網(wǎng)閘（GAP）全稱(chēng)安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專(zhuān)用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。網(wǎng)閘在兩個(gè)不同安全域之間，通過(guò)協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^(guò)。其信息流一般為通用應(yīng)用服務(wù)。

 

網(wǎng)閘的一個(gè)基本特征，就是內(nèi)網(wǎng)與外網(wǎng)永遠(yuǎn)不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只有一個(gè)同隔離設(shè)備建立數(shù)據(jù)連接，可以是兩個(gè)都不連接，但不能兩個(gè)同時(shí)都連接。

 

網(wǎng)閘的硬件主要包括三部分：分別是專(zhuān)用安全隔離切換裝置（數(shù)據(jù)暫存區(qū)）、內(nèi)部處理單元和外部處理單元。系統(tǒng)中的專(zhuān)用安全隔離切換裝置分別連接內(nèi)部處理單元和外部處理單元。這種獨(dú)特和巧妙的設(shè)計(jì)，保證了安全隔離切換裝置中的數(shù)據(jù)暫存區(qū)在任一時(shí)刻僅連通內(nèi)部或者外部處理單元，從而實(shí)現(xiàn)內(nèi)外網(wǎng)的安全隔離。

 

網(wǎng)閘就是要解決目前網(wǎng)絡(luò)安全存在的下述問(wèn)題：

 

（1）對(duì)操作系統(tǒng)的依賴(lài)，因?yàn)椴僮飨到y(tǒng)也有漏洞；

 

（2）對(duì)TCP/IP協(xié)議的依賴(lài)，而TCP/IP協(xié)議有漏洞；

 

（3）解決通信連接的問(wèn)題，內(nèi)網(wǎng)和外網(wǎng)直接連接，存在基于通信的攻擊；

 

（4）應(yīng)用協(xié)議的漏洞，如非法的命令和指令等。

 

網(wǎng)閘作用

 

1、抵御基于操作系統(tǒng)漏洞攻擊行為

 

安全隔離網(wǎng)閘的雙主機(jī)之間是物理阻斷的，無(wú)連接的，因此，黑客不可能掃描內(nèi)部網(wǎng)絡(luò)的所有主機(jī)的操作系統(tǒng)漏洞，無(wú)法攻擊內(nèi)部，包括安全隔離網(wǎng)閘的內(nèi)部主機(jī)系統(tǒng)。

 

2、抵御基于TCP/IP漏洞的攻擊

 

由于安全隔離網(wǎng)閘的主機(jī)系統(tǒng)把TCP/IP協(xié)議頭全部剝離，以原始數(shù)據(jù)方式在兩主機(jī)系統(tǒng)間進(jìn)行“擺渡”，網(wǎng)閘的接受請(qǐng)求的主機(jī)系統(tǒng)與請(qǐng)求主機(jī)之間建立會(huì)話(huà)，因此，對(duì)于目前所有的如源地址欺騙、偽造TCP序列號(hào)、SYN攻擊等TCP/IP漏洞攻擊是完全阻斷的。

 

3、抵御木馬將數(shù)據(jù)外泄

 

安全隔離網(wǎng)閘對(duì)于每個(gè)應(yīng)用都是在應(yīng)用層進(jìn)行處理，并且策略需按照應(yīng)用逐個(gè)下達(dá)，同時(shí)對(duì)于目的地址也要唯一性指定，因此內(nèi)部主機(jī)上的木馬是無(wú)法實(shí)現(xiàn)將數(shù)據(jù)外泄的。并且木馬主動(dòng)發(fā)起的對(duì)外連接也將直接被隔離設(shè)備切斷。

 

4、抵御基于文件的病毒傳播

 

安全隔離網(wǎng)閘在理論上是完全可以防止基于文件的攻擊，如病毒等。病毒一般依附在高級(jí)文件格式上，低級(jí)文件格式則不會(huì)有病毒，因此進(jìn)行文件“擺渡”的時(shí)候，可以限制文件的類(lèi)型，如只有文本文件才可以通過(guò)“擺渡”，這樣就不會(huì)有病毒。另外一種方式，是剝離重組方式。剝離高級(jí)格式，就消除了病毒的載體，重組后的文件，不會(huì)再有病毒。這種方式會(huì)導(dǎo)致效率的下降，一些潛在的危險(xiǎn)的格式可能會(huì)被禁止。

 

5、抵御DoS/DDoS攻擊

 

安全隔離網(wǎng)閘自身特有的無(wú)連接特性，能夠很好的防止DoS或DDoS攻擊穿過(guò)隔離設(shè)備攻擊服務(wù)器。但也不能抵御針對(duì)安全隔離設(shè)備本身的DDoS攻擊。

 

6、安全性高

 

內(nèi)外網(wǎng)主機(jī)系統(tǒng)分別有獨(dú)立于網(wǎng)絡(luò)接口的專(zhuān)用管理接口，同時(shí)對(duì)于運(yùn)行的安全策略需要在兩個(gè)系統(tǒng)分別下達(dá)，并通過(guò)統(tǒng)一的任務(wù)號(hào)進(jìn)行對(duì)應(yīng)。以此達(dá)到高安全。即使系統(tǒng)的外網(wǎng)處理單元癱瘓，網(wǎng)絡(luò)攻擊也無(wú)法觸及內(nèi)網(wǎng)處理單元。

 

7、設(shè)備聯(lián)動(dòng)

 

可結(jié)合防火墻、IDS、VPN等安全設(shè)備運(yùn)行，形成綜合網(wǎng)絡(luò)安全防護(hù)平臺(tái)。