光閘

用於對安全性要求極高的網絡的數據交換場景，如涉密網絡與非涉密網絡之間，行業內網與公共網絡之間。

自2000年，我國產生了安全隔離網閘（GAP）（簡稱“網閘”）技術，它解決了電子政務興起帶來的政務內網和外網之間安全隔離、適度可控的數據交換的需求，網閘技術是基於雙向的，即通過配置，是允許高安全網絡和低安全網絡之間雙向數據交換的。

但在一些安全級別極高的網絡，如涉密網絡中，按照信息保密的技術要求，涉密網絡不能與互聯網直接連通；涉密網絡與非涉密網絡連接時，若非涉密網絡與互聯網物理隔離，則採用雙向網閘隔離涉密網絡與非涉密網絡；若非涉密網絡與互聯網是邏輯隔離的，則採用單向網閘隔離涉密網絡與非涉密網絡，保證涉密數據不從高密級網絡流向低密級網絡。

光閘技術（FGAP）的產生即為滿足這一類單向隔離場景的需求。

單向隔離光閘由三部分組成：內網單元、外網單元、分光單向傳輸單元。其中內網單元和內網相連，外網單元與外網相連，分光單向傳輸單元是內外網之間唯一且安全的數據傳輸通道。

內網單元和外網單元所實現的安全功能是一致的，只是連接不同的網絡，以內網單元為例，其包括內網接口單元與內網數據緩衝區。接口部分負責與內網的連接，並終止內網用户的網絡連接，對數據進行病毒檢測、防火牆、入侵防護等安全檢測後剝離出“純數據”，作好交換的準備，也完成來自內網對用户身份的確認，確保數據的安全通道；數據緩衝區是存放並調度剝離後的數據，負責與隔離交換單元的數據交換。

分光單向傳輸單元能夠實現從一個主機系統向另外一個主機系統單向傳輸數據主要依賴於以下兩點：

光傳輸的單向性，在光纖通道設備內，連接光纖的兩端分別為光發生器、光接收器，在光纖通道設備內不允許也不能實現光纖兩端都具有光發生器以及光接收器；光傳輸的可複製性，利用分光設備（如多稜鏡）可將一束光復製為兩束或更多束光線，利用這一特性，我們可將在一個系統內部傳輸的數據以光的方式複製一個副本供使用。

單向隔離技術

單向隔離技術的發展經過了三個階段：物理單向技術、電氣單向技術、光單向技術。

早期的單向傳輸技術一般使用一次性光盤等技術實現，當需要從低密級網絡向高密級網絡傳輸數據時，首先在低密網絡中將數據刻錄寫入到光盤碟片中，然後再在高密網絡中使用只讀光驅將數據讀取出來。此種方式可確保單向技術的絕對有效，但缺點也非常明顯：效率低下，每小時只能交換數GB的數據；延遲極大，以分鐘計算；可靠性差，由於需要人工操作，容易出現數據傳輸差錯；最後，這種技術帶來總體擁有成本高，且不環保。

隨着安全隔離網閘技術的出現和不斷髮展，在安全隔離網閘內部專用隔離硬件雙向傳輸的基礎上通過修改電路，通過時鐘開關控制，實現數據的單向寫入和單向讀出，從而實現數據的單向傳遞。

由於使用了完全自動的計算機技術，基於電氣的單向技術效率比原來的物理單向技術大幅提升，可滿足多數場合的數據傳輸需求；延遲一般可控制在毫秒級；基於程序計算及傳輸，同時在傳輸的數據上加入差錯校驗，可提高數據傳輸的可靠性，並在數據傳輸出現錯誤時進行提示。

但基於電氣隔離的單向技術難以證明其單向的有效性，同時由程序控制的數據單向寫入、單向讀出理論上依然存在被人為篡改，從而導致單向隔離失效，產生災難性的後果。

為彌補基於電氣的單向技術固有的不足之處，同時利用光的單向性，出現了使用光傳輸的單向技術。該技術利用光纖網卡的光發射、光接收為完全獨立的兩條光纖條件，將其中一條光纖截斷，從而實現物理光單向技術。

由於光傳輸只需考慮光強度，而不存在差錯，系統可靠性進一步提升；基於物理光的單向技術保證了極高的安全性。

單向隔離光閘即是基於光的單向技術的安全產品。

根據業務場景需求，單向隔離光閘一般支持數據庫傳輸、文件傳輸功能。

文件傳輸主要有以下幾個功能點：

FTP、SAMBA協議支持

專用客户端實現文件主動獲取

文件安全性檢查：IP地址、用户認證信息、用户權限以及緩衝區空間大小等

高優先級文件優先處理

數據庫傳輸主要有以下幾個功能點：

基於文件傳輸功能實現

三種傳輸方式：全表複製、觸發同步、標記同步

四種數據庫：Oracle、MS SQL Server、DB2、Sybase.

高效率：光單向技術效率極高，使用普通多模光纖網卡即可達到千兆線速；延遲可控制在納秒級。

高可靠性：使用高可靠性硬件設計，數據傳輸模塊內置差錯校驗機制，數據差錯率小於1Bit/1Tbit

完善的業務功能：在單向文件傳輸基礎上實現了數據庫內容的單向同步，極大豐富單向光閘設備功能，具有更好的應用適應性。

1、採用多主機結構設計和單向硬件切斷TCP/IP協議通訊，形成網絡間的單向隔離。

2、設備不接受任何未知來源的主動請求；應用層數據獲取後進行落地還原處理。

3、通過可進行擴展定義的內容檢查機制為白名單策略提供進一步的保障機制。