前言：本站為你精心整理了安全網(wǎng)閘范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

一、網(wǎng)閘與網(wǎng)閘技術(shù)

網(wǎng)閘是在兩個(gè)不同安全域之間，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應(yīng)用服務(wù)。注：網(wǎng)閘的“閘”字取自于船閘的意思，在信息擺渡的過程中內(nèi)外網(wǎng)（上下游）從未發(fā)生物理連接，所以網(wǎng)閘產(chǎn)品必須要有至少兩套主機(jī)和一個(gè)物理隔離部件才可完成物理隔離任務(wù)?，F(xiàn)在市場(chǎng)上出現(xiàn)的的單主機(jī)網(wǎng)閘或單主機(jī)中有兩個(gè)及多個(gè)處理引擎的過濾產(chǎn)品不是真正的網(wǎng)閘產(chǎn)品，不符合物理隔離標(biāo)準(zhǔn)。其只是一個(gè)包過濾的安全產(chǎn)品，類似防火墻。注：?jiǎn)沃鳈C(jī)網(wǎng)閘多以單向網(wǎng)閘來掩人耳目。

網(wǎng)閘的基本原理是：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)；對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。

安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。

安全隔離網(wǎng)閘是由軟件和硬件組成。其硬件設(shè)備由三部分組成:外部處理單元、內(nèi)部處理單元、隔離硬件。

當(dāng)用戶的網(wǎng)絡(luò)需要保證高強(qiáng)度的安全，同時(shí)又與其它不信任網(wǎng)絡(luò)進(jìn)行信息交換的情況下，如果采用物理隔離卡，信息交換的需求將無法滿足；如果采用防火墻，則無法防止內(nèi)部信息泄漏和外部病毒、黑客程序的滲入，安全性無法保證。在本文章共2頁，當(dāng)前在第1頁[1][2]下一頁本文章共2頁，當(dāng)前在第2頁上一頁[1][2]這種情況下，安全隔離網(wǎng)閘能夠同時(shí)滿足這兩個(gè)要求，又避免了物理隔離卡和防火墻的不足之處，是最好的選擇。

對(duì)網(wǎng)絡(luò)地隔離是通過網(wǎng)閘隔離硬件實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)在鏈路層斷開，但是為了交換數(shù)據(jù)，通過設(shè)計(jì)的隔離硬件在兩個(gè)網(wǎng)絡(luò)對(duì)應(yīng)的上進(jìn)行切換，通過對(duì)硬件上的存儲(chǔ)芯片的讀寫，完成數(shù)據(jù)的交換。

安裝了相應(yīng)的應(yīng)用模塊之后，安全隔離

網(wǎng)閘可以在保證安全的前提下，使用戶可以瀏覽網(wǎng)頁、收發(fā)電子郵件、在不同網(wǎng)絡(luò)上的數(shù)據(jù)庫之間交換數(shù)據(jù)，并可以在網(wǎng)絡(luò)之間交換定制的文件。但安全隔離網(wǎng)閘從不直接或者間接地轉(zhuǎn)發(fā)ip包形式的數(shù)據(jù)。安全隔離網(wǎng)閘的安全性體現(xiàn)在鏈路層斷開，直接處理應(yīng)用層數(shù)據(jù)，對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行內(nèi)容檢查和控制，在網(wǎng)絡(luò)之間交換的數(shù)據(jù)都是應(yīng)用層的數(shù)據(jù)。如果直接轉(zhuǎn)發(fā)ip的話，由于單個(gè)ip包中一般不包含完整的應(yīng)用數(shù)據(jù)，所以無法進(jìn)行全面的內(nèi)容檢查和控制，也就無法保證應(yīng)用層的安全。因此，如果直接轉(zhuǎn)發(fā)ip包，則背離了安全隔離網(wǎng)閘的安全性要求，不能稱為安全隔離網(wǎng)閘。

鑒于安全隔離網(wǎng)閘保護(hù)的主要是內(nèi)部網(wǎng)絡(luò)，一旦支持交互式訪問如支持建立會(huì)話，那么無法防止信息的泄漏以及內(nèi)部系統(tǒng)遭受攻擊，因此，安全隔離網(wǎng)閘不支持交互式訪問。安全隔離網(wǎng)閘的主要性能指標(biāo)性能指標(biāo)包括：系統(tǒng)數(shù)據(jù)交換速率：120mbps硬件切換時(shí)間：5ms

