網(wǎng)閘工作原理

1、網(wǎng)閘工作原理安全隔離網(wǎng)閘是一組具有多種控制功能的軟硬件組成的網(wǎng)絡(luò)安全設(shè)備，它在 電路上切斷了網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全的應(yīng)用數(shù)據(jù)交 換。第二代網(wǎng)閘通過專用交換通道、 高速硬件通信卡、私有通信協(xié)議和加密簽名 機(jī)制來實(shí)現(xiàn)高速、安全的內(nèi)外網(wǎng)數(shù)據(jù)交換，使得處理能力較一代大大提高，能夠 適應(yīng)復(fù)雜網(wǎng)絡(luò)對(duì)隔離應(yīng)用的需求；私有通信協(xié)議和加密簽名機(jī)制保證了內(nèi)外處理 單元之間數(shù)據(jù)交換的機(jī)密性、完整性和可信性。與同類產(chǎn)品比較，網(wǎng)閘具有更高的安全性和可靠性，作為目前業(yè)界公認(rèn)的較 為成熟可靠的網(wǎng)絡(luò)隔離解決方案，在政府部門信息化建設(shè)中逐漸受到青睞。網(wǎng)閘 通過內(nèi)部控制系統(tǒng)連接兩個(gè)獨(dú)立網(wǎng)絡(luò)， 利用內(nèi)嵌軟件完

2、成切換操作，并且增加了 安全審查程序。作為數(shù)據(jù)傳遞“中介”，網(wǎng)閘在保證重要網(wǎng)絡(luò)與其他網(wǎng)絡(luò)隔離的 同時(shí)進(jìn)行數(shù)據(jù)安全交換。由于互聯(lián)網(wǎng)是基于TCP/IP協(xié)議實(shí)現(xiàn)連接，因此入侵攻擊都依賴于 OSI七層數(shù)據(jù) 通信模型的一層或多層。理論上講，如果斷開OSI數(shù)據(jù)模型的所有層，就可以消 除來自網(wǎng)絡(luò)的潛在攻擊。網(wǎng)閘正是依照此原理實(shí)現(xiàn)了信息安全傳遞， 它不依靠網(wǎng) 絡(luò)協(xié)議的數(shù)據(jù)包轉(zhuǎn)發(fā)，只有數(shù)據(jù)的無協(xié)議“擺渡”，阻斷了基于OSI協(xié)議的潛在 攻擊，從而保證了系統(tǒng)安全。網(wǎng)閘工作的原理在于：中斷兩側(cè)網(wǎng)絡(luò)的直接相連，剝離網(wǎng)絡(luò)協(xié)議并將其還原 成原始數(shù)據(jù)，用特殊的內(nèi)部協(xié)議封裝后傳輸?shù)綄?duì)端網(wǎng)絡(luò)。同時(shí)，網(wǎng)閘可通過附加檢測模塊對(duì)數(shù)據(jù)進(jìn)

3、行掃描，從而防止惡意代碼和病毒，甚至可以設(shè)置特殊的數(shù)據(jù) 屬性結(jié)構(gòu)實(shí)現(xiàn)通過限制。網(wǎng)閘不依賴于 TCP/IP和操作系統(tǒng)，而由內(nèi)嵌仲裁系統(tǒng) 對(duì)OSI的七層協(xié)議進(jìn)行全面分析，在異構(gòu)介質(zhì)上重組所有的數(shù)據(jù)，實(shí)現(xiàn)了 “協(xié)議 落地、內(nèi)容檢測”。因此，網(wǎng)閘真正實(shí)現(xiàn)了網(wǎng)絡(luò)隔離，在阻斷各種網(wǎng)絡(luò)攻擊的前 提下，為用戶提供安全的網(wǎng)絡(luò)操作、郵件訪問以及基于文件和數(shù)據(jù)庫的數(shù)據(jù)交換。1. 網(wǎng)閘與防火墻的對(duì)比分析防火墻與網(wǎng)閘同屬網(wǎng)絡(luò)安全產(chǎn)品類別，但它與網(wǎng)閘是截然不同的。防火墻是 基于訪問控制技術(shù)，即通過限制或開放網(wǎng)絡(luò)中某種協(xié)議或端口的訪問來保證系統(tǒng) 安全，主要包括靜態(tài)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測包過濾、電路代理、應(yīng)用 代理等

4、方法來進(jìn)行安全控制，通過對(duì)IP包的處理，實(shí)現(xiàn)對(duì)TCP會(huì)話的控制，并通過訪問控制的方式允許合法的數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)，從而防止非法用戶獲取內(nèi)部重要信息，阻止黑客入侵。表1是對(duì)兩者在各方面的對(duì)比：項(xiàng)目*M永1安全機(jī)制衲naw 務(wù)零安全VM.安全功能 帽對(duì)單一在舷na ”琳基確上.綜合了訪 冋技制內(nèi)夸過海病晝殺零找術(shù)J 具有全BJ的紡護(hù)功能|謨件設(shè)什防火壇理件沒計(jì)遵儲(chǔ) psittrtst.可能存在安 全湘.易*受女擊變件設(shè)計(jì)來用基于GAP技木的體系結(jié) 憶運(yùn)行穩(wěn)定.不僉因弼絡(luò)攻擊而痔痍防況增揑作殺銃對(duì)應(yīng) TCP/IP.可能存在安全不flettT osi協(xié)議.采常專用安全操作 系銃能為軟件支援炙統(tǒng)，實(shí)行理

