邏輯隔離

一般使用協議轉換、數據格式剝離和數據流控制的方法，在兩個邏輯隔離區域中傳輸數據。並且傳輸的方向是可控狀態下的單向，不能在兩個網絡之間直接進行數據交換。

邏輯隔離又叫協議隔離，國家標準對邏輯隔離是這樣定義，協議隔離：指處於不同安全域的網絡在物理上是有連線的，通過協議轉換的手段保證受保護信息在邏輯上是隔離的，只有被系統要求傳輸的、內容受限的信息可以通過（GB17859-1999和GB/T20271-2006中確立的術語）。邏輯隔離的核心是協議，協議是可定義傳輸方向和被監控。 傳輸的方向是可控制的單向傳輸，可雙向。但所有的傳輸是可以被監控，非封閉或加密的協議。被保護端和公開端間的數據傳輸是可以監控的。

邏輯隔離有兩種情形：一種是數據存儲有物理連接，單硬盤隔離卡在隔離的時候數據是放在同一個硬盤上，數據存儲沒有物理上的斷開，雖然可以採用軟件技術控制內外網數據放於不同區域，但是數據還是有物理上的連接，所以不屬於物理隔離。另外一種是網絡有物理連接，有些單位在裝上雙硬盤隔離卡時，將內外網通過一條網線連接到電腦網卡，通過在交換機兩個不同的IP段，來控制IP地址，雖然這兩個網絡也是不可互相訪問，但是兩個網絡的數據是在同一條線路上傳輸，網絡的數據沒有物理上的斷開，也是邏輯隔離。這種情況下如果要實現物理隔離，必須內外網有單獨的交換機。

邏輯隔離最新實現手段是利用虛擬化技術實現邏輯隔離。利用虛擬化技術，可以讓用户在一台計算機上打開一個或多個虛擬桌面，每個虛擬桌面以及該計算機的真實操作系統之間都可以互相隔離，數據不能相互傳輸。因此可以將不同的虛擬桌面以及真實系統連接到不同安全級別的網絡，比如利用虛擬桌面來訪問外部互聯網，而本地真實操作系統則連接到內部機密網絡進行研發設計工作，這樣就實現了內外的隔離；此時不同安全級別的網絡之間，有着物理上的連接，但互相之間不能相互訪問，只有指定的協議才能通過，符合邏輯隔離的國家標準定義，因此屬於邏輯隔離的範疇。

虛擬化的邏輯隔離較之傳統的邏輯隔離手段，特點在於使用的便利性，在同一台計算機上進行窗口切換即可實現不同安全級別網絡的訪問，同時也不降低安全性。目前市面上一些上網安全桌面類的產品就屬於虛擬化邏輯隔離範疇。 ^[1]