前言：本站為你精心整理了安全網閘范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

一、網閘與網閘技術

網閘是在兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息才可以通過。其信息流一般為通用應用服務。注：網閘的“閘”字取自于船閘的意思，在信息擺渡的過程中內外網（上下游）從未發生物理連接，所以網閘產品必須要有至少兩套主機和一個物理隔離部件才可完成物理隔離任務。現在市場上出現的的單主機網閘或單主機中有兩個及多個處理引擎的過濾產品不是真正的網閘產品，不符合物理隔離標準。其只是一個包過濾的安全產品，類似防火墻。注：單主機網閘多以單向網閘來掩人耳目。

網閘的基本原理是：切斷網絡之間的通用協議連接；將數據包進行分解或重組為靜態數據；對靜態數據進行安全審查，包括網絡協議檢查和代碼掃描等；確認后的安全數據流入內部單元；內部用戶通過嚴格的身份認證機制獲取所需數據。

安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。

安全隔離網閘是由軟件和硬件組成。其硬件設備由三部分組成:外部處理單元、內部處理單元、隔離硬件。

當用戶的網絡需要保證高強度的安全，同時又與其它不信任網絡進行信息交換的情況下，如果采用物理隔離卡，信息交換的需求將無法滿足；如果采用防火墻，則無法防止內部信息泄漏和外部病毒、黑客程序的滲入，安全性無法保證。在本文章共2頁，當前在第1頁[1][2]下一頁本文章共2頁，當前在第2頁上一頁[1][2]這種情況下，安全隔離網閘能夠同時滿足這兩個要求，又避免了物理隔離卡和防火墻的不足之處，是最好的選擇。

對網絡地隔離是通過網閘隔離硬件實現兩個網絡在鏈路層斷開，但是為了交換數據，通過設計的隔離硬件在兩個網絡對應的上進行切換，通過對硬件上的存儲芯片的讀寫，完成數據的交換。

安裝了相應的應用模塊之后，安全隔離

網閘可以在保證安全的前提下，使用戶可以瀏覽網頁、收發電子郵件、在不同網絡上的數據庫之間交換數據，并可以在網絡之間交換定制的文件。但安全隔離網閘從不直接或者間接地轉發ip包形式的數據。安全隔離網閘的安全性體現在鏈路層斷開，直接處理應用層數據，對應用層數據進行內容檢查和控制，在網絡之間交換的數據都是應用層的數據。如果直接轉發ip的話，由于單個ip包中一般不包含完整的應用數據，所以無法進行全面的內容檢查和控制，也就無法保證應用層的安全。因此，如果直接轉發ip包，則背離了安全隔離網閘的安全性要求，不能稱為安全隔離網閘。

鑒于安全隔離網閘保護的主要是內部網絡，一旦支持交互式訪問如支持建立會話，那么無法防止信息的泄漏以及內部系統遭受攻擊，因此，安全隔離網閘不支持交互式訪問。安全隔離網閘的主要性能指標性能指標包括：系統數據交換速率：120mbps硬件切換時間：5ms

安全隔離網閘通常具備的安全功能模塊：安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證。

二、網閘技術發展史

2000年1月，為滿足國內信息化建設及電子政務的需求，國內專業從事網絡與信息安全研究開發、技術支持、產品銷售和安全服務的北京天行網安信息技術有限責任公司率先提出從物理隔離技術發展出gap概念，并且與公安部信息通信局聯合研制完成國內第一款gap產品——天行安全隔離與信息交換系統，與此同時獲得了國內網閘行業第一個銷售許可證，標志著完全由我國自主研發的國內第一臺網閘誕生。當時網閘的性能比較低，支持的應用非常有限。網閘在國內的第一個用戶是外經貿部（現商務部），時間是2000年11月。

2001-2002年，國內由天行網安公司生產的第一批網閘產品“天行安全隔離網閘”開始被小規模應用到公安、稅務、政府機關，如北京市電子政務第一期建設。當時的產品相比較最初的原型設備，性能上有了大的跨越——吞吐量達到80mbps，應用及適應性得到提升，具備了在實際應用場合更多的使用價值。同時，該產品在業界首次擴展了新的應用功能支持，從最初的靜態網頁瀏覽功能發展到郵件和文件同步、數據庫同步功能，產品更加符合市場需求。但當時國內絕大多數用戶對網閘技術不了解，也無法接受其安全隔離的技術理念，網閘尚處于市場萌芽期。

