如何在现有复杂网络上创建隔离网提供病毒样本分析，且不蔓延内网。

目前安全厂家及安全公司都有病毒样本分析及恶意程序分析的研究的必要性，你们都采用的大同小异的方式。

各位安全研究员先生无关乎用了如下几种方式，我讲的几种方式中还有几种至少博主所在的公司人不了解尚未在用，言归正传，为了下文的正式展开我先列举当前研究的几种方式：

1、利用杀软的隔离区

缺点：若是内容太多，大约有50个G，用虚拟磁盘不太现实，用杀软的隔离区更不行。
我想补充以下几点问题：
1.如用虚拟机，我会选择在虚拟机中装linux系统，再把病毒放进去。那么文件太多，整理、传输太慢，调用也不方便（若是不装虚拟机就不能用了）。
2.用杀软的隔离区，我总不能建100G的隔离区吧，并且就无法整理了。
2、更改主文件的文件格式
加密压缩文件+文件夹加密+（另外一种软件）文件夹加密+分区加密+给系统和用户设权限（禁止访问分区）+写硬盘写保护

缺点： 这种操做方式比较复杂，对人的要求比较高，不要奢望每一个人都有这些基础技能，反而带来了操做不便利性。

看来从端的问题解决这个问题是有点麻烦，那么咱们再看看你们想到网落的问题如何解决此类问题

1、创建独立的vpc去作病毒样本分析、只与互联网通讯，与内网用安全策略作逻辑隔离。

缺点： 一、调试样本如何上传到分析机上
二、调试操做受地理区域影响，远程操做又依赖于网络质量，还不能影响样本分析的效率。
三、多办公区集中在vpc下去作样本分析，安全研究员是否抵触这种远程样本分析的工做方式
四、无摆渡设备的前提下，样本下载，样本报告都须要走云盘，对数据的保密性有挑战。

2、创建B网，样本分析人员采起双机双卡，独立的互联网出口。样本分析本地化完成，不蔓延内网，A、B网属于物理隔离。

缺点：
一、须要成本投入，且安全研究人员若是分散多地的前提下，则须要创建多个B网成本实在不可控，这种问题可替代解决方案：在核心办公区内创建大B网，在B网内发布ssl 远程接入点，而安全研究员员，经过双机工做方式，样本分析机远程接入到B网内完成样本分析操做。A网工做机负责平常办公，B网ssl 识别样本分析机的硬件特征，防止多机混用。
二、须要申请独立的组网设备，该设备运维和当前网不在一体，运维成本增长。
三、仍是公司要花钱，花钱太难了。

3、 用4G路由组建病毒样本测试专网，安全研究在isp的4G网下完成

缺点：一、不能知足业务发展的拓展长线目标，网络质量差，用户体验未必
能知足使用需求。
二、增长了一部分资产脱管状态。对于公司总体资产管理带来了不便利性。运维是交业务线运维，仍是交运维部门管，权责不分，这部分的全部操做行为脱离安全监控，属于风险点。
三、第三点，是我听了至今为止作安全这么多年，最好笑的理由。“这种敏感类型的操做，尽可能在和公司无关的网下进行”，当责奋斗，不仅是对本身所作的工做负责任，而是对社会负责，对使用的个体负责，不然网络更安全，世界更美好都是徒有虚名，和老板思想背道而驰。安全人，都没有了责任，那网络还会安全吗？

那好吧，上述洋洋洒洒讲了一些，广泛防护方式，下述本人描述对于样本分析网组建的见解，还望各位大佬多多指教。

一、在实体网络下完成样本分析网的组建，那就是创建A、B网。
确定会遇到A B网互通的需求，那如何处理好A B网的通讯，而不是像某安全公司用防火墙处理A B网的隔离呢？

你们先看看，现有A B网通讯的方式

这种方式虽然知足了网络隔离，可是人工操做风险高，对病毒和内容过滤方面真的不是很好。
其实对于横向的，博主仍是建议使用网闸，网闸工做原理我就不用啰嗦了，无非就是文件摆渡通讯的问题。隔离设备存在“正向隔离”“反向隔离”，咱们担忧的向A网漫游的问题，能够加以控制。

若实在没有能力创建B网，能够将用于样本分析的主机，集中依托物理设备的上联口与当前A网，经过正反向隔离的方式，网闸作摆渡，提升总体安全性。

2、创建专用的样本分析vpc

vpc是采用使用隧道技术达到与传统VLAN想通隔离效果广播域隔离在实力网卡级别
咱们创建独立的vpc的目标性：既能上网又能和公司内网隔离
微软的vpc详情见连接http://winsvr.org/info/info.php?sessid=&infoid=25&page=6

使用vpc技术作样本分析，其核心是在不一样的vpc实现二层逻辑隔离。