物理隔離設(shè)備網(wǎng)閘與防火墻不同的原因在于，網(wǎng)閘在物理上確保內(nèi)部和外部網(wǎng)絡(luò)不連接。隔離控制部分是實(shí)現(xiàn)物理隔離的關(guān)鍵，這里我們重點(diǎn)介紹幾種流行的技術(shù)。

物理隔離設(shè)備網(wǎng)閘隔離控制技術(shù)--輪渡交換技術(shù)

輪渡開關(guān)是網(wǎng)絡(luò)門最常用的開關(guān)方式。為了保持內(nèi)部和外部網(wǎng)絡(luò)之間的物理隔離，內(nèi)部網(wǎng)絡(luò)必須與外部網(wǎng)絡(luò)隔離，但外部網(wǎng)絡(luò)必須與內(nèi)部網(wǎng)絡(luò)斷開連接。分離是指物理通信或物理電源發(fā)生故障，并且不存在通信可能性的高阻抗?fàn)顟B(tài)。

內(nèi)部和外部網(wǎng)絡(luò)處理設(shè)備有一個(gè)緩沖區(qū)，可以存儲(chǔ)要交換的數(shù)據(jù)文件。隔離和交換控制設(shè)備還具有數(shù)據(jù)交換區(qū)。電子開關(guān)的C點(diǎn)連接到A點(diǎn)。如果交換區(qū)連接到內(nèi)部網(wǎng)絡(luò)，則與外部網(wǎng)絡(luò)的連接將斷開。要在內(nèi)部網(wǎng)絡(luò)上交換的數(shù)據(jù)將被寫入數(shù)據(jù)交換區(qū)，來自外部網(wǎng)絡(luò)的數(shù)據(jù)將在數(shù)據(jù)交換區(qū)中讀取，以完成輪詢。然而，電子交換機(jī)的C點(diǎn)連接到B點(diǎn)，交換端口連接到外部網(wǎng)絡(luò)。斷開與內(nèi)部網(wǎng)絡(luò)的連接。從外部網(wǎng)絡(luò)交換的數(shù)據(jù)被記錄在數(shù)據(jù)交換區(qū)域中，并且從數(shù)據(jù)交換區(qū)域從內(nèi)部網(wǎng)絡(luò)讀取數(shù)據(jù)以完成第二輪詢。

許多制造商已經(jīng)為多個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)交換實(shí)現(xiàn)了網(wǎng)絡(luò)門，因此他們用開關(guān)矩陣取代了電子開關(guān)。數(shù)據(jù)交換模式類似于數(shù)據(jù)交換機(jī)，但每個(gè)網(wǎng)絡(luò)處理設(shè)備僅連接到一個(gè)數(shù)據(jù)緩沖器。所有網(wǎng)絡(luò)單元一次連接到一個(gè)數(shù)據(jù)交換區(qū)域，所有數(shù)據(jù)交換區(qū)域一次連接一個(gè)網(wǎng)絡(luò)單元，因此所有網(wǎng)絡(luò)都未連接。當(dāng)網(wǎng)絡(luò)處理器從緩沖區(qū)中讀取數(shù)據(jù)時(shí)，它僅從其自己的相應(yīng)緩沖區(qū)讀取數(shù)據(jù)。寫入數(shù)據(jù)時(shí)，緩沖區(qū)映射到目標(biāo)網(wǎng)絡(luò)。

物理隔離設(shè)備網(wǎng)閘隔離控制技術(shù)--緩沖通信技術(shù)的選擇

網(wǎng)關(guān)的內(nèi)部通道和外部接口可以選擇各種通信技術(shù)，以可視和完全中斷應(yīng)用程序的連接，這是抵御攻擊的良好選擇。網(wǎng)關(guān)內(nèi)部有三個(gè)數(shù)據(jù)區(qū)和兩個(gè)內(nèi)部通道。合理選擇通信技術(shù)可以顯著降低攻擊的可能性。網(wǎng)關(guān)制造商通常不公開自己的實(shí)現(xiàn)方法，因此數(shù)據(jù)保護(hù)有助于網(wǎng)關(guān)的安全。

這里，我們總結(jié)了幾種實(shí)現(xiàn)方法。

1、基于公共通信總線

內(nèi)部和外部接口連接工業(yè)控制主機(jī)模型。主機(jī)將通過PCI總線交換的數(shù)據(jù)寫入PCI卡。PCI卡具有數(shù)據(jù)緩沖區(qū)范圍。電子開關(guān)是由CPLD組成的控制電路，用于控制內(nèi)部通道1和2的打開和關(guān)閉。內(nèi)部通道2可以通過PCI、USB、串行端口通信或網(wǎng)絡(luò)模式等通信總線連接。該圖顯示了用于數(shù)據(jù)傳輸?shù)奶厥鈪f(xié)議。 

可選擇雙端口SRAM進(jìn)行數(shù)據(jù)緩沖。這樣，您只能控制兩個(gè)內(nèi)存端口，但不能同時(shí)關(guān)閉兩個(gè)交換機(jī)。

2、基于內(nèi)存總線的模式

在內(nèi)存模式下，交換區(qū)被視為本地讀寫磁盤。主機(jī)單元通過擴(kuò)展卡擴(kuò)展SCSI存儲(chǔ)，添加控制信號(hào)，形成專用擴(kuò)展總線，連接到隔離開關(guān)，并控制主機(jī)。電子開關(guān)用于控制內(nèi)部和外部網(wǎng)絡(luò)的主機(jī)單元讀取和寫入數(shù)據(jù)交換區(qū)域的存儲(chǔ)空間。

在數(shù)據(jù)交換區(qū)域中，定義內(nèi)部網(wǎng)絡(luò)或internet讀取區(qū)域的固定區(qū)域：內(nèi)部網(wǎng)絡(luò)/internet讀取區(qū)域和內(nèi)部網(wǎng)絡(luò)/互聯(lián)網(wǎng)寫入?yún)^(qū)域。對(duì)交換區(qū)的讀寫是塊模式，而不是文件模式。在主機(jī)部分，執(zhí)行數(shù)據(jù)驗(yàn)證和文件恢復(fù)。

這種方法的困難在于識(shí)別連接到主機(jī)的硬盤驅(qū)動(dòng)器。當(dāng)頻繁切換對(duì)系統(tǒng)影響較大時(shí)，主機(jī)系統(tǒng)將被擴(kuò)展卡上總線的控制信號(hào)阻塞。因此，主機(jī)總是認(rèn)為硬盤在線，讀/寫控制遵循隔離開關(guān)控制主機(jī)的時(shí)間表。

這包括SCSI內(nèi)存模式或IDE模式。還可以選擇串行存儲(chǔ)模式，如SATA和SAS，以簡(jiǎn)化設(shè)計(jì)。您也可以使用USB磁盤，USB總線控制更容易?，F(xiàn)在USB有足夠的空間，但在速度上仍有差距。