JAVA技術交流QQ群：170933152  

第一次聽說,記錄下來,之前不知道這東西,後來跟資料中心的人打交道才知道這東西,記錄一下

百度百科

 

網閘

 編輯

網閘（GAP）全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬體在電路上切斷網路之間的鏈路層連線，並能夠在網路間進行安全適度的應用資料交換的網路安全裝置。

中文名

網閘

外文名

GAP

拼    音

wang zha

全    稱

安全隔離網閘

性    質

網路安全裝置

組    成

軟體和硬體

目錄

1. 1 概念
2. 2 組成
3. 3 意義

1. ▪ 效能指標
2. ▪ 主要功能
3. 4 區別
4. ▪ 與物理隔離卡的區別

1. ▪ 網路交換資訊的區別
2. ▪ 與防火牆的區別
3. 5 其它問題

概念

編輯

網閘是使用帶有多種控制功能的固態開關讀寫介質連線兩個獨立主機系統的資訊保安裝置。由於物理隔離網閘所連線的兩個獨立主機系統之間，不存在通訊的物理連線、邏輯連線、資訊傳輸命令、資訊傳輸協議，不存在依據協議的

資訊包轉發，只有資料檔案的無協議"擺渡"，且對固態儲存介質只有"讀"和"寫"兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連線，使"黑客"無法入侵、無法攻擊、無法破壞，實現了真正的安全。

安全隔離與資訊交換系統，即網閘，是新一代高安全度的企業級資訊保安防護裝置，它依託安全隔離技術為資訊網路提供了更高層次的安全防護能力，不僅使得資訊網路的抗攻擊能力大大增強，而且有效地防範了資訊外洩事件的發生。

第一代網閘的技術原理是利用單刀雙擲開關使得內外網的處理單元分時存取共享儲存裝置來完成資料交換的，實現了在空氣縫隙隔離(Air Gap)情況下的資料交換，安全原理是通過應用層資料提取與安全審查達到杜絕基於協議層的攻擊和增強應用層安全的效果。

第二代網閘正是在吸取了第一代網閘優點的基礎上，創造性地利用全新理念的專用交換通道PET(Private Exchange Tunnel)技術，在不降低安全性的前提下能夠完成內外網之間高速的資料交換，有效地克服了第一代網閘的弊端，第二代網閘的安全資料交換過程是通過專用硬體通訊卡、私有通訊協議和加密簽名機制來實現的，雖然仍是通過應用層資料提取與安全審查達到杜絕基於協議層的攻擊和增強應用層安全效果的，但卻提供了比第一代網閘更多的網路應用支援，並且由於其採用的是專用高速硬體通訊卡，使得處理能力大大提高，達到第一代網閘的幾十倍之多，而私有通訊協議和加密簽名機制保證了內外處理單元之間資料交換的機密性、完整性和可信性，從而在保證安全性的同時，提供更好的處理效能，能夠適應複雜網路對隔離應用的需求。 [1] 

組成

編輯

安全隔離網閘是由軟體和硬體組成。 隔離網閘分為兩種架構，一種為雙主機的2+1結構，另一種為三主機的三系統結構。2+1的安全隔離網閘的硬體裝置由三部分組成:外部處理單元、內部處理單元、隔離安全資料交換單元。安全資料交換單元不同時與內外網處理單元連線，為2+1的主機架構。隔離網閘採用SU-Gap安全隔離技術，建立一個內、外網物理斷開的環境。三系統的安全隔離網閘的硬體也由三部分組成：外部處理單元（外端機）、內部處理單元（內端機）、仲裁處理單元（仲裁機），各單元之間採用了隔離安全資料交換單元。

意義

編輯

為什麼要使用安全隔離網閘呢？其意義是：

（一）當用戶的網路需要保證高強度的安全，同時又與其它不信任網路進行資訊交換的情況下，如果採用物理隔離卡，使用者必須使用開關在內外網之間來回切換，不僅管理起來非常麻煩，使用起來也非常不方便，如果採用防火牆，由於防火牆自身的安全很難保證，所以防火牆也無法防止內部資訊洩漏和外部病毒、黑客程式的滲入，安全性無法保證。在這種情況下，安全隔離網閘能夠同時滿足這兩個要求，彌補了物理隔離卡和防火牆的不足之處，是最好的選擇。

（二）對網路地隔離是通過網閘隔離硬體實現兩個網路在鏈路層斷開，但是為了交換資料，通過設計的隔離硬體在兩個網路對應的上進行切換，通過對硬體上的儲存晶片的讀寫，完成資料的交換。

（三）安裝了相應的應用模組之後，安全隔離網閘可以在保證安全的前提下，使使用者可以瀏覽網頁、收發電子郵件、在不同網路上的資料庫之間交換資料，並可以在網路之間交換定製的檔案。

