网闸

   最近的几个项目中都有接触到网闸这个东西，进百度一搜，各种网闸产品，从百科里了解了一下，以下就作为引用。

    网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的 网络安全 设备。

     

与物理隔离卡的区别

　　安全隔离网闸与物理隔离卡最主要的区别是，安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换，而物理隔离卡只能提供一台 计算机 在两个网之间切换，并且需要手动操作，大部分的隔离卡还要求系统重新启动以便切换硬盘。

与路由器、交换机在网络之间交换信息的区别

　　安全隔离网闸在网路间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据，利用存储转发的方法进行应用数据的交换，在交换的同时，对应用数据进行的各种安全检查。路由器、 交换机 则保持链路层畅通，在链路层之上进行IP包等网络层数据的直接转发，没有考虑 网络安全 和数据安全的问题。

与防火墙的区别

　　防火墙一般在进行IP包转发的同时，通过对IP包的处理，实现对TCP会话的控制，但是对应用数据的内容不进行检查。这种工作方式无法防止泄密，也无法防止病毒和***程序的***。

能取代防火墙吗？

　　无论从功能还是实现原理上讲，安全隔离网闸和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具（如通常的非军事化区），而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同，因此不能相互取代。

单系统的设备是安全隔离网闸吗？

　　单系统的设备如（ 信息流转 器）不是安全隔离网闸设备。类似的单系统一旦系统遭受到***，***者完全有可能在单系统的两张网卡之间建立起路由，从而内部网络会完全暴露。

隔离硬件需要专用硬件吗？

　　需要，隔离硬件一般都由GAP厂商提供，其中对高速切换装置的切换频率要求非常高。

与用1394设备连接的网闸的区别

　　使用专用隔离硬件的安全隔离网闸的安全隔离是在硬件上实现的，在隔离硬件上固化了模拟开关，无法通过软件编程方式进行改变；而通过1394或者串口连接两台或多台系统，其上的隔离切换实质上是通过软件来实现的，其安全性和用标准以太网卡相连的两台PC无异。由此可知1394或者串口实现的“软隔离”在安全性上和安全隔离网闸不具可比性，相差甚远。

（一）安全隔离网闸通常布置在什么位置？

　　安全隔离网闸通常布置在两个安全级别不同的两个网络之间，如信任网络和非信任网络， 管理员 可以从信任网络一方对安全隔离网闸进行管理。

　　（二）安全隔离网闸的部署是否需要对网络架构作调整？

　　采用透明方式的网闸只需要在两个网络各提供一个有效的IP地址即可。采用路由模式的网闸要求一定的改动。有的网闸支持两种连接方式。有的只支持一种。只支持路由模式的网闸就会要求对网络结构的改动。 （三）安全隔离网闸是否可以在网络内部使用？

　　可以，网络内部安全级别不同的两个网络之间也可以安装安全隔离网闸进行隔离。

　　（四）安全隔离网闸支持交互式访问吗？

　　鉴于安全隔离网闸保护的主要是内部网络，一旦支持交互式访问如支持建立会话，那么无法防止信息的泄漏以及内部系统遭受***，因此，安全隔离网闸不支持交互式访问.

　　（五）支持反向代理的安全隔离网闸安全吗？

　　支持反向代理意味着可以从非信任网络间接授权访问信任网络上的资源，一旦代理软件在安全检查或者软件实现上出现问题，那么很有可能会被 *** 利用并非法存取内部资源。因此从安全性上讲，支持反向代理的安全隔离网闸不安全。

　　（六）如果对应 网络七层协议 ，安全隔离网闸是在哪一层断开？

　　如果针对网络七层协议，安全隔离网闸是在硬件链路层上断开。

　　（七）安全隔离网闸支持百兆网络吗？千兆网络如何支持？

　　安全隔离网闸支持百兆网络，目前国内最快的可以达到120MBps。对于千兆网络，可以采用多台安全隔离网闸进行负载均衡。

　　（八）安全隔离网闸自身的安全性如何？

　　安全隔离网闸双处理单元上都采用了安全加固的 操作系统 ，包括强制访问控制、基于内核的 ***检测 等安全功能，并且该系统得到国家权威部门的认证。

　　（九）安全隔离网闸有身份认证机制吗？

　　有。安全隔离网闸在用于邮件转发和网页浏览的时候，对用户进行用户名/口令、证书认证等多种形式的身份认证。

　　（十）有了防火墙和IDS，还需要安全隔离网闸吗？

　　防火墙是网络层边界检查工具，可以设置规则对内部网络进行安全防护，而IDS一般是对已知***行为进行检测，这两种产品的结合可以很好的保护用户的网络，但是从安全原理上来讲，无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络，如果用户对内部网络的安全非常在意，那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。

