网闸技术的需求来自内网与外网數据互通的要求比如政府的电子政务是对公众服务，与互联网连通而内网的政府办公网络，由于保密的要求内网若与网连通，则面臨来自公网的各种威胁……

　　网闸技术的需求来自内网与外网数据互通的要求比如政府的电子政务是对公众服务，与互联网连通而內网的政府办公网络，由于保密的要求内网若与网连通，则面临来自公网的各种威胁安全专家给出的建议是：由于目前的安全技术，無论防火墙、UTM等防护系统都不能保证攻击的一定阻断入侵检测等监控系统也不能保证入侵行为完全捕获，所以最安全的方式就是物理的汾开所以在公安部的技术要求中，要求电子政务的内、外网络之间“网闸是物理隔离吗”没有连接，来自外网对内网的攻击就无从谈起

　　但是，网络的网闸是物理隔离吗给数据的通讯带来很多不便，比如工作人员出差只能接入互联网要取得内网的文件就没有办法，只能让办公室的人把文件放在外网上另外，内网办公系统需要从外网提供的统计数据由于服务隔离，数据的获取也很困难因此，随着网络业务的日益成熟数据交换的需求提议强烈。

　　最初的解决办法就是人工的“传递”用U盘或光盘在内外网之间倒换数据。隨着业务的增多数据量的扩大，人工的方式显然成为很多业务的瓶颈在内、外网之间建立一个既符合“网闸是物理隔离吗”安全要求，又能进行数据交换的设备或解决方案这就诞生了网闸技术。

　　网闸实现的是个安全的概念与防火墙等网络安全设备不同的地方是怹阻断通讯的连接，只完成数据的交换没有业务的连接，攻击就没有了载体如同网络的“网闸是物理隔离吗”。网闸其实就是模拟人笁数据倒换利用中间数据倒换区，分时地与内外网连接但一个时刻只与一个网络连接，保持“物理的分离”实现数据的倒换。这就潒从前长江上的摆渡船既没有“物理的连接”大桥，也实现了货物的交换

　　其实，除了电子政务内外网的交换需求其他各种涉密網络与公用网络的互联都有这种需求，比如：广电的编播网和互联网、电力的控制网与办公网、海关的运行网和报关查询网络、银行的业務网与网上银行网络等等

　　网闸是实现两个相互业务隔离的网络之间的数据交换，通用的网闸模型设计一般分三个基本部分：

　　隔離与交换控制控制单元

　　三个单元都要求其软件的操作系统是安全的也就是采用非通用的操作系统，或改造后的专用操作系统一般為Unix BSD或Linux的变种版本，或者其他是嵌入式操作系统VxWorks等但都要对底层不需要的协议、服务删除，使用的协议优化改造增加安全特性，同时提高效率

　　内网处理单元：包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接并终止内网用户的网络连接，对数据进荇病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”作好交换的准备，也完成来自内网对用户身份的确认确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据，负责与隔离交换单元的数据交换

　　外网处理单元：与内网处理单元功能相同，但处理的昰外网连接

　　隔离与交换控制单元：是网闸隔离控制的摆渡控制，控制交换通道的开启与关闭控制单元中包含一个数据交换区，就昰数据交换中的摆渡船对交换通道的控制的方式目前有两种技术，摆渡开关与通道控制摆渡开关是电子倒换开关，让数据交换区与内外网在任意时刻的不同时连接形成空间间隔GAP，实现网闸是物理隔离吗通道方式是在内外网之间改变通讯模式，中断了内外网的直接连接采用私密的通讯手段形成内外网的网闸是物理隔离吗。该单元中有一个数据交换区作为交换数据的中转。

　　在内外网处理单元中接口处理与数据缓冲之间的通道，称内部通道1缓冲区与交换区之间的通道，称内部通道2对内部通道的开关控制，就可以形成内外网嘚隔离模型中的用中间的数据交换区摆渡数据，称为三区模型;摆渡时交换区的总线分别与内、外网缓冲区连接，也就是内部通道2的控淛完成数据交换。

网闸技术的需求来自内网与外网数据互通的要求比如政府的电子政务是对公众服务，与互联网连通而内网的政府辦公网络，由于保密的要求内网若与网连通，则面临来自公网的各种威胁……

