内外网隔离方案2014-9-19

内外网隔离方案

一、前言：

内外网物理隔离，是指内部网不得直接或间接地连接公共网即国际互联网。目前可以利用的手段很多，如增加防火墙、代理服务器、入侵监测、vlan隔离或者物理隔离网卡等技术手段来抵御来自互联网的非法入侵，但至今这些技术手段都还存在许多漏洞，还不能彻底保证内网信息的绝对安全，只有使内部网和公共网实现物理隔离，才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。众所周知，国际互联网是国际化、开放和互联为特点的，而安全度和开放度永远是一对矛盾。因此，根据单位的实际情况，选择不同的方式是很重要的。

二、现状分析

山东迈赫由于其单位的工作性质，所涉及到的一部分数据资料必须处于完全的安全状态下，然而工作的需求还需联入INTERNET，这样就无法保证公司内部局域网的安全。

根据目前描述的情况，可以采用的方案有下面几个：

方案一：采用新建一套外网的方法，这样是严格意义上的内外网物理隔离，内外网是两套独立的计算机网络系统，这种方式的优缺点很明显，优点：绝对的物理隔离，两套网络不存在物理联系，缺点：需要新建一套网络，需要增加交换机和综合布线系统，造价较高。

重新布线到各客户端，按照客户需求共需XX个点的布线。

预算：

序

名称规格型号数量单价总价备注号

1 超五类双绞线AMP或普天

2 交换机LSW3600-24GT4GP-SI

3 模块普天

4 面板底盒普天

5 PVC线槽

6 辅材

7 施工费

8 税费

方案二：用同一套网络设备，采用虚拟局域网（VLAN）的技术实现内外网的隔离，这种方式不是严格意义上的物理隔离，在对安全性要求不是很高的情况下可以采用。

这个方案的优点：在节省投资的情况下能实现基本的安全需求。缺点：就是不能做到严格意义的物理隔离。

次方案的安装调试都相对简单，需要的投资相对较小，就是将各个楼层的傻瓜交换机换成智能网管交换机。如迪普的48口LSW3600-48T4GP-SI交换机，24口LSW3600-24GT4GP-SI 交换机。

预算：

名称规格型号数量单价总价备注序

号

1 交换机LSW3600-48T4GP-SI 3 8400

2 交换机LSW3600-24GT4GP-SI

3 4600

3 安装调试

4 其他