网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。
第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。
性能指标
安全隔离网闸的主要性能指标有那些呢? 其性能指标包括:
系统数据交换速率:120Mbps
硬件切换时间:5ms
网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持
(十四)使用安全隔离网闸时需要安装客户端吗?
有的网闸管理员使用通用的浏览器即可对其进行管理配置,使用安全隔离网闸时不需安装其他客户端。 但是这种方式具有极大的安全风险,因为远程连接会引入安全威胁,而这种对于控制口的攻击更为严重。所以安全性要求高的网闸,不允许通过远程进行配置,只允许通过专有的配置程序,也就是客户端通过串口进行配置。一些重要部门均不允许对网闸具有远程配置的功能。
(十五)安全隔离网闸接受外来请求吗?
不接受,安全隔离网闸上的数据交换全部由管理员来进行配置,其所有的请求都由安全隔离网闸主动发起,不接受外来请求,不提供任何系统服务。 如果接受远程配置,就会接受外来的请求,造成严重的安全问题。
(十六)安全隔离网闸是否支持所连接的两个网络的网段地址相同?
支持。
(十七)安全隔离网闸的主机系统是否经过安全加固?
由于从网络架构上来讲,安全隔离网闸是处在网关的位置,因此其自身安全性非常重要,两个处理单元 加固包括硬件加固、操作系统加固以及协议的加固。详情见扩展阅读3.