物理交換機是使用固態(tài)讀/寫開關連接到兩個獨立系統(tǒng)的信息安全設備，具有多個控制功能。由于兩個獨立管理系統(tǒng)之間的網(wǎng)關在物理上是分離的，因此沒有物理通信連接、邏輯通信、信息傳輸命令和信息傳輸協(xié)議，沒有協(xié)議包傳輸，沒有數(shù)據(jù)文件傳輸協(xié)議，嵌入式存儲介質只有兩個命令。因此，物理隔離網(wǎng)閘可以防止與潛在攻擊相關的所有通信，并防止黑客在不進行破解、攻擊和破壞的情況下提供真正的安全性。本文就網(wǎng)閘結構、網(wǎng)閘工作原理進行一一分析。

網(wǎng)閘結構、網(wǎng)閘工作原理

網(wǎng)閘是在兩個不同安全域之間交換數(shù)據(jù)的一種手段，通過數(shù)據(jù)轉換協(xié)議交換信息，可以根據(jù)系統(tǒng)的明確請求傳輸信息，通常，普通應用程序使用該信息流。術語網(wǎng)閘至少有兩個節(jié)點和一個物理隔離塊來完成網(wǎng)關產(chǎn)品的物理隔離任務，因為內部網(wǎng)絡和外部網(wǎng)絡（上層和下層流）之間的信息交換期間沒有物理連接。隔離網(wǎng)關的主要特征之一是內部網(wǎng)絡和外部網(wǎng)絡不連接，內部和外部網(wǎng)絡同時連接到最大隔離設備。

現(xiàn)在是否有來自瀏覽器的威脅，但網(wǎng)關有助于這些威脅？如果在圖像文件中找到以前找到的空間，則網(wǎng)關不會過濾應用程序級數(shù)據(jù)，并且仍然受到威脅。針對提供外部服務的網(wǎng)絡的攻擊示例大多與創(chuàng)建正常數(shù)據(jù)包有關。這些數(shù)據(jù)包沒有針對應用層漏洞的Blake點，因此，沒有絕對安全，“真正的安全”是不可能的！

網(wǎng)網(wǎng)閘設計通常使用2+1：內部+外部+可編程設備。初始開關模塊以電子開關的形式進行物理隔離，并且由于開關速度問題，它無法滿足實時數(shù)據(jù)交換的需求，因此被邏輯開關取代。確切意義上的邏輯切換只意味著邏輯分離，而不是物理分離。

個人協(xié)議是通過硬件接口、SCSI接口和制造商接口（如1394）交換數(shù)據(jù)模塊數(shù)據(jù)的協(xié)議。網(wǎng)閘可以從主動模式分離到主動模式和手動模式。在活動模式下，網(wǎng)關作為客戶端從網(wǎng)絡服務器讀取和寫入數(shù)據(jù)，在手動模式下，交換機作為服務器工作，打開本地探測端口，并接收外部數(shù)據(jù)。在安全性方面，主動模型遠優(yōu)于被動模型，但其應用和性能并不令人滿意。

數(shù)據(jù)交換過程以下示例顯示被動數(shù)據(jù)交換的過程。

從外部網(wǎng)絡提取數(shù)據(jù)包信息：數(shù)據(jù)包信息的驗證：數(shù)據(jù)包信息的分解：應用層數(shù)據(jù)的提取和驗證，有兩種傳輸數(shù)據(jù)的方法。

1、協(xié)議中斷：

傳輸在接口上接收的數(shù)據(jù)包時，必須刪除協(xié)議頭并根據(jù)個人協(xié)議應用層的數(shù)據(jù)重新加載段。這使得所有網(wǎng)絡攻擊只能在外部網(wǎng)絡上執(zhí)行。

2、驗證協(xié)議驗證模塊：

數(shù)據(jù)傳輸網(wǎng)關基于應用程序代理服務器，并具有相應的傳輸模塊以支持應用程序級協(xié)議。每個模塊僅處理相應的應用層數(shù)據(jù)請求，并執(zhí)行內容檢查、過濾等。

網(wǎng)閘的系統(tǒng)結構和操作模式無法與防火墻相比。包括吸收和延遲，尤其是在同一時間。坦率地說，如果有制造商聲稱產(chǎn)品達到線性速度，那么家庭使用時就存在障礙。