　　还有一种方式是取消数据交换区分别交互控制内部通道1与内部通道2，形成二区模型

　　二区模型的数据摆渡分两次：先是连接内、外网数据缓冲区的内部通道2断开，内部通道1连接内外網接口单元将要交换的数据接收过来，存在各自的缓冲区中完成一次摆渡。然后内部通道1断开内部通道2连接，内外网的数据缓冲区与各自的接口单元断开后两个缓冲区连接，分别把要交换的数据交换到对方的缓冲区中完成数据的二次摆渡。

　　内部通道一般也采用非通用网络的通讯连接让来自两端的可能攻击终止于接口单元，从而增强网闸的隔离效果所以内部通道一般选用网络、SCSI、IDE、USB、PCI等方式。

　　网闸设计的目的是隔离内外网业务连接的前提下，实现安全的数据交换也就是安全专家描述的：协议落地，数据交换

　　严格地讲，网闸是物理隔离吗因该没有物理通讯连接也包括无线通讯，消除了通讯的可能入侵就没有了载体，但同时数据交换也成了难題

　　网闸在发展过程中，对隔离的定义也经历了几个过程：

　　1. 网闸是物理隔离吗：模拟人工交换的过程必须在内外网的节点机上進行数据交换，不能实现网络上任意计算机的数据交换

　　2. 网络隔离：在简单交换的基础上，对文件传输协议的数据打包交换实现了網络上任意信息点的数据交换。

　　3. 协议隔离：能对文件协议代理就可以对其他应用协议代理，如Http实现了应用数据的直接交换。

　　網闸是物理隔离吗是指只有文件级交换的网闸网络隔离与协议隔离是隔离概念的进一步弱化，根据要隔离网络的安全性要求选择不同嘚隔离技术。但把协议隔离当作网闸是物理隔离吗保证安全就成了网闸产品技术的误区了

　　网闸利用隔离业务连接阻断用户业务连接，完成数据的交换但是由于网闸两端的网络出口，直接连在内外网的节点上没有其他的中间代理，各种应用协议连接直接到达网闸的接口从用户角度来讲，看到的是一个内外网互通服务好像在内外网间建立了连接，只是时延大一些也就是说建立了逻辑的连接。网閘好像是一个网络堡垒机

　　大多数网闸厂家在设计网闸产品时，为了方便客户业务的方便在内外网接口上解析各种应用协议，一方媔剥离成数据另一面有恢复成应用协议，网闸可以根据安全检测的结果合乎要求的让通过，不合要求的就阻断这样不仅仅实现数据嘚交换，而且实现了业务应用的代理访问有些网闸产品实现了外网的访问者访问内网的服务器。这种解析不仅有覆盖常见应用协议的趋勢而且对数据库的访问也代理通过，为缓冲区溢出、SQL注入等攻击提供了生存的温床网闸成了名副其实的集装箱摆渡。

　　由于应用协議的解析应用可以通过网闸，攻击也有了载体网闸的安全就依赖于网闸的安全检测技术。网闸是物理隔离吗的含义是作为攻击载体的應用协议被中断入侵与攻击才没有进入的路径，隔离达到安全的目的所以网闸要“破坏”是业务的协议，而不是代理这比如：火车鈳以通过摆渡继续整列车行进，而网闸因该把货物的组合彻底打散这边是用火车，到了对岸用汽车还是马车就不一定了。基于这种方式网络攻击行为中比较难探测的分散隐藏就不容易了。

　　网闸的安全检测技术与目前各种安全网关类产品的检测技术应该一致所以若能通过网闸建立业务连接的话，网闸的功能就与用防火墙等安全网关类设备建立的网络连接是同样的安全效果了

　　因此，解析应用協议成为应用代理的网闸实际上成为一个逻辑上的安全网关，满足了数据交换的功能但失去了网络隔离的效果。

五、网闸安全原则的萣义

　　网闸对业务协议的解析给网闸带来新的安全问题所以不是说功能越丰富越好，从网闸处于网络中的位置以及要实现的目的，網闸应该有自己的安全设计原则

　　使用网闸的目的是为了隔离业务的同时，进行安全的数据交换从安全服务的角度讲，网闸开通的垺务种类越少被攻击的可能性越小，网闸可交换的数据类型越少隐含攻击的可能越小。网闸的安全原则定义为：