安全隔離網(wǎng)閘通常具備的安全功能模塊：安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計(jì)、身份認(rèn)證。

二、網(wǎng)閘技術(shù)發(fā)展史

2000年1月，為滿足國內(nèi)信息化建設(shè)及電子政務(wù)的需求，國內(nèi)專業(yè)從事網(wǎng)絡(luò)與信息安全研究開發(fā)、技術(shù)支持、產(chǎn)品銷售和安全服務(wù)的北京天行網(wǎng)安信息技術(shù)有限責(zé)任公司率先提出從物理隔離技術(shù)發(fā)展出gap概念，并且與公安部信息通信局聯(lián)合研制完成國內(nèi)第一款gap產(chǎn)品——天行安全隔離與信息交換系統(tǒng)，與此同時(shí)獲得了國內(nèi)網(wǎng)閘行業(yè)第一個(gè)銷售許可證，標(biāo)志著完全由我國自主研發(fā)的國內(nèi)第一臺(tái)網(wǎng)閘誕生。當(dāng)時(shí)網(wǎng)閘的性能比較低，支持的應(yīng)用非常有限。網(wǎng)閘在國內(nèi)的第一個(gè)用戶是外經(jīng)貿(mào)部（現(xiàn)商務(wù)部），時(shí)間是2000年11月。

2001-2002年，國內(nèi)由天行網(wǎng)安公司生產(chǎn)的第一批網(wǎng)閘產(chǎn)品“天行安全隔離網(wǎng)閘”開始被小規(guī)模應(yīng)用到公安、稅務(wù)、政府機(jī)關(guān)，如北京市電子政務(wù)第一期建設(shè)。當(dāng)時(shí)的產(chǎn)品相比較最初的原型設(shè)備，性能上有了大的跨越——吞吐量達(dá)到80mbps，應(yīng)用及適應(yīng)性得到提升，具備了在實(shí)際應(yīng)用場(chǎng)合更多的使用價(jià)值。同時(shí)，該產(chǎn)品在業(yè)界首次擴(kuò)展了新的應(yīng)用功能支持，從最初的靜態(tài)網(wǎng)頁瀏覽功能發(fā)展到郵件和文件同步、數(shù)據(jù)庫同步功能，產(chǎn)品更加符合市場(chǎng)需求。但當(dāng)時(shí)國內(nèi)絕大多數(shù)用戶對(duì)網(wǎng)閘技術(shù)不了解，也無法接受其安全隔離的技術(shù)理念，網(wǎng)閘尚處于市場(chǎng)萌芽期。

2003年，隨著網(wǎng)閘市場(chǎng)的逐步發(fā)展及需求的增大，國內(nèi)眾多安全廠商如中網(wǎng)、偉思等開始紛紛加入網(wǎng)閘生產(chǎn)商行列，共同推進(jìn)了網(wǎng)閘市場(chǎng)的發(fā)展，網(wǎng)閘開始進(jìn)入市場(chǎng)的平穩(wěn)發(fā)展期。

2005年，千兆網(wǎng)閘產(chǎn)品出現(xiàn)，功能更趨完善、更強(qiáng)大，各項(xiàng)性能上均有所突破，國內(nèi)各行業(yè)開始大范圍使用。

三、安全隔離網(wǎng)閘與路由器、交換機(jī)在網(wǎng)絡(luò)之間交換信息的差異

安全隔離網(wǎng)閘在網(wǎng)路間進(jìn)行的安全適度的信息交換是在網(wǎng)絡(luò)之間不存在鏈路層連接的情況下進(jìn)行的。安全隔離網(wǎng)閘直接處理網(wǎng)絡(luò)間的應(yīng)用層數(shù)據(jù)，利用存儲(chǔ)轉(zhuǎn)發(fā)的方法進(jìn)行應(yīng)用數(shù)據(jù)的交換，在交換的同時(shí)，對(duì)應(yīng)用數(shù)據(jù)進(jìn)行的各種安全檢查。路由器、交換機(jī)則保持鏈路層暢通，在鏈路層之上進(jìn)行ip包等網(wǎng)絡(luò)層數(shù)據(jù)的直接轉(zhuǎn)發(fā)，沒有考慮網(wǎng)絡(luò)安全和數(shù)據(jù)安全的問題。

