如何在現有複雜網絡上創建隔離網提供病毒樣本分析，且不蔓延內網。

目前安全廠家及安全公司都有病毒樣本分析及惡意程序分析的研究的必要性，你們都採用的大同小異的方式。

各位安全研究員先生無關乎用瞭如下幾種方式，我講的幾種方式中還有幾種至少博主所在的公司人不瞭解尚未在用，言歸正傳，爲了下文的正式展開我先列舉當前研究的幾種方式：

1、利用殺軟的隔離區

缺點：若是內容太多，大約有50個G，用虛擬磁盤不太現實，用殺軟的隔離區更不行。
我想補充以下幾點問題：
1.如用虛擬機，我會選擇在虛擬機中裝linux系統，再把病毒放進去。那麼文件太多，整理、傳輸太慢，調用也不方便（若是不裝虛擬機就不能用了）。
2.用殺軟的隔離區，我總不能建100G的隔離區吧，並且就無法整理了。
2、更改主文件的文件格式
加密壓縮文件+文件夾加密+（另外一種軟件）文件夾加密+分區加密+給系統和用戶設權限（禁止訪問分區）+寫硬盤寫保護

缺點： 這種操做方式比較複雜，對人的要求比較高，不要奢望每一個人都有這些基礎技能，反而帶來了操做不便利性。

看來從端的問題解決這個問題是有點麻煩，那麼咱們再看看你們想到網落的問題如何解決此類問題

1、創建獨立的vpc去作病毒樣本分析、只與互聯網通訊，與內網用安全策略作邏輯隔離。

缺點： 一、調試樣本如何上傳到分析機上
二、調試操做受地理區域影響，遠程操做又依賴於網絡質量，還不能影響樣本分析的效率。
三、多辦公區集中在vpc下去作樣本分析，安全研究員是否抵觸這種遠程樣本分析的工做方式
四、無擺渡設備的前提下，樣本下載，樣本報告都須要走雲盤，對數據的保密性有挑戰。

2、創建B網，樣本分析人員採起雙機雙卡，獨立的互聯網出口。樣本分析本地化完成，不蔓延內網，A、B網屬於物理隔離。

缺點：
一、須要成本投入，且安全研究人員若是分散多地的前提下，則須要創建多個B網成本實在不可控，這種問題可替代解決方案：在覈心辦公區內創建大B網，在B網內發佈ssl 遠程接入點，而安全研究員員，經過雙機工做方式，樣本分析機遠程接入到B網內完成樣本分析操做。A網工做機負責平常辦公，B網ssl 識別樣本分析機的硬件特徵，防止多機混用。
二、須要申請獨立的組網設備，該設備運維和當前網不在一體，運維成本增長。
三、仍是公司要花錢，花錢太難了。

3、 用4G路由組建病毒樣本測試專網，安全研究在isp的4G網下完成

缺點：一、不能知足業務發展的拓展長線目標，網絡質量差，用戶體驗未必
能知足使用需求。
二、增長了一部分資產脫管狀態。對於公司總體資產管理帶來了不便利性。運維是交業務線運維，仍是交運維部門管，權責不分，這部分的全部操做行爲脫離安全監控，屬於風險點。
三、第三點，是我聽了至今爲止作安全這麼多年，最好笑的理由。「這種敏感類型的操做，儘可能在和公司無關的網下進行」，當責奮鬥，不僅是對本身所作的工做負責任，而是對社會負責，對使用的個體負責，不然網絡更安全，世界更美好都是徒有虛名，和老闆思想背道而馳。安全人，都沒有了責任，那網絡還會安全嗎？

那好吧，上述洋洋灑灑講了一些，廣泛防護方式，下述本人描述對於樣本分析網組建的見解，還望各位大佬多多指教。

一、在實體網絡下完成樣本分析網的組建，那就是創建A、B網。
確定會遇到A B網互通的需求，那如何處理好A B網的通訊，而不是像某安全公司用防火牆處理A B網的隔離呢？

你們先看看，現有A B網通訊的方式

這種方式雖然知足了網絡隔離，可是人工操做風險高，對病毒和內容過濾方面真的不是很好。
其實對於橫向的，博主仍是建議使用網閘，網閘工做原理我就不用囉嗦了，無非就是文件擺渡通訊的問題。隔離設備存在「正向隔離」「反向隔離」，咱們擔憂的向A網漫遊的問題，能夠加以控制。

若實在沒有能力創建B網，能夠將用於樣本分析的主機，集中依託物理設備的上聯口與當前A網，經過正反向隔離的方式，網閘作擺渡，提升總體安全性。

2、創建專用的樣本分析vpc

vpc是採用使用隧道技術達到與傳統VLAN想通隔離效果廣播域隔離在實力網卡級別
咱們創建獨立的vpc的目標性：既能上網又能和公司內網隔離
微軟的vpc詳情見連接http://winsvr.org/info/info.php?sessid=&infoid=25&page=6

使用vpc技術作樣本分析，其核心是在不一樣的vpc實現二層邏輯隔離。