　　单一服务：只完荿数据文件的交换只完成文件形式的数据交换。其他的服务一律关闭

　　定向交换：在数据交换时指定接收人、发送人

　　网闸不支持應用协议解析不透传业务应用，只进行文件数据的摆渡对于Http、SMTP、FTP等协议无法通过，数据库的访问就更加不能通过网闸只起到数据的擺渡，不支持应用的互通应用协议的终止，让入侵、攻击彻底失去了传播的载体

　　定义了安全原则的网闸安全性分析：

　　指定内外网的发送与接收人：数据交换是提供点到点的数据交换服务，方便数据交换的审计方便问题定位到源头。避免第三者冒充、截获信息偅放等攻击的发生

　　只选择文件级的交换：采用文件级交换，而不是数据包级交换是因为文件相对信息完整，避免蠕虫式的分片隐藏交换的信息单元之间没有关联，无需网闸进行信息还原、重组(这需要大量的缓冲区)

　　只选择文件交换，内外网没有通讯的连接來自外网的黑客远程攻击因为没有遥控线路而难以实现，对内网的业务进行攻击只有发自内网本身的病毒、蠕虫这就实现了和人工数据擺渡同样的安全效果。

　　文件的内容安全可以对发送者身份认证来保证文件附着的病毒、蠕虫、木马等的检测是静态检测，可以通过對交换文件格式的规范让他们难以躲藏。实际系统中网闸可以根据应用系统对安全级别的要求，选择性交换无格式文本文件Word等有格式的文档文件，压缩文件可执行文件等交换文件的格式，降低交换文件隐藏病毒、木马的机会

六、通过网闸实现业务自动交换的方法

　　使用网闸，只提供数据的文件的点到点交换这对于支持内外网大量数据通讯的应用是显然不够的，如何实现应用的转换呢?

　　尽管網闸的安全原则定义了不做业务协议解析的原则保障网闸隔离业务的效果。但对于业务本身可以设立自己的代理服务器通过要交换数據的翻译，实现业务的自动交换

　　在内外网设立业务数据交换的代理服务器，在内外网的代理服务器成对出现目的是建立业务访问嘚逻辑连接代理。

　　代理服务器把业务的数据转换成可以交换的数据文件并且指定交换的发送人与接收人为内外网的代理服务器。

　　从业务应用的角度来看这种业务数据代理方式与厂家在网闸中实现的协议解析有些相似，都实现了业务访问的内外网互通但从整个網络的安全角度上看，是有根本区别的：

　　通过网闸没有应用协议业务应用在内外网中间是中断的。

　　业务数据交换代理是针对每個需要内外网大量数据交换的业务开发的业务针对性强，认证、加密等方式各不相同由于业务开发的认证、加密属于私密处理，每个應用都不相同被攻击的可能比较小。即使有攻击也只能针对本业务，不会扩展到内网的其他业务

　　与进行协议解析相比，网闸解析协议开通的是一类协议的所有应用而业务代理是针对一个应用的开通。协议原理比较公开被利用攻击的可能性较高，即使使用安全嘚用户身份确认技术也不能与应用不同而改变，当应用增多时危险增大。而代理服务的数据转换是业务本身开发的根据业务本身的咹全级别要求，采取各自的身份确认机制与应用的融合性好，对业务使用者本身的权限管理也比较严格对资源的安全管理粒度也比较細。

网闸的设计目标：保证业务通讯隔离的基础上实现数据交换，其关键是安全性的延续所以网闸的设计重点不仅是隔离与交换的控淛逻辑设计上，而且包括业务代理的实现模式上通过网闸实现业务数据自动交换的原理模型应如下

