交换都是可信的和可控制的，严格防止非法通道的出现，以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术，保证每一次数据交换过程都是可信的，并且内容是可控制的，可採用基于会话的认证技术和内容分析与控制引擎等技术来实现。

要在坚持隔离的前提下保证网路畅通和套用透明 隔离产品会部署在多种多样的複杂网路环境中，并且往往是数据交换的关键点，因此，产品要具有很高的处理性能，不能够成为网路交换的瓶颈，要有很好的稳定性；不能够出现时断时续的情况，要有很强的适应性，能够透明接入网路，并且透明支持多种套用。

网路隔离的关键是在于系统对通信数据的控制，即通过不可路由的协定来完成网间的数据交换。由于通信硬体设备工作在网路七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软体来实现的。

因此，隔离的关键点就成了要儘量提高网间数据交换的速度，并且对套用能够透明支持，以适应複杂和高频宽需求的网间数据交换。而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破，既便有所改进也必须付出巨大的成本，和“适度安全”理念相悖。

下是已有隔离技术主要由如下几种类型：
（1）双机双网。双机双网隔离技术方案是指通过配置两台计算机来分别联接区域网路和外网环境，再利用移动存储设备来完成数据互动操作，然而这种技术方案会给后期系统维护带来诸多不便，同时还存在成本上升、占用资源等缺点，而且通常效率也无法达到用户的要求。
（2）双硬碟隔离。双硬碟隔离技术方案的基本思想是通过在原有客户机上添加一块硬碟和隔离卡来实现区域网路和外网的物理隔离，并通过选择启动区域网路硬碟或外网硬碟来连线区域网路或外网网路。由于这种隔离技术方案需要多添加一块硬碟，所以对那些配置要求高的网路而言，就造成了成本浪费，同时频繁的关闭、启动硬碟容易造成硬碟的损坏。
（3）单硬碟隔离。单硬碟隔离技术方案的实现原理是从物理层上将客户端的单个硬碟分割为公共和安全分区，并分别安装两套系统来实现区域网路和外网的隔离，这样就可具有较好的可扩展性，但是也存在数据是否安全界定困难、不能同时访问内外两个网路等缺陷。
（4）集线器级隔离。集线器级隔离技术方案的一个主要特徵在客户端只需使用一条网路线就可以部署区域网路和外网，然后通过远端切换器来选择连线内外双网，避免了客户端要用两条网路线来连线内外网路。
（5）伺服器端隔离。伺服器端隔离技术方案的关键内容是在物理上没有数据连通的内外网路下，如何快速分时地处理和传递数据信息，该方案主要是通过採用複杂的软硬体技术手段来在伺服器端实现数据信息过滤和传输任务，以达到隔离内外网的目的。

第五代隔离技术的出现，是在对市场上网路隔离产品和高安全度网需求的详细分析情况下产生的，它不仅很好地解决了第三代和第四代很难解决的速度瓶颈问题，并且先进的安全理念和设计思路，明显地提升了产品的安全功能，是一种创新的隔离防护手段。

隔离原理 第五代隔离技术的实现原理是通过专用通信设备、专有安全协定和加密验证机制及套用层数据提取和鉴别认证技术，进行不同安全级别网路之间的数据交换，彻底阻断了网路间的直接TCP/IP连线，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于作业系统和网路协定自身漏洞带来的安全风险。

网路隔离技术有很多种，包括:

物理网路隔离：在两个DMZ之间配置一个网路，让其中的通信只能经由一个安全装置实现。在这个安全装置里面，防火墙及IDS/IPS规则会监控信息包来确认是否接收或拒绝它进入区域网路。这种技术是最安全但也最昂贵的，因为它需要许多物理设备来将网路分隔成多个区块。

逻辑网路隔离：这个技术藉由虚拟/逻辑设备，而不是物理的设备来隔离不同网段的通信。

虚拟区域网路(VLAN)：VLAN工作在第二层，与一个广播区域中拥有相同VLAN标籤的接口互动，而一个交换机上的所有接口都默认在同一个广播区域。支持VLAN的交换机可以藉由使用VLAN标籤的方式将预定义的连线埠保留在各自的广播区域中，从而建立多重的逻辑分隔网路。

虚拟路由和转发：这个技术工作在第三层，允许多个路由表同时共存在同一个路由器上，用一台设备实现网路的分区。

多协定标籤交换(MPLS)：MPLS工作在第三层，使用标籤而不是保存在路由表里的网路地址来转发数据包。标籤是用来辨认数据包将被转发到的某个远程节点。

虚拟交换机：虚拟交换机可以用来将一个网路与另一个网路分隔开来。它类似于物理交换机，都是用来转发数据包，但是用软体来实现,所以不需要额外的硬体。