1. 什么是“物理隔離”

“物理隔離”是指內部網不直接或間接地連接公共網。物理隔離的目的是保護路由器、工作站、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離，才能真正保證內部信息網絡不受來自互聯網的黑客攻擊。此外，物理隔離也為內部網劃定了明確的安全邊界，使得網絡的可控性增強，便于內部管理。 

2.如何實現物理隔離 

網絡隔離技術目前有如下兩種技術： 

       單主板安全隔離計算機：其核心技術是雙硬盤技術，將內外網絡轉換功能做入BIOS中，并將插槽也分為內網和外網，使用更方便，也更安全，價格界乎于雙主機和隔離卡之間。 但由于技術要求比較高，一般不采用此種隔離技術。

       隔離卡技術：其核心技術是雙硬盤技術，啟動外網時關閉內網硬盤，啟動內網時關閉外網硬盤，使兩個網絡和硬盤物理隔離，它不僅用于兩個網絡物理隔離的情況，也可用于個人資料要保密又要上互聯網的個人計算機的情況。其優點是價格低，但使用稍麻煩，因為轉換內外網要關機和重新開機。 

       單主板安全隔離計算機 

       單主板安全隔離計算機是采用徹底實現內外網物理隔離的個人電腦，這種安全電腦的成本僅僅增加了25%左右，并且由于這種安全電腦是在較低層的BIOS上開發的，處理器、主板、外設的升級不會給電腦帶來什么“不兼容”的影響。它很好地解決了接入網絡后局域網絡信息安全、系統安全、操作安全和環境安全等問題，徹底實現了網絡物理隔離。 

       安全電腦在傳統PC主板結構上形成了兩個物理隔離的網絡終端接入環境，分別對應于國際互聯網和內部局域網，保證局域網信息不會被互聯網上的黑客和病毒破壞。主板BIOS控制由網卡和硬盤構成的網絡接入和信息存儲環境各自獨立，并只能在相應的網絡環境下工作，不可能在一種網絡環境下使用另一環境才使用的設備。 

       網絡安全隔離卡 

       網絡安全隔離卡的功能是以物理方式將一臺PC虛擬為兩部電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩種狀態是完全隔離的，從而使一部工作站可在完全安全狀態下連接內外網。 網絡安全隔離卡實際是被設置在PC中最低的物理層上，通過卡上一邊的IDE總線連接主板，另一邊連接IDE硬盤，內、外網的連接均須通過網絡安全隔離卡，PC機硬盤被物理分隔成為兩個區域，在IDE總線物理層上，在固件中控制磁盤通道，在任何時候，數據只能通往一個分區。 

       在安全狀態時，主機只能使用硬盤的安全區與內部網連接，而此時外部網（如Internet）連接是斷開的，且硬盤的公共區的通道是封閉的；在公共狀態時，主機只能使用硬盤的公共區與外部網連接，而此時與內部網是斷開的，且硬盤安全區也是被封閉的。 

       當兩種狀態轉換時，是通過鼠標點擊操作系統上的切換鍵，即進入一個熱啟動過程。切換時，系統通過硬件重啟信號重新啟動，這樣，PC內存的所有數據就被消除，兩個狀態分別是有獨立的操作系統，并獨立導入，兩種硬盤分區不會同時激活。 為了保證安全，兩個分區不能直接交換數據，但是用戶可以通過一個獨特的設計，來安全方便地實現數據交換，即在兩個分區以外，網絡安全隔離在硬盤上另外設置了一個功能區，該功能區在PC處于不同的狀態下轉換，即在兩種狀態下功能區均表現為硬盤的D盤，各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要，也可創建單向的安全通道，即數據只能從公共區向安全區轉移，但不能逆向轉移，從而保證安全區的數據安全。