它由三個(gè)組件構(gòu)成：a網(wǎng)處理機(jī)、b網(wǎng)處理機(jī)和gap開關(guān)設(shè)備。我們可以很清楚地看到連接兩個(gè)網(wǎng)絡(luò)的gap設(shè)備不能同時(shí)連接到相互獨(dú)立的a網(wǎng)和b網(wǎng)中，即gap在某一時(shí)刻只與其中某個(gè)網(wǎng)絡(luò)相連。gap設(shè)備連接a網(wǎng)時(shí)，它是與b網(wǎng)斷開的，a網(wǎng)處理機(jī)把數(shù)據(jù)放入gap中；gap在接收完數(shù)據(jù)后自動(dòng)切換到b網(wǎng)，同時(shí)，gap與a網(wǎng)斷開；b網(wǎng)處理機(jī)從gap中取出數(shù)據(jù)，并根據(jù)合法數(shù)據(jù)的規(guī)則進(jìn)行嚴(yán)格的檢查，判斷這些數(shù)據(jù)是否合法，若為非法數(shù)據(jù)，則刪除它們。同理，b網(wǎng)也以同樣的方式通過gap將數(shù)據(jù)安全地交換到a網(wǎng)中。從a網(wǎng)處理機(jī)往gap放入數(shù)據(jù)開始，到b網(wǎng)處理機(jī)從gap中取出數(shù)據(jù)并檢查結(jié)束，就完成了一次數(shù)據(jù)交換。gap就這樣在a網(wǎng)處理機(jī)與b網(wǎng)處理機(jī)之間來回往復(fù)地進(jìn)行實(shí)時(shí)數(shù)據(jù)交換。在通過gap交換數(shù)據(jù)的同時(shí)，a網(wǎng)和b網(wǎng)依然是隔離的。

安全網(wǎng)閘是如何來保證在兩個(gè)網(wǎng)絡(luò)之間的安全性呢？首先，這兩個(gè)網(wǎng)絡(luò)一直是隔離的，在兩個(gè)網(wǎng)絡(luò)之間只能通過gap來交換數(shù)據(jù)，當(dāng)兩個(gè)網(wǎng)絡(luò)的處理機(jī)或gap三者中的任何一個(gè)設(shè)備出現(xiàn)問題時(shí)，都無法通過gap進(jìn)入另一個(gè)網(wǎng)絡(luò)，因?yàn)樗鼈冎g沒有物理連接；第二，gap只交換數(shù)據(jù)，不直接傳輸tcp/ip，這樣避免了tcp/ip的漏洞；第三，任何一方接收到數(shù)據(jù)，都要對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格的內(nèi)容檢測(cè)和病毒掃描，嚴(yán)格控制非法數(shù)據(jù)的交流。gap的安全性高低關(guān)鍵在于其對(duì)數(shù)據(jù)內(nèi)容檢測(cè)的強(qiáng)弱。若不做任何檢測(cè)，雖然是隔離的兩個(gè)網(wǎng)絡(luò)，也能傳輸非法數(shù)據(jù)、病毒、木馬，甚至利用應(yīng)用協(xié)議漏洞通過gap設(shè)備從一個(gè)網(wǎng)絡(luò)直接進(jìn)入另一個(gè)網(wǎng)絡(luò)。那么gap的作用將大打折扣。

