物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連線兩個獨立主機系統的資訊保安裝置。由於物理隔離網閘所連線的兩個獨立主機系統之間，不存在通訊的物理連線、邏輯連線、資訊傳輸命令、資訊傳輸協議，不存在依據協議的資訊包轉發，只有資料檔案的無協議“擺渡”，且對固態儲存介質只有“讀”和“寫”兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連線，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。

網閘是在兩個不同安全域之間，通過協議轉換的手段，以資訊擺渡的方式實現資料交換，且只有被系統明確要求傳輸的資訊才可以通過。其資訊流一般為通用應用服務。

注：網閘的“閘”字取自於船閘的意思，在資訊擺渡的過程中內外網（上下游）從未發生物理連線，所以網閘產品必須要有至少兩套主機和一個物理隔離部件才可完成物理隔離任務。

       隔離網閘的一個基本特徵，就是內網與外網永遠不連線，內網和外網在同一時間最多隻有一個同隔離裝置建立資料連線（可以是兩個都不連線，但不能兩個都連線）。

       目前網路威脅中相當大的一部分來自與瀏覽器威脅，網閘對這種威脅有用嗎？以前不久的圖片檔案漏洞來說，網閘是不會對這種應用層資料進行過濾的，那麼，威脅依然存在。而對於提供對外服務的網路，對其中應用進行攻擊的例子大多是構造一些正常（看起來）的資料包，這些漏洞，都是針對應用層的，網閘束手無策。所以，“真正的安全”是不可能的，沒有絕對的安全！

網閘的結構一般都採用2+1：內機+外機+不可程式設計硬體。早期網閘的交換模組以電子開關的形式實現物理上的隔離，而電子開關由於切換速率問題，無法滿足實時資料交換需求，已經被邏輯開關取而代之。 從嚴格意義上說，邏輯開關只是實現邏輯上的隔離，而不是物理上的。

私有協議就是交換模組傳輸資料的硬體讀寫協議，不同廠家的介面不同，如SCSI，1394等

1.工作模式

網閘的資料交換都是基於代理實現的。。

網閘按工作方式可以分為主動模式和被動模式。在主動模式下，網閘作為客戶端，往網路中的伺服器上讀寫資料；在被動模式下，網閘充當伺服器的角色，在本地開啟監聽埠，，接收外界的資料。從安全上來說，主動模式遠大於被動模式，但應用和效能較差。
2.資料交換流程

以下是被動工作模式大概的一個數據交換過程：

外網接收資料包-〉檢查包頭資訊-〉拆除包頭資訊-〉提取並檢查應用層資料-〉按私有協議封裝資料-〉傳輸到內網-〉封裝成網路協議包-〉傳輸到內網接收端

保證資料傳輸手段主要有以下兩種：

協議阻斷：網閘在傳輸接收到的資料包時，需拆除協議包頭資訊，然後將應用層資料按私有協議重新封裝分片，這樣能保證所有網路攻擊只能到達外網。

專有協議檢測模組：網閘的資料傳輸都是基於應用層代理，對於支援的應用層協議，都有相應的傳輸模組。每個模組只處理對應的應用層資料請求，且根據協議的特性對資料本身進行內容檢測、過濾等操作，保證資料的安全性。

從網閘的系統架構以及工作模式可看出，它的效能是比不上防火牆的，包括吞吐，延時，尤其是併發數。如果有哪個廠家宣稱自己的產品能達到線速，那簡直就是告訴別人他家做的不是網閘。