逻辑隔离主要通过逻辑隔离器实现,逻辑隔离器是一种不同网络间的隔离部件,被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离。
逻辑隔离又叫协议隔离,国家标准对逻辑隔离是这样定义,协议隔离:指处于不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过(GB17859-1999和GB/T20271-2006中确立的术语)。逻辑隔离的核心是协议,协议是可定义传输方向和被监控。 传输的方向是可控制的单向传输,可双向。但所有的传输是可以被监控,非封闭或加密的协议。被保护端和公开端间的数据传输是可以监控的。
逻辑隔离有两种情形:一种是
数据存储有物理连接,单
硬盘隔离卡在隔离的时候数据是放在同一个硬盘上,数据存储没有物理上的断开,虽然可以采用软件技术控制内外网数据放于不同区域,但是数据还是有物理上的连接,所以不属于
物理隔离。另外一种是网络有物理连接,有些单位在装上双硬盘隔离卡时,将内外网通过一条网线连接到电脑网卡,通过在
交换机两个不同的IP段,来控制IP地址,虽然这两个网络也是不可互相访问,但是两个网络的数据是在同一条线路上传输,网络的数据没有物理上的断开,也是逻辑隔离。这种情况下如果要实现物理隔离,必须内外网有单独的交换机。
逻辑隔离最新实现手段是利用虚拟化技术实现逻辑隔离。利用虚拟化技术,可以让用户在一台计算机上打开一个或多个虚拟桌面,每个虚拟桌面以及该计算机的真实操作系统之间都可以互相隔离,数据不能相互传输。因此可以将不同的虚拟桌面以及真实系统连接到不同安全级别的网络,比如利用虚拟桌面来访问外部互联网,而本地真实操作系统则连接到内部机密网络进行研发设计工作,这样就实现了内外的隔离;此时不同安全级别的网络之间,有着物理上的连接,但互相之间不能相互访问,只有指定的协议才能通过,符合逻辑隔离的国家标准定义,因此属于逻辑隔离的范畴。
虚拟化的逻辑隔离较之传统的逻辑隔离手段,特点在于使用的便利性,在同一台计算机上进行窗口切换即可实现不同安全级别网络的访问,同时也不降低安全性。目前市面上一些上网安全桌面类的产品就属于虚拟化逻辑隔离范畴。