網閘結構和工做原理

物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質鏈接兩個獨立主機系統的信息安全設備。因爲物理隔離網閘所鏈接的兩個獨立主機系統之間，不存在通訊的物理鏈接、邏輯鏈接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議「擺渡」，且對固態存儲介質只有「讀」和「寫」兩個命令。因此，物理隔離網閘從物理上隔離、阻斷了具備潛在攻擊可能的一切鏈接，使「黑客」沒法入侵、沒法攻擊、沒法破壞，實現了真正的安全。

網閘是在兩個不一樣安全域之間，經過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息才能夠經過。其信息流通常爲通用應用服務。

注：網閘的「閘」字取自於船閘的意思，在信息擺渡的過程當中內外網（上下游）從未發生物理鏈接，因此網閘產品必需要有至少兩套主機和一個物理隔離部件纔可完成物理隔離任務。

 

       隔離網閘的一個基本特徵，就是內網與外網永遠不鏈接，內網和外網在同一時間最多隻有一個同隔離設備創建數據鏈接（能夠是兩個都不鏈接，但不能兩個都鏈接）。

       目前網絡威脅中至關大的一部分來自與瀏覽器威脅，網閘對這種威脅有用嗎？之前不久的圖片文件漏洞來講，網閘是不會對這種應用層數據進行過濾的，那麼，威脅依然存在。而對於提供對外服務的網絡，對其中應用進行攻擊的例子大可能是構造一些正常（看起來）的數據包，這些漏洞，都是針對應用層的，網閘一籌莫展。因此，「真正的安全」是不可能的，沒有絕對的安全！

網閘的結構通常都採用2+1：內機+外機+不可編程硬件。早期網閘的交換模塊以電子開關的形式實現物理上的隔離，而電子開關因爲切換速率問題，沒法知足實時數據交換需求，已經被邏輯開關取而代之。 從嚴格意義上說，邏輯開關只是實現邏輯上的隔離，而不是物理上的。

私有協議就是交換模塊傳輸數據的硬件讀寫協議，不一樣廠家的接口不一樣，如SCSI，1394等

 

1.工做模式

網閘的數據交換都是基於代理實現的。。

網閘按工做方式能夠分爲主動模式和被動模式。在主動模式下，網閘做爲客戶端，往網絡中的服務器上讀寫數據；在被動模式下，網閘充當服務器的角色，在本地打開監聽端口，，接收外界的數據。從安全上來講，主動模式遠大於被動模式，但應用和性能較差。
2.數據交換流程

如下是被動工做模式大概的一個數據交換過程：

外網接收數據包-〉檢查包頭信息-〉拆除包頭信息-〉提取並檢查應用層數據-〉按私有協議封裝數據-〉傳輸到內網-〉封裝成網絡協議包-〉傳輸到內網接收端

 

保證數據傳輸手段主要有如下兩種：

協議阻斷：網閘在傳輸接收到的數據包時，需拆除協議包頭信息，而後將應用層數據按私有協議從新封裝分片，這樣能保證全部網絡攻擊只能到達外網。

專有協議檢測模塊：網閘的數據傳輸都是基於應用層代理，對於支持的應用層協議，都有相應的傳輸模塊。每一個模塊只處理對應的應用層數據請求，且根據協議的特性對數據自己進行內容檢測、過濾等操做，保證數據的安全性。

 

從網閘的系統架構以及工做模式可看出，它的性能是比不上防火牆的，包括吞吐，延時，尤爲是併發數。若是有哪一個廠家宣稱本身的產品能達到線速，那簡直就是告訴別人他家作的不是網閘。