2003年，隨著網閘市場的逐步發展及需求的增大，國內眾多安全廠商如中網、偉思等開始紛紛加入網閘生產商行列，共同推進了網閘市場的發展，網閘開始進入市場的平穩發展期。

2005年，千兆網閘產品出現，功能更趨完善、更強大，各項性能上均有所突破，國內各行業開始大范圍使用。

三、安全隔離網閘與路由器、交換機在網絡之間交換信息的差異

安全隔離網閘在網路間進行的安全適度的信息交換是在網絡之間不存在鏈路層連接的情況下進行的。安全隔離網閘直接處理網絡間的應用層數據，利用存儲轉發的方法進行應用數據的交換，在交換的同時，對應用數據進行的各種安全檢查。路由器、交換機則保持鏈路層暢通，在鏈路層之上進行ip包等網絡層數據的直接轉發，沒有考慮網絡安全和數據安全的問題。

它由三個組件構成：a網處理機、b網處理機和gap開關設備。我們可以很清楚地看到連接兩個網絡的gap設備不能同時連接到相互獨立的a網和b網中，即gap在某一時刻只與其中某個網絡相連。gap設備連接a網時，它是與b網斷開的，a網處理機把數據放入gap中；gap在接收完數據后自動切換到b網，同時，gap與a網斷開；b網處理機從gap中取出數據，并根據合法數據的規則進行嚴格的檢查，判斷這些數據是否合法，若為非法數據，則刪除它們。同理，b網也以同樣的方式通過gap將數據安全地交換到a網中。從a網處理機往gap放入數據開始，到b網處理機從gap中取出數據并檢查結束，就完成了一次數據交換。gap就這樣在a網處理機與b網處理機之間來回往復地進行實時數據交換。在通過gap交換數據的同時，a網和b網依然是隔離的。

安全網閘是如何來保證在兩個網絡之間的安全性呢？首先，這兩個網絡一直是隔離的，在兩個網絡之間只能通過gap來交換數據，當兩個網絡的處理機或gap三者中的任何一個設備出現問題時，都無法通過gap進入另一個網絡，因為它們之間沒有物理連接；第二，gap只交換數據，不直接傳輸tcp/ip，這樣避免了tcp/ip的漏洞；第三，任何一方接收到數據，都要對數據進行嚴格的內容檢測和病毒掃描，嚴格控制非法數據的交流。gap的安全性高低關鍵在于其對數據內容檢測的強弱。若不做任何檢測，雖然是隔離的兩個網絡，也能傳輸非法數據、病毒、木馬，甚至利用應用協議漏洞通過gap設備從一個網絡直接進入另一個網絡。那么gap的作用將大打折扣。

盡管作為物理安全設備，安全網閘提供的高安全性是顯而易見的，但是由于其工作原理上的特性,不可避免地決定了安全網閘存在一些缺陷：

a.只支持靜態數據交換，不支持交互式訪問

這是安全網閘最明顯得一個缺陷。類似于拷盤在兩臺主機間交換數據，安全網閘的數據是以存儲轉發模式工作的，在數據鏈路層其網段的兩邊始終是中斷的，在其三個組件的任何一個節點上交換的都必須是完整的應用層數據。因此，它不支持諸如動態web頁面技術中的activex、java甚至是客戶端的cookie技術，目前安全網閘一般只支持靜態web頁，郵件文件等靜態數據的交換。

b.適用范圍窄，必須根據具體應用開發專用的交換模塊

由于數據鏈路層被忽略，安全網閘無法實現一個完整的iso/osi七層連接過程，所以安全網閘對所有交換的數據必須根據其特性開發專用的交換模塊，而不是采用is0/osi七層模型提供的傳統的層次封裝的開放式編程接口。所以客戶所能實現的數據交換類型均取決于產品提供商到底能提供多少種應用模塊，甚至于要根據客戶的要求臨時開發各種應用模塊，靈活性差，適用范圍十分狹窄；

c.系統配置復雜，安全性很大程度上取決于網管員的技術水平

安全網閘采用由其主動發起數據請求的方式進行工作，它不會接受和響應其它主機主動發起的數據請求，也不對外提供任何服務。對于取到的數據還要進行一些病毒、木馬過濾和安全性檢查等一系列功能，這都需要網管員根據網絡應用的具體情況加以判斷和設置。如果設置不當，比如對內部人員向外部提交的數據不進行過濾而導致信息外泄等，都可能造成安全網閘的安全功能大打折扣。

