各位安全研究員先生無關乎用了以下幾種方式，我講的幾種方式中還有幾種至少博主所在的公司人不了解還沒有在用，言歸正傳，為了下文的正式展開我先列舉當前研究的幾種方式：

一、利用殺軟的隔離區

缺點：如果內容太多，大約有50個G，用虛擬磁盤不太現實，用殺軟的隔離區更不行。
我想補充如下幾點問題：
1.如用虛擬機，我會選擇在虛擬機中裝linux系統，再把病毒放進去。那麽文件太多，整理、傳輸太慢，調用也不方便（如果不裝虛擬機就不能用了）。
2.用殺軟的隔離區，我總不能建100G的隔離區吧，而且就沒法整理了。
二、更改主文件的文件格式

缺點： 這種操作方式比較復雜，對人的要求比較高，不要奢望每個人都有這些基礎技能，反而帶來了操作不便利性。

看來從端的問題解決這個問題是有點麻煩，那麽我們再看看大家想到網落的問題如何解決此類問題

一、建立獨立的vpc去做病毒樣本分析、只與互聯網通信，與內網用安全策略做邏輯隔離。

缺點： 1、調試樣本如何上傳到分析機上
2、調試操作受地理區域影響，遠程操作又依賴於網絡質量，還不能影響樣本分析的效率。
3、多辦公區集中在vpc下去做樣本分析，安全研究員是否抵觸這種遠程樣本分析的工作方式
4、無擺渡設備的前提下，樣本下載，樣本報告都需要走雲盤，對數據的保密性有挑戰。

二、建立B網，樣本分析人員采取雙機雙卡，獨立的互聯網出口。樣本分析本地化完成，不蔓延內網，A、B網屬於物理隔離。

缺點：
1、需要成本投入，且安全研究人員如果分散多地的前提下，則需要建立多個B網成本實在不可控，這種問題可替代解決方案：在核心辦公區內建立大B網，在B網內發布ssl 遠程接入點，而安全研究員員，通過雙機工作方式，樣本分析機遠程接入到B網內完成樣本分析操作。A網工作機負責日常辦公，B網ssl 識別樣本分析機的硬件特征，防止多機混用。
2、需要申請獨立的組網設備，該設備運維和當前網不在一體，運維成本增加。
3、還是公司要花錢，花錢太難了。

三、 用4G路由組建病毒樣本測試專網，安全研究在isp的4G網下完成

缺點：1、不能滿足業務發展的拓展長線目標，網絡質量差，用戶體驗未必
能滿足使用需求。
2、增加了一部分資產脫管狀態。對於公司整體資產管理帶來了不便利性。運維是交業務線運維，還是交運維部門管，權責不分，這部分的所有操作行為脫離安全監控，屬於風險點。
3、第三點，是我聽了至今為止做安全這麽多年，最可笑的理由。“這種敏感類型的操作，盡量在和公司無關的網下進行”，當責奮鬥，不只是對自己所做的工作負責任，而是對社會負責，對使用的個體負責，否則網絡更安全，世界更美好都是徒有虛名，和老板思想背道而馳。安全人，都沒有了責任，那網絡還會安全嗎？

那好吧，上述洋洋灑灑講了一些，普遍防禦方式，下述本人描述對於樣本分析網組建的看法，還望各位大佬多多指教。

1、在實體網絡下完成樣本分析網的組建，那就是建立A、B網。
肯定會遇到A B網互通的需求，那如何處理好A B網的通信，而不是像某安全公司用防火墻處理A B網的隔離呢？

大家先看看，現有A B網通信的方式

這種方式雖然滿足了網絡隔離，但是人工操作風險高，對病毒和內容過濾方面真的不是很好。
其實對於橫向的，博主還是建議使用網閘，網閘工作原理我就不用啰嗦了，無非就是文件擺渡通信的問題。隔離設備存在“正向隔離”“反向隔離”，我們擔心的向A網漫遊的問題，可以加以控制。

若實在沒有能力建立B網，可以將用於樣本分析的主機，集中依托物理設備的上聯口與當前A網，通過正反向隔離的方式，網閘做擺渡，提高整體安全性。

二、建立專用的樣本分析vpc

vpc是采用使用隧道技術達到與傳統VLAN想通隔離效果廣播域隔離在實力網卡級別
我們建立獨立的vpc的目標性：既能上網又能和公司內網隔離
微軟的vpc詳情見鏈接http://winsvr.org/info/info.php?sessid=&infoid=25&page=6

使用vpc技術做樣本分析，其核心是在不同的vpc實現二層邏輯隔離。

如何在現有復雜網絡上建立隔離網提供病毒樣本分析，且不蔓延內網。