安全网闸技术

摘要：文章主要从安全隔离网闸技术诞生和发展过程开始，较详细地对安全隔离网闸技术的原理、结构、特点进行了分析，并对照传统的网络防御技术如防火墙、ids 等技术，论述了安全隔离网闸技术在大型计算机网路应用中优越性、安全性、可靠性。

关键词：安全隔离 网闸 防火墙 gap 信息 数据安全

随着计算机网络的不断普及和发展，已经应用了十年左右的时间的传统的网络防御技术如防火墙、ids 等技术，其安全效能正在下降，最新的病毒、黑客攻击已经使传统防御技术防不胜防，因为这些病毒和攻击技术正是针对防火墙、ids的弱点进行攻击和传播的。信息化建设迫切需要引入新的、更强有力的防御技术为其发展作保障。攻击技术的不断进化，催生了防御技术的革命，网闸因此而诞生。

网闸又叫安全隔离与信息交换系统。美国、以色列等国家规定高密级网络要采用物理隔离，从1999年开始，使用物理隔离卡。物理隔离卡保证了网络间的物理隔离，但是却无法实现信息交换。

随着网络应用及我国信息化建设和电子政务的发展，网络间在物理隔离基础上进行适度、可控和安全的数据交换的需求在我国逐渐显露。安全隔离网闸技术应运而生。

网闸技术在物理隔离技术基础上，实现了网络间物理层和网络协议断开的同时进行数据交换。是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。locALhoSt

一、网闸技术发展史

2000年1月，为满足国内信息化建设及电子政务的需求，国内专业从事网络与信息安全研究开发、技术支持、产品销售和安全服务的北京天行网安信息技术有限责任公司率先提出从物理隔离技术发展出gap概念，并且与公安部信息通信局联合研制完成国内第一款gap产品——天行安全隔离与信息交换系统，与此同时获得了国内网闸行业第一个销售许可证，标志着完全由我国自主研发的国内第一台网闸诞生。当时网闸的性能比较低，支持的应用非常有限。网闸在国内的第一个用户是外经贸部（现商务部），时间是2000年11月。

2001-2002年，国内由天行网安公司生产的第一批网闸产品“天行安全隔离网闸”开始被小规模应用到公安、税务、政府机关，如北京市电子政务第一期建设。当时的产品相比较最初的原型设备，性能上有了大的跨越——吞吐量达到80mbps，应用及适应性得到提升，具备了在实际应用场合更多的使用价值。同时，该产品在业界首次扩展了新的应用功能支持，从最初的静态网页浏览功能发展到邮件和文件同步、数据库同步功能，产品更加符合市场需求。但当时国内绝大多数用户对网闸技术不了解，也无法接受其安全隔离的技术理念，网闸尚处于市场萌芽期。

2003年，随着网闸市场的逐步发展及需求的增大，国内众多安全厂商如中网、伟思等开始纷纷加入网闸生产商行列，共同推进了网闸市场的发展，网闸开始进入市场的平稳发展期。

2005年，千兆网闸产品出现，功能更趋完善、更强大，各项性能上均有所突破，国内各行业开始大范围使用。

二、网闸与网闸技术

网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。注：网闸的“闸”字取自于船闸的意思，在信息摆渡的过程中内外网（上下游）从未发生物理连接，所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品，不符合物理隔离标准。其只是一个包过滤的安全产品，类似防火墙。注：单主机网闸多以单向网闸来掩人耳目。

网闸的基本原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。

安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

安全隔离网闸是由软件和硬件组成。 其硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。

当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，信息交换的需求将无法满足；如果采用防火墙，则无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，安全隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是最好的选择。

对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。

安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。但安全隔离网闸从不直接或者间接地转发ip包形式的数据。安全隔离网闸的安全性体现在链路层断开，直接处理应用层数据，对应用层数据进行内容检查和控制，在网络之间交换的数据都是应用层的数据。如果直接转发ip的话，由于单个ip包中一般不包含完整的应用数据，所以无法进行全面的内容检查和控制，也就无法保证应用层的安全。因此，如果直接转发ip包，则背离了安全隔离网闸的安全性要求，不能称为安全隔离网闸。

鉴于安全隔离网闸保

[1] [2] [3] 下一页