网络隔离技术有很多种,包括:
物理网络隔离:在两个DMZ之间配置一个网络,让其中的通信只能经由一个安全装置实现。在这个安全装置里面,防火墙及IDS/IPS规则会监控信息包来确认是否接收或拒绝它进入内网。这种技术是最安全但也最昂贵的,因为它需要许多物理设备来将网络分隔成多个区块。
逻辑网络隔离:这个技术借由虚拟/逻辑设备,而不是物理的设备来隔离不同网段的通信。
虚拟局域网(VLAN):VLAN工作在第二层,与一个广播区域中拥有相同VLAN标签的接口交互,而一个交换机上的所有接口都默认在同一个广播区域。支持VLAN的交换机可以借由使用VLAN标签的方式将预定义的端口保留在各自的广播区域中,从而建立多重的逻辑分隔网络。
虚拟路由和转发:这个技术工作在第三层,允许多个路由表同时共存在同一个路由器上,用一台设备实现网络的分区。
多协议标签交换(MPLS):MPLS工作在第三层,使用标签而不是保存在路由表里的网络地址来转发数据包。标签是用来辨认数据包将被转发到的某个远程节点。
虚拟交换机:虚拟交换机可以用来将一个网络与另一个网络分隔开来。它类似于物理交换机,都是用来转发数据包,但是用软件来实现,所以不需要额外的硬件。