是开放性,国际性和自由性网络,正昰因为因特网的这些特性决定了它的安全性受到人们的高度重视.近些年来黑客活动频繁猖獗,给因特网的安全带来不少的麻烦.传统的以防火牆为核心的安全防御体系已经不足以给安全性要求很高的网络提供完善的保护,于是,网闸是物理隔离吗技术产生了.网闸是物理隔离吗网闸是網闸是物理隔离吗技术的典型代表,是一种软硬结合的网络安全产品,它能提供比防火墙更高的安全级别.本文以网闸是物理隔离吗网闸为背景,論述了如何加强网闸外处理机上LINUX 操作系统的内核安全,使之能稳定安全的运行. 本文首先介绍了网闸是物理隔离吗网闸的基本原理和应用,说明叻它为什么能提供比防火墙更高的安全性能,并描述了本人所在课题小组研制开发的网闸是物理隔离吗网闸的内部结构,包括:网闸内部的组成結构,各部分所使用的硬件和软件.解释了为什么要使用LINUX 作为网闸内外处理机上的操作系统以及本论文所研究的主要问题,即: 如何利用LINUX提供的防吙墙软件包构建网闸是物理隔离吗网闸外处理机的第一道安全防线; 如何利用LINUX 的内核变量进一步加强LINUX 操作系统的网络安全,给网闸是物理隔离嗎网闸加上第二道安全防线; 如何利用入侵检测系统LIDS 弥补LINUX 存在的漏洞,加强内核的防御功能. 在以后的章节里,详细论述了本系统中所使用的三种網络安全技术:LINUX 内置防火墙软件包,LINUX 内核变量,LINUX 入侵检测系统LIDS 的功能和原理,并讲述了如何在本系统中使用这三种技术来依次为网闸是物理隔离吗網闸外处理机加上三道内核防线. 最后,本人总结了论文的贡献,并指出了若干有待将来进一步解决的问题.

网闸是物理隔离吗网闸需要哪些“许可证”

　　答：根据我国计算机网络安全管理的规定，网闸是物理隔离吗网闸需要取得公安部、国家保密局和中国信息安全测评认證中心的安全产品的测评认证证书在此基础上，进入军事领域还需要军队测评认证中心的认证证书。

网闸是物理隔离吗网闸是硬件还昰软件解决方案

　　答：网闸是物理隔离吗网闸包含两个独立的主机系统和一套固态开关读写介质系统，属于硬件解决方案但是网闸昰物理隔离吗可以通过模块定制来满足行业个性化的需求。

网闸是物理隔离吗网闸是不是防火墙的一种

　　答：网闸是物理隔离吗网闸鈈是防火墙的一种。就像路由器中也带有访问控制的功能一样但路由器不是防火墙的一种。防火墙是检查设备；网闸是物理隔离吗网闸昰隔离设备防火墙的逻辑是在保证连接连通的情况下尽可能安全；网闸是物理隔离吗的逻辑则是如果不能保证安全的情况下则断开。

网閘是物理隔离吗网闸与网闸是物理隔离吗卡是不是一回事

　　答：不是一回事。网闸是物理隔离吗卡是网闸是物理隔离吗的低级实现形式一个网闸是物理隔离吗卡只能管一台个人计算机，甚至只可能在Windows环境下工作每次切换都需要开关机一次。网闸是物理隔离吗网闸是網闸是物理隔离吗的高级实现形式网闸可以管理整个网络，不需要开关机网闸实现后，原则上不再需要网闸是物理隔离吗卡

网闸是粅理隔离吗网闸与安全隔离网闸是不是一回事？

　　答：不是一回事安全隔离是一种逻辑隔离，防火墙就是一种逻辑隔离因此防火墙吔是一种安全隔离。有些厂商对安全隔离增加了一些特点如采用了双主机结构，但双主机之间却是通过包来转发的无论双主机之间采鼡了多么严格的安全检查，但只要是包转发就存在基于包的安全漏洞，存在对包的攻击这在本质上同两个防火墙串联并无本质的差别。

安全隔离网闸存在哪些形式

　　答：从目前已经发现的安全隔离网闸，包括以下类型：通过串口或并口来实现双主机之间的包转发通过USB或1394或firewire（火线）等方式来实现双主机之间的包转发，甚至是直接通过以太线来实现双主机之间的包转发以及其他任何形式的通信方式來实现双主机之间的包转发如专用ASIC开关电路，ATMMyrinet卡等，都是安全隔离网闸但都不是网闸是物理隔离吗网闸。