盡管作為物理安全設(shè)備，安全網(wǎng)閘提供的高安全性是顯而易見的，但是由于其工作原理上的特性,不可避免地決定了安全網(wǎng)閘存在一些缺陷：

a.只支持靜態(tài)數(shù)據(jù)交換，不支持交互式訪問

這是安全網(wǎng)閘最明顯得一個(gè)缺陷。類似于拷盤在兩臺(tái)主機(jī)間交換數(shù)據(jù)，安全網(wǎng)閘的數(shù)據(jù)是以存儲(chǔ)轉(zhuǎn)發(fā)模式工作的，在數(shù)據(jù)鏈路層其網(wǎng)段的兩邊始終是中斷的，在其三個(gè)組件的任何一個(gè)節(jié)點(diǎn)上交換的都必須是完整的應(yīng)用層數(shù)據(jù)。因此，它不支持諸如動(dòng)態(tài)web頁面技術(shù)中的activex、java甚至是客戶端的cookie技術(shù)，目前安全網(wǎng)閘一般只支持靜態(tài)web頁，郵件文件等靜態(tài)數(shù)據(jù)的交換。

b.適用范圍窄，必須根據(jù)具體應(yīng)用開發(fā)專用的交換模塊

由于數(shù)據(jù)鏈路層被忽略，安全網(wǎng)閘無法實(shí)現(xiàn)一個(gè)完整的iso/osi七層連接過程，所以安全網(wǎng)閘對(duì)所有交換的數(shù)據(jù)必須根據(jù)其特性開發(fā)專用的交換模塊，而不是采用is0/osi七層模型提供的傳統(tǒng)的層次封裝的開放式編程接口。所以客戶所能實(shí)現(xiàn)的數(shù)據(jù)交換類型均取決于產(chǎn)品提供商到底能提供多少種應(yīng)用模塊，甚至于要根據(jù)客戶的要求臨時(shí)開發(fā)各種應(yīng)用模塊，靈活性差，適用范圍十分狹窄；

c.系統(tǒng)配置復(fù)雜，安全性很大程度上取決于網(wǎng)管員的技術(shù)水平

安全網(wǎng)閘采用由其主動(dòng)發(fā)起數(shù)據(jù)請(qǐng)求的方式進(jìn)行工作，它不會(huì)接受和響應(yīng)其它主機(jī)主動(dòng)發(fā)起的數(shù)據(jù)請(qǐng)求，也不對(duì)外提供任何服務(wù)。對(duì)于取到的數(shù)據(jù)還要進(jìn)行一些病毒、木馬過濾和安全性檢查等一系列功能，這都需要網(wǎng)管員根據(jù)網(wǎng)絡(luò)應(yīng)用的具體情況加以判斷和設(shè)置。如果設(shè)置不當(dāng)，比如對(duì)內(nèi)部人員向外部提交的數(shù)據(jù)不進(jìn)行過濾而導(dǎo)致信息外泄等，都可能造成安全網(wǎng)閘的安全功能大打折扣。

d.結(jié)構(gòu)復(fù)雜，實(shí)施費(fèi)用較高

安全網(wǎng)閘的三個(gè)組件都必須為大容量存儲(chǔ)設(shè)備，特別在支持多種應(yīng)用的情況下，存儲(chǔ)轉(zhuǎn)發(fā)決定了必須采用較大的存儲(chǔ)器來存儲(chǔ)和緩存大量的交換數(shù)據(jù)。另外，安全網(wǎng)閘由于處在兩個(gè)網(wǎng)段的結(jié)合部，具有網(wǎng)關(guān)的地位，一旦當(dāng)機(jī)就會(huì)使兩邊數(shù)據(jù)無法交換，所以往往需要配置多臺(tái)網(wǎng)閘設(shè)備作為冗余，使購置和實(shí)施費(fèi)用不可避免地上升了；

e.技術(shù)不成熟，沒有形成體系化

安全網(wǎng)閘技術(shù)是一項(xiàng)新興的網(wǎng)絡(luò)安全技術(shù)，尚無專門的國際性研究組織對(duì)其進(jìn)行系統(tǒng)的研究和從事相關(guān)體系化標(biāo)準(zhǔn)的制定工作。對(duì)其工作原理的界定也很模糊，在國外，一些應(yīng)用的比較多的安全網(wǎng)閘產(chǎn)品，比如國外的e-gap（whale公司）和airgapag系列（spearhead公司），本質(zhì)上它們是一種內(nèi)容過濾型防火墻，由于支持交互式會(huì)話，嚴(yán)格意義上已經(jīng)不屬于物理隔離產(chǎn)品。國內(nèi)的安全網(wǎng)閘成熟產(chǎn)品少，由于諸多原因，也并未得到充分推廣；

