網閘

由兩套各自獨立的系統分別連接安全和非安全的網絡，兩套系統之間通過網閘進行信息擺渡，保證兩套系統之間沒有直接的物理通路。在通信過程中，當存儲介質與安全的網絡連通時，斷開與非安全網絡連接；當與非安全網絡連通時，斷開與安全網絡的連接；通過分時地使用兩套系統中的數據通路進行數據交換，以達到隔離與交換的目的。此外，在數據交換過程中，需同時進行防病毒、防惡意代碼等信息過濾，以保證信息的安全。

根據國家保密局公開的文獻資料，我國目前流行的網絡隔離技術的產品和方案如下：

（1）獨立網絡方案

根據信息保密需求的不同，將信息存放到兩個獨立的網絡中。其一是內部網絡，用於存儲、處理、傳輸涉密信息；另一個是外部網絡，與互聯網相連。內部網絡和外部網絡物理斷開。兩個網絡之間如果有數據交換需要，則採用人工操作（如通過軟盤、磁帶等）的方式。

（2）終端級解決方案

用户使用一台客户端設備排他性選擇連接內部網絡和外部網絡，主要類型可分為以下幾種。

（1）雙主板，雙硬盤型：通過設置兩套獨立計算機的設備實現，使用時，通過客户端開關分別選擇兩套計算機系統。

（2）單主板，雙硬盤型：客户端通過增加一塊隔離卡、一塊硬盤，將硬盤接口通過添加的隔離卡轉接到主板，網卡也通過該卡引出兩個網絡接口。通過該卡控制客户端存儲設備，同時選擇相應的網絡接口，達到網絡隔離的效果。

（3）單主板，單硬盤型：客户端需要增加一塊隔離卡，存儲器通過隔離卡連接到主板，網卡也通過隔離卡引出兩個網絡接口。對硬盤上劃分安全區、非安全區，通過隔離卡控制客户端存儲設備分時使用安全區和非安全區，同時對相應的網絡接口進行選擇，以實施網絡隔離。 ^[2] 

網閘實現了內外網的邏輯隔離，在技術特徵上，主要表現在網絡模型各層的斷開。

（1）物理層斷開

網閘採用的網絡隔離技術，就是要保證網閘的外部主機和內部主機在任何時候是完全斷開的。但外部主機與固態存儲介質，內部主機與固態存儲介質，在進行數據傳遞的時候，有條件地進行單個連通，但不能同時相連。在實現上，外部主機與固態存儲介質之間、內部主機與固態存儲介質之間均存在一個開關電路。網絡隔離必須保證這兩個開關不會同時閉合，從而保證OSI模型上的物理層的斷開機制。

（2）鏈路層斷開

由於開關的同時閉合可以建立一個完整的數據通信鏈路，因此必須消除數據鏈路的建立，這就是鏈路層斷開技術。任何基於鏈路通信協議的數據交換技術，都無法消除數據鏈路的連接，因此不是網絡隔離技術，如基於以太網的交換技術、串口通信或高速串口通信協議的USB等。

（3）TCP/IP協議隔離

為了消除TCP/IP協議（OSI的3~4層）的漏洞，必須剝離TCP/IP協議。在經過網閘進行數據擺渡時，必須再重建TCP/IP協議。

（4）應用協議隔離

為了消除應用協議（OSI的5~7層）的漏洞，必須剝離應用協議。剝離應用協議後的原始數據，在經過網閘進行數據擺渡時，必須重建應用協議。 ^[2] 

網閘就是要解決目前網絡安全存在的下述問題。

（1）對操作系統的依賴，因為操作系統有漏洞；

（2）對TCP/IP協議的依賴，因為TCP/IP協議也有漏洞；

（3）解決通信連接的問題，內網和外網直接連接，存在基於通信的攻擊；

（4）應用協議的漏洞，如非法的命令和指令等。

網閘的指導思想與防火牆有下述很大的不同。

（1）防火牆的思路是在保障互聯互通的前提下，儘可能安全；

（2）網閘的思路是在保證必須安全的前提下，儘可能互聯互通，如果不安全則隔離斷開。 ^[2] 

第一代網閘的技術原理是利用單刀雙擲開關使內外網的處理單元分時存取共享存儲設備來完成數據交換的，實現了在空氣縫隙隔離（AirGap）情況下的數據交換。安全原理是通過應用層數據提取與安全審查達到杜絕基於協議層的攻擊和增強應用層安全的效果。

第二代網閘是在吸取了第一代網閘優點的基礎上，創造性地利用全新理念的專用交換通道PET（Private Exchange Tunnel）技術，在不降低安全性的前提下能夠完成內外網之間高速的數據交換，有效地克服了第一代網閘的弊端。第二代網閘的安全數據交換過程是通過專用硬件通信卡、私有通信協議和加密簽名機制來實現的。雖然仍是通過應用層數據提取與安全審查達到杜絕基於協議層的攻擊和增強應用層安全效果的，但卻提供了比第一代網閘更多的網絡應用支持，並且由於其採用的是專用高速硬件通信卡，使得處理能力大大提高，達到第一代網閘的幾十倍之多。而私有通信協議和加密簽名機制保證了內外處理單元之間數據交換的機密性、完整性和可信性，從而在保證安全性的同時，提供更好的處理性能，能夠適應複雜網絡對隔離應用的需求。 ^[1] 