d.結構復雜，實施費用較高

安全網閘的三個組件都必須為大容量存儲設備，特別在支持多種應用的情況下，存儲轉發決定了必須采用較大的存儲器來存儲和緩存大量的交換數據。另外，安全網閘由于處在兩個網段的結合部，具有網關的地位，一旦當機就會使兩邊數據無法交換，所以往往需要配置多臺網閘設備作為冗余，使購置和實施費用不可避免地上升了；

e.技術不成熟，沒有形成體系化

安全網閘技術是一項新興的網絡安全技術，尚無專門的國際性研究組織對其進行系統的研究和從事相關體系化標準的制定工作。對其工作原理的界定也很模糊，在國外，一些應用的比較多的安全網閘產品，比如國外的e-gap（whale公司）和airgapag系列（spearhead公司），本質上它們是一種內容過濾型防火墻，由于支持交互式會話，嚴格意義上已經不屬于物理隔離產品。國內的安全網閘成熟產品少，由于諸多原因，也并未得到充分推廣；

f.可能造成其他安全產品不能正常工作，并帶來瓶頸問題

安全性和易用性始終是一對矛盾，在已有的防火墻，vpn，aaa認證設備等安全設施的多重構架環境中，安全網閘產品的加入，使網絡日趨復雜化，正常的訪問連接越來越多的被各種不可見和不易見因素所干擾和影響，已經配置好的各種網絡產品和安全產品，可能由于安全網閘的配置不當而受到影響。由于多重過濾的安全設施結構，安全網閘的加入使瓶頸問題更加突出。因為電子開關切換速率的固有特性和安全過濾內容功能的復雜化，目前安全網閘的交換速率已接近該技術的理論速率極限，可以預見在不久的將來，隨著高速網絡技術的發展，安全網閘在交換速率上的問題將會成為阻礙網絡數據交換的重要因素。

四、物理隔離網閘與防火墻的對比

在設計理念方面，防火墻是以應用為主的安全為輔的，也就是說在支持盡可能多的應用的前提下，來保證使用的安全。防火墻的這一設計理念使得它可以廣泛地用于盡可能多的領域，擁有更加廣泛的市場。而網閘則是以安全為主，在保證安全的前提下，支持盡可能多地應用。網閘主要用于安全性要求極高的領域，例如對政府網絡，工業控制系統的保護等等。顯然，由于把安全性放在首位，這樣就會有更加嚴格的安全規則和更多地限制，因此可以應用的范圍也較防火墻少一些，主要用那些對安全性要求較高的環境下。相反防火墻可以應用于非常廣泛的應用領域，甚至包括個人電腦都可以使用，但是它的安全性往往就差強人意。人們常常發現被防火墻防護的網絡依然常常被黑客和病毒攻擊?，F在有很多網絡攻擊都是發生在有防火墻的情況下，根據美國財經雜志統計資料表明，30%的入侵發生在有防火墻的情況下。由于這種設計理念的區別，因此可以有軟件防火墻，但是卻不會有軟件網閘。

設計理念的不同也導致系統的整體設計也完全不同。硬件防火墻雖然可以有多種設計方式，但是一般來說，它都是單一的計算機系統由一個操作系統來控制構的，用戶的內網和外網都連接在這同一個系統上。然而安全隔離網閘卻完全不同，它自少由三部分組成，內網處理單元，外網處理單元和一個隔離島。一般來說，內外網處理單元是兩個完全獨立計算機的系統構，擁有各自獨立的操作系統。內網處理單元與用戶的內網相連，外網處理單元與外部網絡相連，內外網處理系統之間通過隔離島進行非協議的信息交換?？梢钥吹贸鰜?，網閘的結構較防火墻要復雜的多，顯然有兩個獨立的系統分別連接內外網，中間再由隔離島隔離，要比防火墻的設計要安全得多，當然設計的難度也要高得多。當然區別不僅僅如此，由于設計理念以及硬件結構的完全不同，在軟件設計上也有很大的區別，很很高的難度，這里就不再細說。