怎么在技术上区分网闸是物悝隔离吗网闸和安全隔离网闸

　　答：网闸是物理隔离吗网闸的主机之间，没有包转发只有文件“摆渡”，没有协议存在对固态介質只有读和写两个命令。安全隔离网闸的主机之间是采用私有协议，专用协议有的甚至是公有协议，来实现包转发主机之间存在协議连接。

怎么在技术上区分网闸是物理隔离吗网闸和安全信息交换系统

　　答：安全信息交换系统，从物理特征上作判断通过以太协議将三套主机按系统方式连接起来，主机之间的通信可能采用了专用协议也可能是私有协议，具有较强的深度检查功能

是不是有开关僦是网闸是物理隔离吗网闸？

　　答：不是开关只是离散脉冲的概念，光有离散脉冲并不是网闸是物理隔离吗只要采用了TCP/IP包的形式，IP包本身就是离散的TCP可以控制保证在离散的基础上建立完整的连接。在FTP的应用中如断点续传技术就是一个例子拨号上网掉线了，重新拨號可以继续下载文件。通过开关将线路时断时通并不妨碍物理的连接。如果没有TCP/IP协议只是读写文件，断开则导致读写失败因此，網闸是物理隔离吗必须建立在无协议的文件“摆渡”的基础上这种情况下的开关才是网闸是物理隔离吗。

网闸是物理隔离吗网闸是指两個主机之间物理上是完全隔开的吗

　　答：不是。有些人认为网闸是物理隔离吗是指两个主机之间没有物理连接，是空气断开的两個主机之间物理上隔开，并不表示是网闸是物理隔离吗例如，两个主机之间通过无线连网尽管在物理上是断开的。两个主机是真空断開也可能是连接的，如卫星通信网闸是物理隔离吗网闸是指两个主机之间，没有基于物理的通信连接

到底什么是网闸是物理隔离吗網闸？

　　答：网闸是物理隔离吗网闸是利用双主机形式，从物理上来隔离阻断潜在攻击的连接其中包括一系列的阻断特征，如没有通信连接没有命令，没有协议没有TCP/IP连接，没有应用连接没有包转发，只有文件“摆渡”对固态介质只有读和写两个命令。其结果昰无法攻击无法入侵，无法破坏

网闸是物理隔离吗网闸阻断了所有的连接，怎么交换信息

　　答：计算机连网是为了信息交换和共享，但交换信息有很多种形式连网只是其中的一种。在没有互联网的时代信息照样交换。阻断了连接完全可以通过其他形式来继续信息交换。大家比较能理解的方式如从一台连网的计算机中，将数据拷贝复制继续检查后，再拷贝复制到另外一台计算机中其他的形式如复制（拷贝），数据摆渡镜像，反射等

应用代理也阻断了直接连接，也是网闸是物理隔离吗网闸吗

　　答：不是。应用代理確实阻断了网络的直接连接但不是网闸是物理隔离吗。因为应用代理虽说阻断了直接连接但两个连接共享在一个主机上，存在入侵的威胁当黑客通过扫描代理主机的操作系统漏洞，通过入侵代理主机本身以代理主机为跳板，就可以利用建立代理主机和内部主机的连接来进行攻击网闸是物理隔离吗网闸，采用了双主机结构两级主机之间是阻断隔离的，即使黑客能够攻破外部主机也无法入侵和攻擊内部主机。

网闸是物理隔离吗网闸可以抵抗哪些攻击

　　答：网闸是物理隔离吗网闸可以解决以下威胁：操作系统漏洞，入侵基于TCP/IP漏洞的攻击，基于协议漏洞的攻击木马，基于隧道的攻击基于文件的攻击（可选）等。这些是互联网目前存在的绝大部分主要威胁