5、制訪問阿堵協(xié)議處理對(duì)素知陽絡(luò)協(xié)孜的海涓 無袪預(yù)先L糊QU時(shí)修菲用專用映射協(xié)飲代咎JK倒第愣議買癮數(shù)據(jù)傳輸，沒有通罔擁議的安全測K無霸升級(jí)處理1MB護(hù)暫理配置較為復(fù)雜留配簡潔且無需經(jīng)幫維護(hù).寫其它安全設(shè)備可與防火如入侵徐測VPN霰 全設(shè)備結(jié)合.形成綠合屈絡(luò)支全防護(hù)平防火墻在使用中存在以下問題：首先，防火墻側(cè)重于網(wǎng)絡(luò)層至應(yīng)用層的策略隔離， 在使用前需要對(duì)網(wǎng)絡(luò)攻擊特征規(guī)則庫進(jìn)行復(fù)雜的配置和動(dòng)態(tài)維護(hù)，并及時(shí)更新安全策略才能滿足用戶安全需要；其次，多數(shù)防火墻是基于路由器的數(shù)據(jù)包分組過 濾類型，防護(hù)能力較差。通過性能對(duì)比，防火墻與網(wǎng)閘存在的區(qū)別在于：首先，防火墻是訪問控制類產(chǎn)品，它不能實(shí)現(xiàn)完全隔離，必須在

6、網(wǎng)絡(luò)互通的 情況下進(jìn)行訪問控制。防火墻工作依賴于 TCP/IP協(xié)議，在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包作安 全檢查，因此無法保證數(shù)據(jù)安全性；而隔離網(wǎng)閘是在網(wǎng)絡(luò)斷開的情況下， 以非網(wǎng) 絡(luò)方式進(jìn)行數(shù)據(jù)交換，實(shí)現(xiàn)信息的共享。網(wǎng)閘數(shù)據(jù)交換不依賴于OSI模型，通過 隔離硬件將內(nèi)外網(wǎng)絡(luò)在鏈路層斷開，由仲裁系統(tǒng)在內(nèi)外網(wǎng)對(duì)應(yīng)節(jié)點(diǎn)上進(jìn)行切換， 在剝離協(xié)議并重新封裝原始數(shù)據(jù)后，對(duì)硬件上的存儲(chǔ)芯片進(jìn)行讀寫來完成數(shù)據(jù)的 交換，因此網(wǎng)閘實(shí)現(xiàn)了內(nèi)外網(wǎng)完全隔離。其次，防火墻常用于保證網(wǎng)絡(luò)層安全的邊界安全（如 DMZ區(qū)），而網(wǎng)閘主要保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。防火墻通常用網(wǎng)絡(luò)地址翻譯及存取列表來限定某個(gè)地址范圍 或端口協(xié)議的訪問。例如，防火墻應(yīng)用代理

7、的典型安全威脅是： 木馬程序通常利 用操作系統(tǒng)漏洞繞過防火墻入侵應(yīng)用代理服務(wù)器；而隔離網(wǎng)閘能夠很好的解決高 性能、高安全性、易用性之間的矛盾，網(wǎng)閘無需升級(jí)即可防止入侵，它切斷所有 的TCP連接，包括UDR ICMP等其他各種協(xié)議，使各種木馬程序無法通過網(wǎng)閘進(jìn) 行通訊。2、應(yīng)用案例介紹電網(wǎng)安Ferryway2.0全交互平臺(tái)。采用三機(jī)模型杭州市建委在信息化建設(shè)中，為了規(guī)范行業(yè)管理，體現(xiàn)政務(wù)公開，通過網(wǎng)閘隔離 系統(tǒng)實(shí)現(xiàn)了內(nèi)部0A 系統(tǒng)和直屬單位聯(lián)網(wǎng)協(xié)同管理平臺(tái)“杭州建設(shè)信用網(wǎng)”的信 息交互。網(wǎng)絡(luò)實(shí)現(xiàn)如圖一所示：系統(tǒng)采用金作為信息安該硬件產(chǎn)品 設(shè)計(jì)，使建委WEBg布系統(tǒng)、內(nèi)部0A直屬單位業(yè)務(wù)系統(tǒng)之間通過IP和端口設(shè) 定實(shí)現(xiàn)了安全數(shù)據(jù)交互。以工程招投標(biāo)管理流程為例說明:1. 業(yè)主單位發(fā)出招標(biāo)申請(qǐng)后，統(tǒng)一編號(hào)的工程招標(biāo)項(xiàng)目信息進(jìn)入招標(biāo)辦業(yè)務(wù) 系統(tǒng)；招標(biāo)系統(tǒng)結(jié)束內(nèi)部流程后將投標(biāo)企業(yè)和人員的誠信信息傳至信用網(wǎng)。2. 網(wǎng)閘外網(wǎng)機(jī)接收數(shù)據(jù)后將所有的協(xié)議剝離，并發(fā)起非TCP/IP協(xié)