效能指標

安全隔離網閘的主要效能指標有那些呢？ 其效能指標包括：

系統資料交換速率：120Mbps

硬體切換時間：5ms

主要功能

1.有哪些功能模組 ：安全隔離閘門的功能模組有：

安全隔離、核心防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證

2.防止未知和已知木馬攻擊：

為什麼說安全隔離網閘能夠防止未知和已知木馬攻擊？

通常見到的木馬大部分是基於TCP的，木馬的客戶端和伺服器端需要建立連線，而安全隔離網閘由於使用了自定義的私有協議（不同於通用協議）。使得支援傳統網路結構的所有協議均失效，從原理實現上就切斷所有的TCP連線，包括UDP、ICMP等其他各種協議，使各種木馬無法通過安全隔離網閘進行通訊。從而可以防止未知和已知的木馬攻擊。

3.具有防病毒措施：

安全隔離網閘具有防病毒措施嗎？

作為提供資料交換的隔離裝置，安全隔離網閘上內嵌病毒查殺的功能模組，可以對交換的資料進行病毒檢查。

區別

編輯

與物理隔離卡的區別

安全隔離網閘與物理隔離卡最主要的區別是，安全隔離網閘能夠實現兩個網路間的自動的安全適度的資訊交換，而物理隔離卡只能提供一臺計算機在兩個網之間切換，並且需要手動操作，大部分的隔離卡還要求系統重新啟動以便切換硬碟。

網路交換資訊的區別

安全隔離網閘在網路間進行的安全適度的資訊交換是在網路之間不存在鏈路層連線的情況下進行的。安全隔離網閘直接處理網路間的應用層資料，利用儲存轉發的方法進行應用資料的交換，在交換的同時，對應用資料進行的各種安全檢查。路由器、交換機則保持鏈路層暢通，在鏈路層之上進行IP包等網路層資料的直接轉發，沒有考慮網路安全和資料安全的問題。

與防火牆的區別

防火牆一般在進行IP包轉發的同時，通過對IP包的處理，實現對TCP會話的控制，但是對應用資料的內容不進行檢查。這種工作方式無法防止洩密，也無法防止病毒和黑客程式的攻擊。

能取代防火牆嗎？

無論從功能還是實現原理上講，安全隔離網閘和防火牆是完全不同的兩個產品，防火牆是保證網路層安全的邊界安全工具（如通常的非軍事化區），而安全隔離網閘重點是保護內部網路的安全。因此兩種產品由於定位的不同，因此不能相互取代。

單系統的裝置安全？

單系統的裝置如（資訊流轉器）不是安全隔離網閘裝置。類似的單系統一旦系統遭受到攻擊，攻擊者完全有可能在單系統的兩張網絡卡之間建立起路由，從而內部網路會完全暴露。

隔離需要專用硬體？

需要，隔離硬體一般都由GAP廠商提供，其中對高速切換裝置的切換頻率要求非常高。

用1394連線網閘

使用專用隔離硬體的安全隔離網閘的安全隔離是在硬體上實現的，在隔離硬體上固化了模擬開關，無法通過軟體程式設計方式進行改變；而通過1394或者串列埠連線兩臺或多臺系統，其上的隔離切換實質上是通過軟體來實現的，其安全性和用標準乙太網卡相連的兩臺PC無異。由此可知1394或者串列埠實現的“軟隔離”在安全性上和安全隔離網閘不具可比性，相差甚遠。

其它問題

編輯

（一）安全隔離網閘通常佈置在什麼位置？

安全隔離網閘通常佈置在兩個安全級別不同的兩個網路之間，如信任網路和非信任網路，管理員可以從信任網路一方對安全隔離網閘進行管理。

（二）安全隔離網閘的部署是否需要對網路架構作調整？

採用透明方式的網閘只需要在兩個網路各提供一個有效的IP地址即可。採用路由模式的網閘要求一定的改動。有的網閘支援兩種連線方式。有的只支援一種。只支援路由模式的網閘就會要求對網路結構有改動。

（三）安全隔離網閘是否可以在網路內部使用？

可以，網路內部安全級別不同的兩個網路之間也可以安裝安全隔離網閘進行隔離。

（四）安全隔離網閘支援互動式訪問嗎？

鑑於安全隔離網閘保護的主要是內部網路，一旦支援互動式訪問如支援建立會話，那麼無法防止資訊的洩漏以及內部系統遭受攻擊，因此，安全隔離網閘不支援互動式訪問.

