对于涉密的单位或部门，如何既不违反国家规定，又可以像其他企业一样充分利用互联网一直是他们心中的企盼。           　　国家规定，凡是涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。这包括国家部委、各级政府机关，以及金融、银行、保险等经济领域，还有进行科学研究的科研领域。对于这些单位或部门，如何既不违反国家规定，又可以像其他企业一样充分利用互联网一直是他们心中的企盼。           　　VPN+物理隔离机关远程办公新思路           　　VPN＋物理隔离是目前安全厂商提出的解决这类问题的新思路，这种解决方法尤其适用于远程办公的政府机构，其核心思想就是在网关设备中加载VPN模块，网关设备上拥有多个端口，端口之间彼此物理隔离，通过Internet进行数据通信的远程用户与安全性要求很高的内部网络分别接入不同的端口，这样远程接入用户就与内部网络在物理层一级实现安全隔离，既可以充分利用公共网络发展拓展自己的专有网络，也符合国家对涉密部门信息安全的保密要求。           　　VPN+物理隔离所体现出的是一种不同安全组件之间的联动思想，利用VPN技术实现安全接入，而物理隔离作为一种网关技术，提供较高级别的边界安全，既实现了企业网络扩展的需求，又保障了企业内部核心网络的安全。那么它和现有的具有VPN功能的防火墙相比具有什么优势呢，是否真正具有市场前景和推广价值呢？           　　从设计目标而言，这两种技术方式都是为了实现远程接入、同时保障边界安全的多种技术的融合体，通过联动的手段，达到统一部署，统一管理的目的。                      　　从安全性而言，物理隔离的优势就在“隔离”上，采用硬件物理隔离方案，即将内部涉密网与外部网彻底物理隔离开，没有任何线路连接。这样可以保证外部网上的黑客无法连接内部涉密网，具有很高的安全性，但同时也造成了工作不便、数据交流困难、设备场地增加和维护费用加大等。而通过防火墙技术在不同网段之间做访问管理时，采取的是逻辑隔离的方法，它对网段之间数据通信的安全控制，是通过定制有效的安全规则和策略来实现的，其安全依赖于安全策略制定的合理性和严谨程度，就绝对安全性而言，肯定要弱于通过物理手段进行隔离的系统。不过由于防火墙的控制手段是通过软件实现的，相当于使用软开关，不像物理隔离设备在允许与禁止选择时需要通过电子开关进行切换，电子节点出现物理、电气故障的可能性比较大。同时防火墙的策略控制机制可以对通过定制比较详细的规则，实现人性化的管理。从以上分析可以看出，采用VPN+物理隔离技术，还是采用防火墙技术，其关键在对于不同网关技术的选择。           　　SonicWALL公私彻底分离           　　目前关于VPN+物理隔离技术的产品市场上还很少，SonicWALL公司的最新产品TELE3 TZ这款安全设备在这方面做了一定的尝试，据了解，TELE3 TZ设有两个隔离的端口，它们位于开放系统互联（OSI）的第二层。这两个端口被设计为WorkPort端口和HomePort端口。WorkPort端口用于连接远程办公者的计算机并且提供一个安全、直接的VPN连接到公司网络。WorkPort端口与连接家庭网络的HomePort端口实现物理分隔。通过物理分隔远程办公者与家庭网络使用者的通信，可以完全免除遭受特洛伊木马、病毒和黑客攻击的危险。现在该产品对用户的支持数目还不是很多，目前提供的这个版本支持5个用户和5个VPN通道，对一般规模的企业网络系统还是比较适用的。           　　双DMZ逻辑隔离也安全           　　网络安全体系的建立是个复杂的过程，不是安全产品的简单堆砌，设计精良的安全系统可以在不影响应用的前提下，提供高质量的防护体系，我们除了可以采用VPN+物理隔离技术手段来实现业务和安全的双重需要外，为了提升网络系统的易用性，也可以考虑通过巧妙的设计网络的安全结构，例如使用双DMZ的防火墙部署策略来满足这种需求。具体部署如图所示。           　　在这个安全体系中，外DMZ可以向Internet和内部网络提供应用服务；内DMZ只向内部网络提供应用服务。对Internet用户提供访问服务的服务器，如Web服务器、POP3服务器、FTP服务器等可以放在外DMZ内（如果同时对内外提供服务，建议也放在外DMZ内），并把该区的服务器映射到合法Internet地址上。对于只允许内部网络访问的服务器，如内部Web服务器、SMTP服务器、FTP服务器、Proxy Server等，需要部署在内DMZ内。并把该区的服务器映射到内网的可以访问的地址上，以便内部用户访问。防火墙加载VPN模块，提供远程访问的功能，拓宽网络作用范围。为了提升对内部用户的保护安全力度，两个防火墙可以采用不同厂商提供的产品。           　　按照这种方案建立的防护体系，虽然在物理上采用的依旧是逻辑隔离手段，但是通过组合，从逻辑上分析，它实现了物理隔离的特点，因而它的安全强度，完全不逊于采用物理隔离的防护网络。从应用角度而言，其拓展性和灵活性强于物理隔离网络，也许某一天，随着防火墙软、硬件技术的不断发展，随着可靠性、稳定性、安全性的不断提高，我们完全可以利用逻辑上的物理隔离手段来保护涉及国家机密的计算机信息系统。