1、網閘工作原理    安全隔離網閘是一組具有多種控制功能的軟硬件組成的網絡安全設備，它在電路上切斷了網絡之間的鏈路層連接，并能夠在網絡間進行安全的應用數據交換。第二代網閘通過專用交換通道、高速硬件通信卡、私有通信協議和加密簽名機制來實現高速、安全的內外網數據交換，使得處理能力較一代大大提高，能夠適應復雜網絡對隔離應用的需求；私有通信協議和加密簽名機制保證了內外處理單元之間數據交換的機密性、完整性和可信性。    與同類產品比較，網閘具有更高的安全性和可靠性，作為目前業界公認的較為成熟可靠的網絡隔離解決方案，在政府部門信息化建設中逐漸受到

2、青睞。網閘通過內部控制系統連接兩個獨立網絡，利用內嵌軟件完成切換操作，并且增加了安全審查程序。作為數據傳遞“中介”，網閘在保證重要網絡與其他網絡隔離的同時進行數據安全交換。由于互聯網是基于TCP/IP協議實現連接，因此入侵攻擊都依賴于OSI七層數據通信模型的一層或多層。理論上講，如果斷開OSI數據模型的所有層，就可以消除來自網絡的潛在攻擊。網閘正是依照此原理實現了信息安全傳遞，它不依靠網絡協議的數據包轉發，只有數據的無協議“擺渡”，阻斷了基于OSI協議的潛在攻擊，從而保證了系統安全。    網閘工作的原理在于：中斷兩側網絡的直接相連，剝離網絡協議并將其還原成原始數

3、據，用特殊的內部協議封裝后傳輸到對端網絡。同時，網閘可通過附加檢測模塊對數據進行掃描，從而防止惡意代碼和病毒，甚至可以設置特殊的數據屬性結構實現通過限制。網閘不依賴于TCP/IP和操作系統，而由內嵌仲裁系統對OSI的七層協議進行全面分析，在異構介質上重組所有的數據，實現了“協議落地、內容檢測”。因此，網閘真正實現了網絡隔離，在阻斷各種網絡攻擊的前提下，為用戶提供安全的網絡操作、郵件訪問以及基于文件和數據庫的數據交換。    1.網閘與防火墻的對比分析    防火墻與網閘同屬網絡安全產品類別，但它與網閘是截然不同的。防火墻是基于訪問控制

4、技術，即通過限制或開放網絡中某種協議或端口的訪問來保證系統安全，主要包括靜態包過濾、網絡地址轉換、狀態檢測包過濾、電路代理、應用代理等方法來進行安全控制，通過對IP包的處理，實現對TCP會話的控制，并通過訪問控制的方式允許合法的數據包進入內部網絡，從而防止非法用戶獲取內部重要信息，阻止黑客入侵。表1是對兩者在各方面的對比：    防火墻在使用中存在以下問題：首先，防火墻側重于網絡層至應用層的策略隔離，在使用前需要對網絡攻擊特征規則庫進行復雜的配置和動態維護，并及時更新安全策略才能滿足用戶安全需要；其次，多數防火墻是基于路由器的數據包分組過濾類型，防護能力較差。&#

5、160;   通過性能對比，防火墻與網閘存在的區別在于：    首先，防火墻是訪問控制類產品，它不能實現完全隔離，必須在網絡互通的情況下進行訪問控制。防火墻工作依賴于TCP/IP協議，在網絡層對數據包作安全檢查，因此無法保證數據安全性；而隔離網閘是在網絡斷開的情況下，以非網絡方式進行數據交換，實現信息的共享。網閘數據交換不依賴于OSI模型，通過隔離硬件將內外網絡在鏈路層斷開，由仲裁系統在內外網對應節點上進行切換，在剝離協議并重新封裝原始數據后，對硬件上的存儲芯片進行讀寫來完成數據的交換，因此網閘實現了內外網完全隔離。  &#

6、160; 其次，防火墻常用于保證網絡層安全的邊界安全（如DMZ區），而網閘主要保護內部網絡的安全。防火墻通常用網絡地址翻譯及存取列表來限定某個地址范圍或端口協議的訪問。例如，防火墻應用代理的典型安全威脅是：木馬程序通常利用操作系統漏洞繞過防火墻入侵應用代理服務器；而隔離網閘能夠很好的解決高性能、高安全性、易用性之間的矛盾，網閘無需升級即可防止入侵，它切斷所有的TCP連接，包括UDP、ICMP等其他各種協議，使各種木馬程序無法通過網閘進行通訊。    2、應用案例介紹杭州市建委在信息化建設中，為了規范行業管理，體現政務公開，通過網閘隔離系統實現了內部OA系統和直屬單

7、位聯網協同管理平臺“杭州建設信用網”的信息交互。網絡實現如圖一所示：    系統采用金電網安Ferryway2.0作為信息安全交互平臺。該硬件產品采用三機模型設計，使建委WEB發布系統、內部OA、直屬單位業務系統之間通過IP和端口設定實現了安全數據交互。以工程招投標管理流程為例說明：    1.業主單位發出招標申請后，統一編號的工程招標項目信息進入招標辦業務系統；招標系統結束內部流程后將投標企業和人員的誠信信息傳至信用網。    2.網閘外網機接收數據后將所有的協議剝離，并發起非TCP/IP協議的數據連接。當數據全部寫入仲裁機存儲介質后