　　（十一）受安全隔离网闸保护的内部网络需要不断升级吗？

　　安全隔离网闸首先在链路层断开，彻底切断网络连接，并仅允许仅有的四种指定静态数据进行交换，对外不接受请求，并且在内部用户访问外部网络时采用静态页面返回（过滤ActiveX、Java、cookie等），并且***无法通过安全隔离网闸进行通讯，因此内部网络针对外部的***根本无需升级。

　　（十二）为什么受防火墙保护的内部网络需要不断升级？

　　防火墙是在网络层对数据包作安全检查，并不切断网络连接，很多案例证明无论 包过滤 还是代理防火墙都很难防止***病毒的***内部网络，Nimda绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证，因此需要用户的内部网络不断升级自己的客户端如 浏览器 。

　　（十三）安全隔离网闸能否防止内部无意信息泄漏？

　　由于安全隔离网闸在数据交换时采用了证书机制，对所有的信息进行证书验证，因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。

　　（十四）使用安全隔离网闸时需要安装客户端吗？

　　有的网闸管理员使用通用的浏览器即可对其进行管理配置，使用安全隔离网闸时不需安装其他客户端。 但是这种方式具有极大的安全风险，因为远程连接会引入安全威胁，而这种对于控制口的***更为严重。所以安全性要求高的网闸，不允许通过远程进行配置，只允许通过专有的配置 程序 ，也就是客户端通过串口进行配置。一些重要部门均不允许对网闸具有远程配置的功能。

　　（十五）安全隔离网闸接受外来请求吗？

　　不接受，安全隔离网闸上的数据交换全部由管理员来进行配置，其所有的请求都由安全隔离网闸主动发起，不接受外来请求，不提供任何系统服务。 如果接受远程配置，就会接受外来的请求，造成严重的安全问题。

　　（十六）安全隔离网闸是否支持所连接的两个网络的网段地址相同？

　　支持。

　　（十七）安全隔离网闸的 主机系统 是否经过安全加固？

　　由于从网络架构上来讲，安全隔离网闸是处在网关的位置，因此其自身安全性非常重要，两个处理单元 加固包括硬件加固、操作系统加固以及协议的加固。详情见扩展阅读3.

　　（十八）安全隔离网闸采用什么样的接口？有几个接口？

　　安全隔离网闸通常提供2个标准以太网百兆接口。

　　（十九）安全隔离网闸如何管理，支持远程管理吗？

　　安全性高的安全隔离网闸不支持远程管理。

　　（二十）安全隔离网闸适用于大规模的部署吗？

　　安全隔离网闸的安全部署不需对现有网络作调整，同时支持多台冗余

　　（二十一）安全隔离网闸适用于什么样的场合？

　　如果用户的网络上存储着重要的数据、运行着重要的应用，通过防火墙等措施不能提供足够高的安全性保护的情况下，可以考虑使用安全隔离网闸。

　　（二十二）安全隔离网闸直接转发IP包吗？

　　否。安全隔离网闸从不直接或者间接地转发IP包形式的数据。安全隔离网闸的安全性体现在链路层断开，直接处理应用层数据，对应用层数据进行内容检查和控制，在网络之间交换的数据都是应用层的数据。如果直接转发IP的话，由于单个IP包中一般不包含完整的应用数据，所以无法进行全面的内容检查和控制，也就无法保证应用层的安全。因此，如果直接转发IP包，则背离了安全隔离网闸的安全性要求，不能称为安全隔离网闸。

• 物理隔离网闸与隔离卡的对比： http://www.digital-star.com.cn/Technic_101.htm
• 2
  物理隔离网闸与防火墙的对比： http://www.digital-star.com.cn/Technic_102.htm
• 3
  选用安全隔离网闸注意的问题： http://www.digital-star.com.cn/Technic_119.htm