网闸工作原理.pdf

网闸工作原理

安全隔离网闸是一组具有多种控制功能的软硬件组成的网络安全设备，它在

电路上切断了网络之间的链路层连接，并能够在网络间进行安全的应用数据

换。第二代网闸通过专用交换通道、高速硬件通信卡、私有通信协议和加密签名

机制来实现高速、安全的内外网数据交换，使得处理能力较一代大大提高，能够

适应复杂网络对隔离应用的需求；私有通信协议和加密签名机制保证了内外处理

单元之间数据交换的机密性、完整性和可信性。

与同类产品比较，网闸具有更高的安全性和可靠性，作为目前业界公认的较

为成熟可靠的网络隔离解决方案，在政府部门信息化建设中逐渐受到青睐。网闸

通过内部控制系统连接两个独立网络，利用内嵌软件完成切换操作，并且增加了

安全审查程序。作为数据传递“中介”，网闸在保证重要网络与其他网络隔离的

同时进行数据安全交换。

由于互联网是基于TCP/IP协议实现连接，因此入侵攻击都依赖于OSI七层数据

通信模型的一层或多层。理论上讲，如果断开OSI数据模型的所有层，就可以

消除来自网络的潜在攻击。网闸正是依照此原理实现了信息安全传递，它不依靠

网络协议的数据包转发，只有数据的无协议“摆渡”，阻断了基于OSI协议的潜

在攻击，从而保证了系统安全。

网闸工作的原理在于：中断两侧网络的直接相连，剥离网络协议并将其还原

成原始数据，用特殊的内部协议封装后传输到对端网络。同时，网闸可通过附加

检测模块对数据进行扫描，从而防止恶意代码和病毒，甚至可以设置特殊的数据

属性结构实现通过限制。网闸不依赖于TCP/IP和操作系统，而由内嵌仲裁系统

对OSI的七层协议进行全面分析，在异构介质上重组所有的数据，实现了“协

议落地、内容检测”。因此，网闸真正实现了网络隔离，在阻断各种网络攻击的

前提下，为用户提供安全的网络操作、邮件访问以及基于文件和数据库的数据交

换。

1.网闸与防火墙的对比分析

防火墙与网闸同属网络安全产品类别，但它与网闸是截然不同的。防火墙是

基于访问控制技术，即通过限制或开放网络中某种协议或端口的访问来保证系统

安全，主要包括静态包过滤、网络地址转换、状态检测包过滤、电路代理、应用

代理等方法来进行安全控制，通过对IP包的处理，实现对TCP会话的控制，并

通过访问控制的方式允许合法的数据包进入内部网络，从而防止非法用户获取内

部重要信息，阻止黑客入侵。表1是对两者在各方面的对比：

防火墙在使用中存在以下问题：首先，防火墙侧重于网络层至应用层的策略隔离，

在使用前需要对网络攻击特征规则库进行复杂的配置和动态维护，并及时更新安

全策略才能满足用户安全需要；其次，多数防火墙是基于路由器的数据包分组过

滤类型，防护能力较差。

通过性能对比，防火墙与网闸存在的区别在于：

首先，防火墙是访问控制类产品，它不能实现完全隔离，必须在网络互通的

情况下进行访问控制。防火墙工作依赖于TCP/IP协议，在网络层对数据包作安

全检查，因此无法保证数据安全性；而隔离网闸是在网络断开的情况下，以非网

络方式进行数据交换，实现信息的共享。网闸数据交换不依赖于OSI模型，通

过隔离硬件将内外网络在链路层断开，由仲裁系统在内外网对应节点上进行切

换，在剥离协议并重新封装原始数据后，对硬件上的存储芯片进行读写来完成数

据的交换，因此网闸实现了内外网完全隔离。

其次，防火墙常用于保证网络层安全的边界安全（如DMZ区），而网闸主要

保护内部网络的安全。防火墙通常用网络地址翻译及存取列表来限定某个地址范

围或端口协议的访问。例如，防火墙应用代理的典型安全威胁是：木马程序通常

利用操作系统漏洞绕过防火墙入侵应用代理服务器；而隔离网闸能够很好的解决

高性能、高安全性、易用性之间的矛盾，网闸无需升级即可防止入侵，它切断所

有的TCP连接，包括UDP、ICMP等其他各种协议，使各种木马程序无法通过

网闸进行通讯。

2、应用案例介绍

杭州市建委在信息化建设中，为了规范行业管理，体现政务公开，通过网闸隔离