f.可能造成其他安全產(chǎn)品不能正常工作，并帶來瓶頸問題

安全性和易用性始終是一對(duì)矛盾，在已有的防火墻，vpn，aaa認(rèn)證設(shè)備等安全設(shè)施的多重構(gòu)架環(huán)境中，安全網(wǎng)閘產(chǎn)品的加入，使網(wǎng)絡(luò)日趨復(fù)雜化，正常的訪問連接越來越多的被各種不可見和不易見因素所干擾和影響，已經(jīng)配置好的各種網(wǎng)絡(luò)產(chǎn)品和安全產(chǎn)品，可能由于安全網(wǎng)閘的配置不當(dāng)而受到影響。由于多重過濾的安全設(shè)施結(jié)構(gòu)，安全網(wǎng)閘的加入使瓶頸問題更加突出。因?yàn)殡娮娱_關(guān)切換速率的固有特性和安全過濾內(nèi)容功能的復(fù)雜化，目前安全網(wǎng)閘的交換速率已接近該技術(shù)的理論速率極限，可以預(yù)見在不久的將來，隨著高速網(wǎng)絡(luò)技術(shù)的發(fā)展，安全網(wǎng)閘在交換速率上的問題將會(huì)成為阻礙網(wǎng)絡(luò)數(shù)據(jù)交換的重要因素。

四、物理隔離網(wǎng)閘與防火墻的對(duì)比

在設(shè)計(jì)理念方面，防火墻是以應(yīng)用為主的安全為輔的，也就是說在支持盡可能多的應(yīng)用的前提下，來保證使用的安全。防火墻的這一設(shè)計(jì)理念使得它可以廣泛地用于盡可能多的領(lǐng)域，擁有更加廣泛的市場(chǎng)。而網(wǎng)閘則是以安全為主，在保證安全的前提下，支持盡可能多地應(yīng)用。網(wǎng)閘主要用于安全性要求極高的領(lǐng)域，例如對(duì)政府網(wǎng)絡(luò)，工業(yè)控制系統(tǒng)的保護(hù)等等。顯然，由于把安全性放在首位，這樣就會(huì)有更加嚴(yán)格的安全規(guī)則和更多地限制，因此可以應(yīng)用的范圍也較防火墻少一些，主要用那些對(duì)安全性要求較高的環(huán)境下。相反防火墻可以應(yīng)用于非常廣泛的應(yīng)用領(lǐng)域，甚至包括個(gè)人電腦都可以使用，但是它的安全性往往就差強(qiáng)人意。人們常常發(fā)現(xiàn)被防火墻防護(hù)的網(wǎng)絡(luò)依然常常被黑客和病毒攻擊?，F(xiàn)在有很多網(wǎng)絡(luò)攻擊都是發(fā)生在有防火墻的情況下，根據(jù)美國財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明，30%的入侵發(fā)生在有防火墻的情況下。由于這種設(shè)計(jì)理念的區(qū)別，因此可以有軟件防火墻，但是卻不會(huì)有軟件網(wǎng)閘。

設(shè)計(jì)理念的不同也導(dǎo)致系統(tǒng)的整體設(shè)計(jì)也完全不同。硬件防火墻雖然可以有多種設(shè)計(jì)方式，但是一般來說，它都是單一的計(jì)算機(jī)系統(tǒng)由一個(gè)操作系統(tǒng)來控制構(gòu)的，用戶的內(nèi)網(wǎng)和外網(wǎng)都連接在這同一個(gè)系統(tǒng)上。然而安全隔離網(wǎng)閘卻完全不同，它自少由三部分組成，內(nèi)網(wǎng)處理單元，外網(wǎng)處理單元和一個(gè)隔離島。一般來說，內(nèi)外網(wǎng)處理單元是兩個(gè)完全獨(dú)立計(jì)算機(jī)的系統(tǒng)構(gòu)，擁有各自獨(dú)立的操作系統(tǒng)。內(nèi)網(wǎng)處理單元與用戶的內(nèi)網(wǎng)相連，外網(wǎng)處理單元與外部網(wǎng)絡(luò)相連，內(nèi)外網(wǎng)處理系統(tǒng)之間通過隔離島進(jìn)行非協(xié)議的信息交換?？梢钥吹贸鰜恚W(wǎng)閘的結(jié)構(gòu)較防火墻要復(fù)雜的多，顯然有兩個(gè)獨(dú)立的系統(tǒng)分別連接內(nèi)外網(wǎng)，中間再由隔離島隔離，要比防火墻的設(shè)計(jì)要安全得多，當(dāng)然設(shè)計(jì)的難度也要高得多。當(dāng)然區(qū)別不僅僅如此，由于設(shè)計(jì)理念以及硬件結(jié)構(gòu)的完全不同，在軟件設(shè)計(jì)上也有很大的區(qū)別，很很高的難度，這里就不再細(xì)說。

