公司财务部的电脑突然连不上邮件系统,但隔壁研发部一切正常;医院的CT影像设备只能访问PACS服务器,不能上网查资料;工厂车间的PLC控制系统压根看不到办公Wi-Fi——这些都不是故障,而是网络隔离在起作用。
物理隔离:最硬核的“墙”
两套网络完全不共用任何物理线路、交换机或网卡。比如涉密单位用两台独立电脑,一台处理内部文件,一台连互联网,中间连USB口都焊死了。没有线,就没有路,最彻底,但也最不方便。
逻辑隔离:靠规则划出“虚拟围墙”
同一套物理设备上,用VLAN、ACL(访问控制列表)或防火墙策略区分不同区域。比如把行政、研发、访客三个部门划分成不同VLAN,彼此默认不通,只允许特定端口通信:
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10 <!-- 行政部 -->
!
interface GigabitEthernet0/2
switchport mode access
switchport access vlan 20 <!-- 研发部 -->再配一条ACL禁止VLAN10访问VLAN20的数据库端口,隔离就生效了。
协议隔离:让数据“过安检”
网闸(Gapless Security Gateway)是典型代表。它不是简单放行或拦截,而是拆掉TCP/IP包,只提取纯文本或文件内容,再由另一侧重新封装发出。像海关检查行李——原封不动的U盘不许带入,但你手写的会议纪要可以打印出来递进去。
应用层隔离:细到每个按钮的权限
比如用零信任架构+微隔离技术,在Kubernetes集群里给每个Pod打标签,规定“A服务的API只能被B服务调用,且仅限GET /user/profile接口”。连容器之间的通信都要按策略动态授权,不再依赖IP或端口。
无线隔离:看不见的“单向玻璃”
很多商场Wi-Fi开启“客户端隔离”后,你连上了,却ping不通旁边喝咖啡的人的手机。AP(无线接入点)在二层就把设备隔开,既防蹭网,也防ARP攻击。家里路由器后台常叫“AP隔离”或“无线客户端隔离”,勾选即生效。
选哪种?没标准答案。小公司用VLAN+防火墙就能管住大部分风险;医院HIS系统必须物理隔离+协议隔离双保险;云上业务则更倾向应用层微隔离。关键不是堆技术,而是清楚自己怕什么——怕泄密?怕误操作?怕勒索软件横扫全网?想明白这点,隔离才真正落地。