無論從功能還是實現原理上講，安全隔離網閘和防火墻是完全不同的兩個產品，防火墻是保證網絡層安全的邊界安全工具（如通常的非軍事化區），而安全隔離網閘重點是保護內部網絡的安全。因此兩種產品由于定位的不同，因此不能相互取代。

防火墻是網絡層邊界檢查工具，可以設置規則對內部網絡進行安全防護，而ids一般是對已知攻擊行為進行檢測，這兩種產品的結合可以很好的保護用戶的網絡，但是從安全原理上來講，無法對內部網絡做更深入的安全防護。安全隔離網閘重點是保護內部網絡，如果用戶對內部網絡的安全非常在意，那么防火墻和ids再加上安全隔離網閘將會形成一個很好的防御體系。

五、網閘在中國信息化建設中的應用

當前，國內網閘市場已經具備一定規模，進入市場成熟期。前期用戶主要集中在政府、公安等對安全性要求很高的重要部門。隨著網閘產品的更新換代，安全隔離網閘越來越趨向適用于包括政府、公安在內的其他行業，如：軍隊、銀行、金融、證券、工商、航空、電力和電子商務等有高安全級別需求的網絡。

就電子政務建設來說，目前，各政府行業面向全國的縱向網絡建設已經基本完成，但是行業網絡之間的橫向數據交換由于安全缺乏保障的原因而發展滯后。網閘能夠完美解決電子政務建設中不同網絡之間、同一網絡的不同安全域之間的數據安全交換、擺渡。使得原有各個政府部門之間相互獨立的網絡之間數據交換、各種跨部門跨行業的協同辦公得以實現。

國內網閘技術的發展自2000年第一臺網閘的誕生后，至今已有將近八年的歷史，網閘產品的性能有了大規模的提升，功能也得到大規模的擴展，網閘市場出現一派繁榮景象。如代表我國的gap研發與服務水準的天行網安公司于今年新推出的“網閘家族”，其家族成員就是一系列按不同硬件性能進行劃分、并針對不同的硬件平臺進行軟件系統優化、提供多種可選軟件功能模塊的網閘系列新品，用戶可根據需求的不同，靈活選擇軟硬件組合，從而更進一步提高網閘的適用性使得各項性能均達到最優化，最大限度的發揮網閘的安全防護作用。

“網閘家族”的出現，預示著未來網閘技術將朝著更加深入應用的方向發展，以其作為核心的“綜合接入平臺”，更可以在多對多的網絡之間實現集中統一管理的訪問接入和數據交換，推動信息化建設的進一步發展。硬件實現的可信計算、深度內容檢查等技術也越來越多地被融入到網閘產品當中，網閘對各種應用架構、應用系統的適應性將會得到更大程度的提高，為越來越多的應用提供強有力的安全保障。

摘要：文章主要從安全隔離網閘技術誕生和發展過程開始，較詳細地對安全隔離網閘技術的原理、結構、特點進行了分析，并對照傳統的網絡防御技術如防火墻、ids等技術，論述了安全隔離網閘技術在大型計算機網路應用中優越性、安全性、可靠性。

關鍵詞：安全隔離網閘防火墻gap信

息數據安全

隨著計算機網絡的不斷普及和發展，已經應用了十年左右的時間的傳統的網絡防御技術如防火墻、ids等技術，其安全效能正在下降，最新的病毒、黑客攻擊已經使傳統防御技術防不勝防，因為這些病毒和攻擊技術正是針對防火墻、ids的弱點進行攻擊和傳播的。信息化建設迫切需要引入新的、更強有力的防御技術為其發展作保障。攻擊技術的不斷進化，催生了防御技術的革命，網閘因此而誕生。

網閘又叫安全隔離與信息交換系統。美國、以色列等國家規定高密級網絡要采用物理隔離，從1999年開始，使用物理隔離卡。物理隔離卡保證了網絡間的物理隔離，但是卻無法實現信息交換。

隨著網絡應用及我國信息化建設和電子政務的發展，網絡間在物理隔離基礎上進行適度、可控和安全的數據交換的需求在我國逐漸顯露。安全隔離網閘技術應運而生。

網閘技術在物理隔離技術基礎上，實現了網絡間物理層和網絡協議斷開的同時進行數據交換。是新一代高安全度的企業級信息安全防護設備，它依托安全隔離技術為信息網絡提供了更高層次的安全防護能力，不僅使得信息網絡的抗攻擊能力大大增強，而且有效地防范了信息外泄事件的發生。