网络要隔离的原因很多，通常说的有下面两点：

　　1、涉密的网络与低密级的网络互联是不安全的，尤其来自不可控制网络上的入侵与攻击是无法定位管理的。互联网是世界级的网络，也是安全上难以控制的网络，又要连通提供公共业务服务，又要防护各种攻击与*。要有隔离，还要数据交换是各企业、政府等网络建设的首先面对的问题。

　　2、安全防护技术永远落后于攻击技术，先有了矛，可以刺伤敌人，才有了盾，可以防护被敌人刺伤。攻击技术不断变化升级，门槛降低、漏洞出现周期变短、*传播技术成了木马的运载工具...而防护技术好象总是打不完的补丁，目前互联网上的"黑客"已经产业化，有些象网络上的"黑社会"，虽然有时也做些杀富济贫的"义举"，但为了生存，不断专研新型攻击技术也是必然的。在一种新型的攻击出现后，防护技术要迟后一段时间才有应对的办法，这也是网络安全界的目前现状。

　　关于隔离与数据交换，启明星辰公司有比较的安全策略研究，总结起来有下面几种安全策略：

　　修桥策略：业务协议直接通过，数据不重组，对速度影响小，安全性弱

　　◆防火墙FW：网络层的过滤

　　◆多重安全网关：从网络层到应用层的过滤，多重关卡策略

　　渡船策略：业务协议不直接通过，数据要重组，安全性好

　　◆网闸：协议落地，安全检测依赖于现有的安全技术

　　◆交换网络：建立交换缓冲区，采用防护、监控与审计多方位的安全防护

　　人工策略：不做物理连接，人工用移动介质交换数据，安全性最好。

　　1、防火墙

　　防火墙是最常用的网络隔离手段，主要是通过网络的路由控制，也就是访问控制列表(ACL)技术，网络是一种包交换技术，数据包是通过路由交换到达目的地的，所以控制了路由，就能控制通讯的线路，控制了数据包的流向，早期的网络安全控制方面基本上是防火墙。国内影响较大的厂商有天融信、启明星辰、联想网御等。

　　但是，防火墙有一个很显着的缺点：就是防火墙只能做网络四层以下的控制，对于应用层内的*、蠕虫都没有办法。对于安全要求初级的隔离是可以的，但对于需要深层次的网络隔离就显得不足了。