儘管作為物理安全設備，安全網閘提供的高安全性是顯而易見的，但是由於其工作原理上的特性，不可避免地決定了安全網閘存在一些缺陷：

（1）只支持靜態數據交換，不支持交互式訪問。

這是安全網閘最明顯得一個缺陷。由於是真正的網絡間物理隔離，它不支持諸如動態web頁面技術中的activex、java甚至是客户端的cookie技術，目前安全網閘一般只支持靜態web頁、郵件文件等靜態數據的交換。

（2）適用範圍窄。

由於數據鏈路層被忽略，安全網閘無法實現一個完整的iso/osi七層連接過程，所以安全網閘對所有交換的數據必須根據其特性開發專用的交換模塊，靈活性差，適用範圍十分狹窄。

（3）系統配置複雜，安全性很大程度上取決於網絡管理員的技術水平。

在網閘傳送數據過程中要實現病毒、木馬過濾和安全性檢查等一系列功能，這都需要網絡管理員根據網絡應用的具體情況加以判斷和設置。如果設置不當，比如對內部人員向外部提交的數據不進行過濾而導致信息外泄等，都可能造成安全網閘的安全功能大打折扣。

（4）結構複雜，成本較高。

安全網閘的三個組件都必須為大容量存儲設備，特別在支持多種應用的情況下，存儲轉發決定了必須採用較大的存儲器來存儲和緩存大量的交換數據。另外，安全網閘由於處在兩個網段的結合部，具有網關的地位，一旦宕機就會使兩邊數據無法交換，所以往往需要配置多台網閘設備作為冗餘，這就使購置和實施費用不可避免地上升了。

（5）技術不成熟，沒有形成體系化。

安全網閘技術是一項新興的網絡安全技術，尚無專門的國際性研究組織對其進行系統的研究和從事相關體系化標準的制定工作。

（6）帶來網絡通信的“瓶頸”問題。

因為電子開關切換速率的固有特性和安全過濾內容功能的複雜化，目前安全網閘的交換速率已接近該技術的理論速率極限。可以預見在不久的將來，隨着高速網絡技術的發展，安全網閘在交換速率上的問題將會成為阻礙網絡數據交換的重要因素。

但無論如何，網閘對其他網絡安全設備是一個很好的補充，也是其他網絡安全設備所無法替代的安全產品，近幾年來在國內的各行業也已經獲得了較好的應用。 ^[3] 

（1）涉密網與非涉密網之間。有些政府辦公網絡涉及敏感信息，當它與外部非涉密網連接的時候可以用單向物理隔離網閘將兩者隔開。

（2）局域網與互聯網之間（內網與外網之間）。有些局域網絡，特別是政府辦公網絡，涉及政府敏感信息，有時需要與互聯網在邏輯上斷開，物理隔離網閘是一個常用的辦法。

（3）辦公網與業務網之間。由於辦公網絡與業務網絡的信息敏感程度不同，例如，銀行的辦公網絡和銀行業務網絡就是很典型的信息敏感程度不同的兩類網絡。為了提高工作效率，辦公網絡有時需要與業務網絡交換信息。為解決業務網絡的安全，比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘，實現兩類網絡的邏輯隔離。

（4）電子政務的內網與專網之間。在電子政務系統建設中要求政府內網與外網之間用邏輯隔離，在政府專網與內網之間用邏輯隔離。現常用的方法是用物理隔離網閘來實現。

（5）業務網與互聯網之間。電子商務網絡一邊連接着業務網絡服務器，一邊通過互聯網連接着廣大用户。為了保障業務網絡服務器的安全，在業務網絡與互聯網之間應實現邏輯隔離。 ^[1] 

（1）網閘產品應有國家相關安全部門的證書。

（2）網閘設置加長口令，網絡管理人員調離或退出本崗位時口令應立即更換。

（3）網閘密碼不得以明文形式出現在紙質材料上，密碼應隱式記錄，記錄材料應存放於保險櫃中。

（4）監控配置更改，改動網閘配置時，進行監控。

（5）定期備份配置和日誌。

（6）明確責任，維護人員對更改網閘配置的時間、操作方式、原因和權限需要明確，在進行任何更改之前，制定詳細的逆序操作規程。 ^[4] 

目前，國產的網閘產品可以滿足信任網絡用户與外部的文件交換、收發郵件、單向瀏覽、數據庫交換等的要求。同時它們已在電子政務中，如政府內部的領導決策支持系統、政務應用系統（OA系統、專用業務處理系統）和公共信息處理系統（信息採集系統、信息交換系統、信息發佈系統等）得到應用。網閘很好地解決了安全隔離下的信息可控交換等問題，從而推動了電子政務走向應用時代。由於網閘可以實現兩個物理層斷開網絡間的信息擺渡，構建信息可控交換“安全島”，所以在政府、軍隊、電力等領域具有極為廣闊的應用前景。網閘突破電子政務外網與內網之間數據交換的瓶頸，並消除政府部門之間因安全造成的信息孤島效應。目前網閘大都提供了文件交換、收發郵件、瀏覽網頁等基本功能。此外，網閘產品在負載均衡、冗餘備份、硬件密碼加速、易集成管理等方面需要進一步改進完善，同時更好地集成入侵檢測和加密通道、數字證書等技術，也成為新一代網閘產品發展的趨勢。 ^[1]