物理隔離設(shè)備網(wǎng)閘詳細(xì)介紹（網(wǎng)閘大全）--現(xiàn)有解決方案

由于物理隔離的高安全性和用戶數(shù)據(jù)交換的實(shí)際需要，政府部門和安全制造商正在積極研究并提出以下解決方案。

1、絕緣卡技術(shù)

分離卡的功能是將一臺(tái)PC虛擬化為兩臺(tái)計(jì)算機(jī)，實(shí)現(xiàn)工作站的雙重狀態(tài)，使其處于安全或公共狀態(tài)。這兩種狀態(tài)完全隔離，允許工作站在完全安全的情況下連接到內(nèi)部和外部網(wǎng)絡(luò)。該卡位于PC的最低物理層，通過卡一端的IDE總線連接到主板，另一端連接到IDE硬盤。內(nèi)部和外部網(wǎng)絡(luò)必須通過卡連接。PC硬盤在物理上分為兩個(gè)區(qū)域?？刂艻DE總線物理層固件的硬盤通道。數(shù)據(jù)一次只能輸入一個(gè)區(qū)域。我們可以使用網(wǎng)絡(luò)層的概念來理解它。它構(gòu)建在物理層上，并向上層提供接口服務(wù)。這些服務(wù)包括安全功能。缺點(diǎn)是所使用的操作系統(tǒng)需要重新啟動(dòng)，因?yàn)樗窃谶@些底層構(gòu)建的。除非重新啟動(dòng)操作系統(tǒng)，否則數(shù)據(jù)不會(huì)通過內(nèi)存被竊取。除了上述單主板和單硬盤解決方案，還有基于與上述解決方案類似的隔離卡技術(shù)的單主板和雙硬盤解決方案。

通過以上介紹，我們可以總結(jié)出兩點(diǎn)：

A、 隔離卡實(shí)現(xiàn)了終端內(nèi)網(wǎng)的時(shí)空邏輯隔離，從技術(shù)上解決了終端兩個(gè)網(wǎng)絡(luò)之間的隔離問題。

B、 隔離卡無法滿足兩個(gè)網(wǎng)絡(luò)之間的實(shí)時(shí)和安全數(shù)據(jù)交換要求。

2、清除技術(shù)

網(wǎng)關(guān)（GAP）也稱為安全隔離和信息交換系統(tǒng)。國內(nèi)主流網(wǎng)絡(luò)接口產(chǎn)品通常采用“2+1”結(jié)構(gòu)設(shè)計(jì)，即內(nèi)部網(wǎng)絡(luò)處理器（內(nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng)）、外部網(wǎng)絡(luò)處理器、隔離交換設(shè)備。

2.1、內(nèi)網(wǎng)處理設(shè)備：

包括內(nèi)網(wǎng)接口設(shè)備和內(nèi)網(wǎng)數(shù)據(jù)緩沖區(qū)。接口部分連接到內(nèi)聯(lián)網(wǎng)并終止內(nèi)聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)連接。在對(duì)數(shù)據(jù)進(jìn)行病毒檢查、內(nèi)容過濾、格式檢查等安全測試后，清除“純數(shù)據(jù)”，做好交換準(zhǔn)備，在內(nèi)部網(wǎng)絡(luò)上確認(rèn)用戶身份，確保數(shù)據(jù)的安全通道。數(shù)據(jù)緩沖器用于存儲(chǔ)和規(guī)劃共享數(shù)據(jù)，并負(fù)責(zé)與絕緣交換單元進(jìn)行數(shù)據(jù)交換。

2.2、外部網(wǎng)絡(luò)處理器：

它具有與內(nèi)部網(wǎng)絡(luò)處理器相同的功能，但處理外部網(wǎng)絡(luò)連接。

2.3、絕緣開關(guān)單元：

由網(wǎng)絡(luò)門隔離和控制的備用設(shè)備，控制開關(guān)通道的打開和關(guān)閉?？刂茊卧〝?shù)據(jù)交換區(qū)域，其是用于數(shù)據(jù)交換的輪渡。隔離開關(guān)裝置可隨時(shí)中斷內(nèi)部和外部網(wǎng)絡(luò)之間的直接連接，并使用特殊的通信手段形成內(nèi)部和外部網(wǎng)之間的物理隔離。該單元具有用于數(shù)據(jù)交換傳輸?shù)臄?shù)據(jù)交換區(qū)。

