使用Docker的user-defined networks和bridge模式结合iptables规则来隔离容器：docker network create --driver bridge isolated-net，然后docker run --network isolated-net -it ubuntu，之后在宿主机上iptables -A FORWARD -s 172.18.0.0/16 ! -d 172.18.0.0/16 -j DROP 来阻止容器间跨网络通信。同时启用Docker的默认seccomp和AppArmor profile，确保容器无法访问宿主机敏感端口。

来源1

Docker 19.03引入了新的网络策略支持，通过--network-policy选项可以实现基于标签的访问控制。例如，docker network create --driver bridge --opt com.docker.network.driver.mtu=1500 mynet，然后使用Calico或类似CNI插件集成Kubernetes网络策略，但纯Docker用docker-compose.yml定义networks: default: driver: bridge ipam: config: - subnet: 172.20.0.0/16，并设置labels: netpolicy: allow=web 来限制访问。

来源2

有效隔离容器间攻击风险的最佳实践是使用macvlan网络驱动，让每个容器有独立MAC地址和IP，仿佛独立主机：docker network create -d macvlan --subnet=192.168.1.0/24 --gateway=192.168.1.1 -o parent=eth0 macnet，然后docker run --network macnet --ip 192.168.1.100 nginx。这避免了bridge网络的NAT共享，容器间无法直接通信，除非路由允许。

来源3

新策略包括启用Docker Swarm的overlay网络加密：docker network create --driver overlay --opt encrypted --attachable secure-net。容器加入后，流量通过IPSec加密，防止窃听和中间人攻击。隔离风险用ingress网络仅限服务发现，结合--publish模式限制暴露端口。

来源4

使用none网络完全禁用容器网络：docker run --network none -it ubuntu，适合无网络需求的服务。结合host网络仅内部服务用，避免暴露。iptables在宿主机drop容器IP范围：iptables -I DOCKER-USER -j DROP，放在DOCKER链前，统一过滤所有容器流量，实现零信任隔离。

来源5

Docker 20.10+支持wireguard-based网络安全：实验性功能docker network create --driver wireguard wgnet，自动生成密钥对加密隧道。容器间通信需授权peer，极大降低侧信道攻击风险。

来源6

实践隔离：1. 创建命名网络docker network create frontend backend；2. 前端容器--network frontend，后端--network backend；3. 无共享网络，无法ping通；4. 只通过应用层代理通信，防火墙规则iptables -A INPUT -p tcp --dport 80 -s backend_subnet -j ACCEPT。

FAQ
Q: Docker默认bridge网络安全吗？
A: 不安全，所有容器共享子网，可互相访问端口，建议自定义隔离网络。
Q: 如何监控容器网络攻击？
A: 用Prometheus+Grafana监控流量，或falco检测异常网络行为。
Q: Swarm模式下怎么隔离？
A: 用overlay网络+服务mesh如Istio强制mTLS。
Q: 性能影响大吗？
A: macvlan和加密网络有轻微开销，测试后选择。