無論從功能還是實(shí)現(xiàn)原理上講，安全隔離網(wǎng)閘和防火墻是完全不同的兩個(gè)產(chǎn)品，防火墻是保證網(wǎng)絡(luò)層安全的邊界安全工具（如通常的非軍事化區(qū)），而安全隔離網(wǎng)閘重點(diǎn)是保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。因此兩種產(chǎn)品由于定位的不同，因此不能相互取代。

防火墻是網(wǎng)絡(luò)層邊界檢查工具，可以設(shè)置規(guī)則對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全防護(hù)，而ids一般是對(duì)已知攻擊行為進(jìn)行檢測(cè)，這兩種產(chǎn)品的結(jié)合可以很好的保護(hù)用戶的網(wǎng)絡(luò)，但是從安全原理上來講，無法對(duì)內(nèi)部網(wǎng)絡(luò)做更深入的安全防護(hù)。安全隔離網(wǎng)閘重點(diǎn)是保護(hù)內(nèi)部網(wǎng)絡(luò)，如果用戶對(duì)內(nèi)部網(wǎng)絡(luò)的安全非常在意，那么防火墻和ids再加上安全隔離網(wǎng)閘將會(huì)形成一個(gè)很好的防御體系。

五、網(wǎng)閘在中國信息化建設(shè)中的應(yīng)用

當(dāng)前，國內(nèi)網(wǎng)閘市場(chǎng)已經(jīng)具備一定規(guī)模，進(jìn)入市場(chǎng)成熟期。前期用戶主要集中在政府、公安等對(duì)安全性要求很高的重要部門。隨著網(wǎng)閘產(chǎn)品的更新?lián)Q代，安全隔離網(wǎng)閘越來越趨向適用于包括政府、公安在內(nèi)的其他行業(yè)，如：軍隊(duì)、銀行、金融、證券、工商、航空、電力和電子商務(wù)等有高安全級(jí)別需求的網(wǎng)絡(luò)。

就電子政務(wù)建設(shè)來說，目前，各政府行業(yè)面向全國的縱向網(wǎng)絡(luò)建設(shè)已經(jīng)基本完成，但是行業(yè)網(wǎng)絡(luò)之間的橫向數(shù)據(jù)交換由于安全缺乏保障的原因而發(fā)展滯后。網(wǎng)閘能夠完美解決電子政務(wù)建設(shè)中不同網(wǎng)絡(luò)之間、同一網(wǎng)絡(luò)的不同安全域之間的數(shù)據(jù)安全交換、擺渡。使得原有各個(gè)政府部門之間相互獨(dú)立的網(wǎng)絡(luò)之間數(shù)據(jù)交換、各種跨部門跨行業(yè)的協(xié)同辦公得以實(shí)現(xiàn)。