根據(jù)政府網(wǎng)絡(luò)“邊界清晰、邊界點(diǎn)可定義、網(wǎng)絡(luò)間傳輸或交換數(shù)據(jù)可定義”的特點(diǎn)，物理隔離設(shè)備網(wǎng)閘采用“白名單”模式。只有定義明確的信息和數(shù)據(jù)才能傳輸，以確保傳輸?shù)陌踩?。不發(fā)送附加數(shù)據(jù)，網(wǎng)關(guān)的這一功能及其“2+1”結(jié)構(gòu)可以有效防止未知攻擊和病毒。

網(wǎng)關(guān)支持具有特定功能模塊的應(yīng)用程序。通常，網(wǎng)關(guān)支持兩種類型的應(yīng)用程序，一種是數(shù)據(jù)同步。第二種是基于應(yīng)用協(xié)議的兩層應(yīng)用代理。

目前，網(wǎng)關(guān)產(chǎn)品被我國政府和其他機(jī)構(gòu)廣泛使用。根據(jù)網(wǎng)關(guān)產(chǎn)品的特點(diǎn)，國家安全局定義了以下四種使用環(huán)境：

◆ 不同分類網(wǎng)絡(luò)之間；

◆ 同一秘密網(wǎng)絡(luò)的不同安全域之間；

◆ 在所述網(wǎng)絡(luò)與所述物理隔離網(wǎng)絡(luò)和所述秘密網(wǎng)絡(luò)之間；

◆ 在未連接到分類網(wǎng)絡(luò)的網(wǎng)絡(luò)之間。

3、獲取信息的一次性技術(shù)

單向信息導(dǎo)入是信息的單向流動(dòng)和單向傳輸。實(shí)現(xiàn)單向信息傳輸有兩種方式。一種是通過訪問控制。這可以實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的單向傳輸，但根據(jù)TCP三重握手原理，這種方法具有反饋信息，實(shí)際上是雙向數(shù)據(jù)傳輸。另一種是使用物理設(shè)備設(shè)計(jì)，以確保信息的單向傳輸而無需反饋。根據(jù)以上分析，只有后者的單向傳輸才是信息輸入的單向技術(shù)。

由于信息的單向非反饋傳輸，使用單向信息引入技術(shù)的設(shè)備在連接內(nèi)部和外部網(wǎng)絡(luò)時(shí)可以識(shí)別數(shù)據(jù)僅從低密度網(wǎng)絡(luò)流向高密度網(wǎng)絡(luò)。接頭不會(huì)導(dǎo)致泄漏事件。此外，由于單向數(shù)據(jù)傳輸沒有反饋，黑客不僅可以基于網(wǎng)絡(luò)進(jìn)行入侵和檢測，還無法接收與其行為相關(guān)的信息反饋，以消除任何網(wǎng)絡(luò)入侵。

一次性信息導(dǎo)入技術(shù)存在兩個(gè)技術(shù)難點(diǎn)。一種是實(shí)現(xiàn)沒有一次性反饋傳輸?shù)奈锢憝h(huán)境。第二種是在一次性反饋傳輸環(huán)境中可靠和高效的數(shù)據(jù)傳輸。

物理隔離設(shè)備網(wǎng)閘實(shí)現(xiàn)單向無反饋傳輸?shù)奈锢憝h(huán)境，即單向數(shù)據(jù)傳輸組件，目前國內(nèi)主要通過單光纖實(shí)現(xiàn)。由于光的單向傳輸，單向光纖只能實(shí)現(xiàn)單向數(shù)據(jù)傳輸，因此使用單向光纖是實(shí)現(xiàn)無單向反饋傳輸環(huán)境的最明顯方式。

在單一的非反饋傳輸環(huán)境中，數(shù)據(jù)只能“盲目發(fā)送”。也就是說，發(fā)送方只發(fā)送，接收方只接收。發(fā)送方不知道所發(fā)送數(shù)據(jù)的完整性和可用性?？煽康臄?shù)據(jù)傳輸是一次性信息導(dǎo)入產(chǎn)品可用性的關(guān)鍵。

國內(nèi)一些公司采用“源多路傳輸+目標(biāo)端比較報(bào)警+源手動(dòng)觸發(fā)反向傳輸”的方式，確保數(shù)據(jù)傳輸?shù)目煽啃?。一些公司采用前向糾錯(cuò)編碼技術(shù)，以確保數(shù)據(jù)傳輸?shù)母呖煽啃?。前向糾錯(cuò)編碼技術(shù)廣泛應(yīng)用于無線電和電視等單向傳輸環(huán)境中。