（五）支援反向代理的安全隔離網閘安全嗎？

支援反向代理意味著可以從非信任網路間接授權訪問信任網路上的資源，一旦代理軟體在安全檢查或者軟體實現上出現問題，那麼很有可能會被黑客利用並非法存取內部資源。因此從安全性上講，支援反向代理的安全隔離網閘不安全。

（六）如果對應網路七層協議，安全隔離網閘是在哪一層斷開？

如果針對網路七層協議，安全隔離網閘是在硬體鏈路層上斷開。

（七）安全隔離網閘支援百兆網路嗎？千兆網路如何支援？

安全隔離網閘支援百兆網路，目前國內最快的可以達到120MBps。對於千兆網路，可以採用多臺安全隔離網閘進行負載均衡。

（八）安全隔離網閘自身的安全性如何？

安全隔離網閘雙處理單元上都採用了安全加固的作業系統，包括強制訪問控制、基於核心的入侵檢測等安全功能，並且該系統得到國家權威部門的認證。

（九）安全隔離網閘有身份認證機制嗎？

有。安全隔離網閘在用於郵件轉發和網頁瀏覽的時候，對使用者進行使用者名稱/口令、證書認證等多種形式的身份認證。

（十）有了防火牆和IDS，還需要安全隔離網閘嗎？

防火牆是網路層邊界檢查工具，可以設定規則對內部網路進行安全防護，而IDS一般是對已知攻擊行為進行檢測，這兩種產品的結合可以很好的保護使用者的網路，但是從安全原理上來講，無法對內部網路做更深入的安全防護。安全隔離網閘重點是保護內部網路，如果使用者對內部網路的安全非常在意，那麼防火牆和IDS再加上安全隔離網閘將會形成一個很好的防禦體系。

（十一）受安全隔離網閘保護的內部網路需要不斷升級嗎？

安全隔離網閘首先在鏈路層斷開，徹底切斷網路連線，並僅允許僅有的四種指定靜態資料進行交換，對外不接受請求，並且在內部使用者訪問外部網路時採用靜態頁面返回（過濾ActiveX、Java、cookie等），並且木馬無法通過安全隔離網閘進行通訊，因此內部網路針對外部的攻擊根本無需升級。

（十二）為什麼受防火牆保護的內部網路需要不斷升級？

防火牆是在網路層對資料包作安全檢查，並不切斷網路連線，很多案例證明無論包過濾還是代理防火牆都很難防止木馬病毒的入侵內部網路，Nimda繞過很多防火牆的檢查並在全世界肆虐就是一個很好的例證，因此需要使用者的內部網路不斷升級自己的客戶端如瀏覽器。

（十三）安全隔離網閘能否防止內部無意資訊洩漏？

由於安全隔離網閘在資料交換時採用了證書機制，對所有的資訊進行證書驗證，因此對於那些病毒亂髮郵件所造成的無意資訊洩漏起到很好的防範作用。

（十四）使用安全隔離網閘時需要安裝客戶端嗎？

有的網閘管理員使用通用的瀏覽器即可對其進行管理配置，使用安全隔離網閘時不需安裝其他客戶端。 但是這種方式具有極大的安全風險，因為遠端連線會引入安全威脅，而這種對於控制口的攻擊更為嚴重。所以安全性要求高的網閘，不允許通過遠端進行配置，只允許通過專有的配置程式，也就是客戶端通過串列埠進行配置。一些重要部門均不允許對網閘具有遠端配置的功能。

（十五）安全隔離網閘接受外來請求嗎？

不接受，安全隔離網閘上的資料交換全部由管理員來進行配置，其所有的請求都由安全隔離網閘主動發起，不接受外來請求，不提供任何系統服務。 如果接受遠端配置，就會接受外來的請求，造成嚴重的安全問題。

（十六）安全隔離網閘是否支援所連線的兩個網路的網段地址相同？

支援。

（十七）安全隔離網閘的主機系統是否經過安全加固？

由於從網路架構上來講，安全隔離網閘是處在閘道器的位置，因此其自身安全性非常重要，兩個處理單元 加固包括硬體加固、作業系統加固以及協議的加固。詳情見擴充套件閱讀3.

（十八）安全隔離網閘採用什麼樣的介面？有幾個介面？

安全隔離網閘通常提供2個標準乙太網百兆介面。

（十九）安全隔離網閘如何管理，支援遠端管理嗎？

安全性高的安全隔離網閘不支援遠端管理。

（二十）安全隔離網閘適用於大規模的部署嗎？

安全隔離網閘的安全部署不需對現有網路作調整，同時支援多臺冗餘

（二十一）安全隔離網閘適用於什麼樣的場合？

如果使用者的網路上儲存著重要的資料、執行著重要的應用，通過防火牆等措施不能提供足夠高的安全性保護的情況下，可以考慮使用安全隔離網閘。

（二十二）安全隔離網閘直接轉發IP包嗎？

否。安全隔離網閘從不直接或者間接地轉發IP包形式的資料。安全隔離網閘的安全性體現在鏈路層斷開，直接處理應用層資料，對應用層資料進行內容檢查和控制，在網路之間交換的資料都是應用層的資料。如果直接轉發IP的話，由於單個IP包中一般不包含完整的應用資料，所以無法進行全面的內容檢查和控制，也就無法保證應用層的安全。因此，如果直接轉發IP包，則背離了安全隔離網閘的安全性要求，不能稱為安全隔離網閘。