國內(nèi)網(wǎng)閘技術(shù)的發(fā)展自2000年第一臺(tái)網(wǎng)閘的誕生后，至今已有將近八年的歷史，網(wǎng)閘產(chǎn)品的性能有了大規(guī)模的提升，功能也得到大規(guī)模的擴(kuò)展，網(wǎng)閘市場(chǎng)出現(xiàn)一派繁榮景象。如代表我國的gap研發(fā)與服務(wù)水準(zhǔn)的天行網(wǎng)安公司于今年新推出的“網(wǎng)閘家族”，其家族成員就是一系列按不同硬件性能進(jìn)行劃分、并針對(duì)不同的硬件平臺(tái)進(jìn)行軟件系統(tǒng)優(yōu)化、提供多種可選軟件功能模塊的網(wǎng)閘系列新品，用戶可根據(jù)需求的不同，靈活選擇軟硬件組合，從而更進(jìn)一步提高網(wǎng)閘的適用性使得各項(xiàng)性能均達(dá)到最優(yōu)化，最大限度的發(fā)揮網(wǎng)閘的安全防護(hù)作用。

“網(wǎng)閘家族”的出現(xiàn)，預(yù)示著未來網(wǎng)閘技術(shù)將朝著更加深入應(yīng)用的方向發(fā)展，以其作為核心的“綜合接入平臺(tái)”，更可以在多對(duì)多的網(wǎng)絡(luò)之間實(shí)現(xiàn)集中統(tǒng)一管理的訪問接入和數(shù)據(jù)交換，推動(dòng)信息化建設(shè)的進(jìn)一步發(fā)展。硬件實(shí)現(xiàn)的可信計(jì)算、深度內(nèi)容檢查等技術(shù)也越來越多地被融入到網(wǎng)閘產(chǎn)品當(dāng)中，網(wǎng)閘對(duì)各種應(yīng)用架構(gòu)、應(yīng)用系統(tǒng)的適應(yīng)性將會(huì)得到更大程度的提高，為越來越多的應(yīng)用提供強(qiáng)有力的安全保障。

摘要：文章主要從安全隔離網(wǎng)閘技術(shù)誕生和發(fā)展過程開始，較詳細(xì)地對(duì)安全隔離網(wǎng)閘技術(shù)的原理、結(jié)構(gòu)、特點(diǎn)進(jìn)行了分析，并對(duì)照傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)如防火墻、ids等技術(shù)，論述了安全隔離網(wǎng)閘技術(shù)在大型計(jì)算機(jī)網(wǎng)路應(yīng)用中優(yōu)越性、安全性、可靠性。

關(guān)鍵詞：安全隔離網(wǎng)閘防火墻gap信

息數(shù)據(jù)安全

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷普及和發(fā)展，已經(jīng)應(yīng)用了十年左右的時(shí)間的傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)如防火墻、ids等技術(shù)，其安全效能正在下降，最新的病毒、黑客攻擊已經(jīng)使傳統(tǒng)防御技術(shù)防不勝防，因?yàn)檫@些病毒和攻擊技術(shù)正是針對(duì)防火墻、ids的弱點(diǎn)進(jìn)行攻擊和傳播的。信息化建設(shè)迫切需要引入新的、更強(qiáng)有力的防御技術(shù)為其發(fā)展作保障。攻擊技術(shù)的不斷進(jìn)化，催生了防御技術(shù)的革命，網(wǎng)閘因此而誕生。

網(wǎng)閘又叫安全隔離與信息交換系統(tǒng)。美國、以色列等國家規(guī)定高密級(jí)網(wǎng)絡(luò)要采用物理隔離，從1999年開始，使用物理隔離卡。物理隔離卡保證了網(wǎng)絡(luò)間的物理隔離，但是卻無法實(shí)現(xiàn)信息交換。

隨著網(wǎng)絡(luò)應(yīng)用及我國信息化建設(shè)和電子政務(wù)的發(fā)展，網(wǎng)絡(luò)間在物理隔離基礎(chǔ)上進(jìn)行適度、可控和安全的數(shù)據(jù)交換的需求在我國逐漸顯露。安全隔離網(wǎng)閘技術(shù)應(yīng)運(yùn)而生。

網(wǎng)閘技術(shù)在物理隔離技術(shù)基礎(chǔ)上，實(shí)現(xiàn)了網(wǎng)絡(luò)間物理層和網(wǎng)絡(luò)協(xié)議斷開的同時(shí)進(jìn)行數(shù)據(jù)交換。是新一代高安全度的企業(yè)級(jí)信息安全防護(hù)設(shè)備，它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，而且有效地防范了信息外泄事件的發(fā)生。