網(wǎng)閘（GAP）全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡之間的鏈路層連接，并能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換的網(wǎng)絡安全設備。網(wǎng)閘在兩個不同安全域之間，通過協(xié)議轉換的手段，以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應用服務。

 

網(wǎng)閘的一個基本特征，就是內網(wǎng)與外網(wǎng)永遠不連接，內網(wǎng)和外網(wǎng)在同一時間最多只有一個同隔離設備建立數(shù)據(jù)連接，可以是兩個都不連接，但不能兩個同時都連接。

 

網(wǎng)閘的硬件主要包括三部分：分別是專用安全隔離切換裝置（數(shù)據(jù)暫存區(qū)）、內部處理單元和外部處理單元。系統(tǒng)中的專用安全隔離切換裝置分別連接內部處理單元和外部處理單元。這種獨特和巧妙的設計，保證了安全隔離切換裝置中的數(shù)據(jù)暫存區(qū)在任一時刻僅連通內部或者外部處理單元，從而實現(xiàn)內外網(wǎng)的安全隔離。

 

網(wǎng)閘就是要解決目前網(wǎng)絡安全存在的下述問題：

 

（1）對操作系統(tǒng)的依賴，因為操作系統(tǒng)也有漏洞；

 

（2）對TCP/IP協(xié)議的依賴，而TCP/IP協(xié)議有漏洞；

 

（3）解決通信連接的問題，內網(wǎng)和外網(wǎng)直接連接，存在基于通信的攻擊；

 

（4）應用協(xié)議的漏洞，如非法的命令和指令等。

 

網(wǎng)閘作用

 

1、抵御基于操作系統(tǒng)漏洞攻擊行為

 

安全隔離網(wǎng)閘的雙主機之間是物理阻斷的，無連接的，因此，黑客不可能掃描內部網(wǎng)絡的所有主機的操作系統(tǒng)漏洞，無法攻擊內部，包括安全隔離網(wǎng)閘的內部主機系統(tǒng)。

 

2、抵御基于TCP/IP漏洞的攻擊

 

由于安全隔離網(wǎng)閘的主機系統(tǒng)把TCP/IP協(xié)議頭全部剝離，以原始數(shù)據(jù)方式在兩主機系統(tǒng)間進行“擺渡”，網(wǎng)閘的接受請求的主機系統(tǒng)與請求主機之間建立會話，因此，對于目前所有的如源地址欺騙、偽造TCP序列號、SYN攻擊等TCP/IP漏洞攻擊是完全阻斷的。

 

3、抵御木馬將數(shù)據(jù)外泄

 

安全隔離網(wǎng)閘對于每個應用都是在應用層進行處理，并且策略需按照應用逐個下達，同時對于目的地址也要唯一性指定，因此內部主機上的木馬是無法實現(xiàn)將數(shù)據(jù)外泄的。并且木馬主動發(fā)起的對外連接也將直接被隔離設備切斷。

 

4、抵御基于文件的病毒傳播

 

安全隔離網(wǎng)閘在理論上是完全可以防止基于文件的攻擊，如病毒等。病毒一般依附在高級文件格式上，低級文件格式則不會有病毒，因此進行文件“擺渡”的時候，可以限制文件的類型，如只有文本文件才可以通過“擺渡”，這樣就不會有病毒。另外一種方式，是剝離重組方式。剝離高級格式，就消除了病毒的載體，重組后的文件，不會再有病毒。這種方式會導致效率的下降，一些潛在的危險的格式可能會被禁止。

 

5、抵御DoS/DDoS攻擊

 

安全隔離網(wǎng)閘自身特有的無連接特性，能夠很好的防止DoS或DDoS攻擊穿過隔離設備攻擊服務器。但也不能抵御針對安全隔離設備本身的DDoS攻擊。

 

6、安全性高

 

內外網(wǎng)主機系統(tǒng)分別有獨立于網(wǎng)絡接口的專用管理接口，同時對于運行的安全策略需要在兩個系統(tǒng)分別下達，并通過統(tǒng)一的任務號進行對應。以此達到高安全。即使系統(tǒng)的外網(wǎng)處理單元癱瘓，網(wǎng)絡攻擊也無法觸及內網(wǎng)處理單元。

 

7、設備聯(lián)動

 

可結合防火墻、IDS、VPN等安全設備運行，形成綜合網(wǎng)絡安全防護平臺。