网闸介绍-入门篇

定义概述

网闸（GAP）（或物理隔离网闸）是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间，不存在通信的物理连接与逻辑连接，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，所以，网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，可以实现真正的安全。网闸技术的需求来自内网与外网数据互通的要求，比如政府的电子政务是对公众服务，与互联网连通，而内网的政府办公网络，由于保密的要求，内网若与网连通，则面临来自公网的各种威胁。安全专家给出的建议是：由于目前的安全技术，无论防火墙、UTM等防护系统都不能保证攻击的一定阻断，入侵检测等监控系统也不能保证入侵行为完全捕获，所以最安全的方式就是物理的分开，所以在公安部的技术要求中，要求电子政务的内、外网络之间“物理隔离”。没有连接，来自外网对内网的攻击就无从谈起。

网闸在网络环境中的位置：
    网闸在处理信息时的流程和交互方式为：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。

网闸的内部模块与数据传输模式：
    许多网闸产品除了保有高安全性特点之外，又提供了对不同应用的良好适应性。在安全隔离的基础架构上，首先确保信任网络的高度安全，在此基础上通过对各种应用的代理机制实现对多种应用的支持，例如支持http代理、ftp代理、socks代理等等，同时进行更为严谨的访问控制。

网闸的实现原理

网闸是实现两个相互业务隔离的网络之间的数据交换，通用的网闸模型设计一般分三个基本部分：

Ø 内网处理单元

Ø 外网处理单元

Ø 隔离与交换控制控制单元

三个单元都要求其软件的操作系统是安全的，也就是采用非通用的操作系统，或改造后的专用操作系统。一般为Unix BSD或Linux的变种版本，或者其他是嵌入式操作系统VxWorks等，但都要对底层不需要的协议、服务删除，使用的协议优化改造，增加安全特性，同时提高效率。