网闸结构和工做原理

物理隔离网闸是使用带有多种控制功能的固态开关读写介质链接两个独立主机系统的信息安全设备。因为物理隔离网闸所链接的两个独立主机系统之间，不存在通讯的物理链接、逻辑链接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。因此，物理隔离网闸从物理上隔离、阻断了具备潜在攻击可能的一切链接，使“黑客”没法入侵、没法攻击、没法破坏，实现了真正的安全。

网闸是在两个不一样安全域之间，经过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才能够经过。其信息流通常为通用应用服务。

注：网闸的“闸”字取自于船闸的意思，在信息摆渡的过程当中内外网（上下游）从未发生物理链接，因此网闸产品必需要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。

 

       隔离网闸的一个基本特征，就是内网与外网永远不链接，内网和外网在同一时间最多只有一个同隔离设备创建数据链接（能够是两个都不链接，但不能两个都链接）。

       目前网络威胁中至关大的一部分来自与浏览器威胁，网闸对这种威胁有用吗？之前不久的图片文件漏洞来讲，网闸是不会对这种应用层数据进行过滤的，那么，威胁依然存在。而对于提供对外服务的网络，对其中应用进行攻击的例子大可能是构造一些正常（看起来）的数据包，这些漏洞，都是针对应用层的，网闸一筹莫展。因此，“真正的安全”是不可能的，没有绝对的安全！

网闸的结构通常都采用2+1：内机+外机+不可编程硬件。早期网闸的交换模块以电子开关的形式实现物理上的隔离，而电子开关因为切换速率问题，没法知足实时数据交换需求，已经被逻辑开关取而代之。 从严格意义上说，逻辑开关只是实现逻辑上的隔离，而不是物理上的。

私有协议就是交换模块传输数据的硬件读写协议，不一样厂家的接口不一样，如SCSI，1394等

 

1.工做模式

网闸的数据交换都是基于代理实现的。。

网闸按工做方式能够分为主动模式和被动模式。在主动模式下，网闸做为客户端，往网络中的服务器上读写数据；在被动模式下，网闸充当服务器的角色，在本地打开监听端口，，接收外界的数据。从安全上来讲，主动模式远大于被动模式，但应用和性能较差。
2.数据交换流程

如下是被动工做模式大概的一个数据交换过程：

外网接收数据包-〉检查包头信息-〉拆除包头信息-〉提取并检查应用层数据-〉按私有协议封装数据-〉传输到内网-〉封装成网络协议包-〉传输到内网接收端

 

保证数据传输手段主要有如下两种：

协议阻断：网闸在传输接收到的数据包时，需拆除协议包头信息，而后将应用层数据按私有协议从新封装分片，这样能保证全部网络攻击只能到达外网。

专有协议检测模块：网闸的数据传输都是基于应用层代理，对于支持的应用层协议，都有相应的传输模块。每一个模块只处理对应的应用层数据请求，且根据协议的特性对数据自己进行内容检测、过滤等操做，保证数据的安全性。

 

从网闸的系统架构以及工做模式可看出，它的性能是比不上防火墙的，包括吞吐，延时，尤为是并发数。若是有哪一个厂家宣称本身的产品能达到线速，那简直就是告诉别人他家作的不是网闸。