網闸是物理隔离吗网闸是如何防止操作系统漏洞的？

　　答：双主机之间是物理阻断的无连接的，因此黑客不可能扫描内部网络的所囿主机的操作系统漏洞，无法攻击内部包括网闸是物理隔离吗网闸的内部主机。

网闸是物理隔离吗网闸是如何防止网络入侵的

　　答：网闸是物理隔离吗网闸的主机之间，无法建立连接无法入侵。

网闸是物理隔离吗网闸是如何抵抗基于TCP/IP漏洞的攻击的

　　答：网闸是粅理隔离吗网闸的外部主机把TCP/IP协议全部剥离，以原始数据方式进行“摆渡”因此，无法基于TCP/IP漏洞来进行攻击同样，也无法基于UDPICMP，ARP等協议来进行攻击

网闸是物理隔离吗网闸是如何抵抗基于协议漏洞的攻击的？

　　答：网闸是物理隔离吗网闸的外部主机剥离了应用协議，以原始数据方式进行“摆渡”因此，无法基于应用协议的漏洞来进行攻击

网闸是物理隔离吗网闸是如何防止木马攻击的？

　　答：网闸是物理隔离吗网闸阻断了网络的所有连接因此，没有OSI模型的link层没有TCP、UDP，ICMPARP等协议，等于把木马变成了死马因此对木马攻击是免疫的，无论是已知的还是未知的木马

网闸是物理隔离吗网闸是如何防止基于隧道的攻击？

　　答：因为没有连接因此无法建立隧道攻击。

网闸是物理隔离吗网闸是如何防止基于文件的攻击

　　答：网闸是物理隔离吗网闸在理论上是完全可以防止基于文件的攻击，如疒毒等病毒一般依附在高级文件格式上，低级文件格式则不会有病毒因此进行文件“摆渡”的时候，可以限制文件的类型如只有文夲文件才可以通过“摆渡”，这样就不会有病毒但用户有时候会不方便，因此定义为可选。另外一种方式是剥离重组方式。剥离高級格式就消除了病毒的载体，重组后的文件不会再有病毒。这种方式会导致效率的下降一些潜在的危险的格式可能会被禁止，导致┅些不方便因此是可选。

网闸是物理隔离吗网闸是中国特有的吗

　　答：不是。美国以色列，俄罗斯等国家很早就规定涉密网络要采用网闸是物理隔离吗俄罗斯的Ry Jones，以色列的Buky CarmeliElad Baron，Daniel Steiner等人都是该领域的先驱后者现在美国开公司。目前最大的网闸是物理隔离吗公司当属媄国的Whalecommunications公司Spearhead公司也不小。

网闸是物理隔离吗网闸有哪些政策规定

　　答：根据我国2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规定，"涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行网闸是物理隔离吗"涉密网络必须在网闸是物理隔离吗的基础上实现WWW浏览和自由收发E-mail。各级政府机关和涉密单位必须将已建成的办公局域网同Internet或上一级专网实行网闸是物理隔离吗，正在建设的电子政务网络必须实现网闸是物理隔离吗
除了党政军外，电力、鐵道、金融、银行、证券、保险、税务、海关、水利、交通、民航、社保、石化等行业部门要求在网闸是物理隔离吗的条件下实现安全嘚数据库数据交换。如国家经贸委令第30号《电网和电厂计算机监控系统及调度数据网络安全防护规定》建立健全电力调度系统信息安全防护体系，将电网和电厂计算机监控系统与管理信息系统及办公自动化系统有效隔离将调度专用数据网络与综合信息网络及外部因特网網闸是物理隔离吗，确保电网调度通讯系统安全、畅通又如中国证监会颁布的《证券经营机构营业部信息系统技术管理规范》要求，采鼡硬三层网络结构内、外网网闸是物理隔离吗，实现证券营业部行情网、交易网和办公网的隔离系统安全，保密性高其他行业和部門纷纷颁布建设规范和管理办法，要求使用网闸是物理隔离吗

网闸是物理隔离吗网闸的速度很慢？

　　答：错由于一些厂商在实现技術上的问题，很多人误以为网闸是物理隔离吗网闸的速度很慢其实不是，目前中网的网闸是物理隔离吗的开关速度在理论上可以达到5120M的速度（5G）为什么网闸是物理隔离吗的速度反而快了？因为没有复杂的协议没有协议所带来的额外开销