网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的。
隔离与信息交换系统,即网闸,是新一代高度的企业级信息防护设备,它依托隔离技术为信息网络提供了更高层次的防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,原理是通过应用层数据提取与审查达到杜绝基于协议层的攻击和增强应用层的效果。
第二代网闸正是在吸取了代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低性的前提下能够完成内外网之间高速的数据交换,有效地克服了代网闸的弊端,第二代网闸的数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与审查达到杜绝基于协议层的攻击和增强应用层效果的,但却提供了比代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到代网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。
为什么要使用隔离网闸呢?其意义是:
(一)当用户的网络需要保证高强度的,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,性无法保证。在这种情况下,隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处,是的选择。
(二)对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。
(三)安装了相应的应用模块之后,隔离网闸可以在保证的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。
网闸的产生,早是出现在美国、以色列等国的军方,用以解决涉密网络与公共网络连接时的问题。
随着电子政务在我国的蓬勃发展,政府部门的高网络和其他低网络之间进行数据交换的需求日益明显,出于国家考虑,政府部门一般倾向于使用国内厂商的产品,种种因素促使了网闸在我国的产生。
我国款隔离网闸产生于2000年,现已经广泛应用于政府、金融、交通、能源等行业。
由于职能和业务的不同,用户的应用系统及其数据交换方式也多种多样:各种审批系统、各种数据查询系统需要在网络间传输和交换指定数据库记录;各种汇总系统、各种数据采集系统需要在网络间传输和交换指定文件;各种复杂的应用系统需要传输和交换定制数据;内外网之间的邮件互通和网页浏览需求要求网络之间能够进行邮件转发和网页转发。
故主流的隔离网闸一般具有如下功能模块:数据库模块、文件模块、消息模块、邮件模块和浏览模块。