網閘原理和防火牆的區別

如今，隔離技術已經得到越來越多使用者的重視，重要的和部門均開始採用隔離網閘產品來保護內部和關鍵點的基礎設施。目前世界上主要有三類隔離網閘技術，即SCSI技術，雙埠RAM技術和物理單向傳輸技術。SCSI是典型的拷盤交換技術，雙埠RAM也是模擬拷盤技術，物理單向傳輸技術則是二極體單向技術。[@more@]隨著網際網路上駭客病毒氾濫、資訊恐怖、計算機犯罪等威脅日益嚴重，防火牆的攻破率不斷上升，在政府、軍隊、企業等領域，由於核心部門的資訊保安關係著國家安全、社會穩定，因此迫切需要比傳統產品更為可靠的技術防護措施。物理隔離網閘最早出現在美國、以色列等國家的軍方，用以解決涉密與公共連線時的安全。在電子政務建設中，我們會遇到安全域的問題，安全域是以資訊涉密程度劃分的空間。涉密域就是涉及國家秘密的空間。非涉密域就是不涉及國家的秘密，但是涉及到本單位，本部門或者本系統的工作秘密的空間。公共服務域是指不涉及國家秘密也不涉及工作秘密，是一個向互聯完全開放的公共資訊交換空間。國家有關檔案就嚴格規定，政務的內網和政務的外網要實行嚴格的物理隔離。政務的外網和互聯要實行邏輯隔離，按照安全域的劃分，政府的內網就是涉密域，政府的外網就是非涉密域，網際網路就是公共服務域。國家有關研究機構已經研究了安全網閘技術，以後根據需求，還會有更好的網閘技術出現。透過安全網閘，把內網和外網聯絡起來；因此網閘成為電子政務資訊系統必須配置的裝置，由此開始，網閘產品與技術在我國快速興起，成為我國資訊保安產業發展的一個新的增長點。

二、網閘的概念

　　網閘是使用帶有多種控制功能的固態開關讀寫介質連線兩個獨立主機系統的資訊保安裝置。由於物理隔離網閘所連線的兩個獨立主機系統之間，不存在通訊的物理連線、邏輯連線、資訊傳輸命令、資訊傳輸協議，不存在依據協議的資訊包轉發，只有資料檔案的無協議"擺渡"，且對固態儲存介質只有"讀"和"寫"兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連線，使"駭客"無法入侵、無法攻擊、無法破壞，實現了真正的安全。

　　安全隔離與資訊交換系統，即網閘，是新一代高安全度的企業級資訊保安防護裝置，它依託安全隔離技術為資訊提供了更高層次的安全防護能力，不僅使得資訊的抗攻擊能力大大增強，而且有效地防範了資訊外洩事件的發生。

　　第一代網閘的技術原理是利用單刀雙擲開關使得內外網的處理單元分時存取共享儲存裝置來完成資料交換的，實現了在空氣縫隙隔離(Air Gap)情況下的資料交換，安全原理是透過應用層資料提取與安全審查達到杜絕基於協議層的攻擊和增強應用層安全的效果。

　　第二代網閘正是在吸取了第一代網閘優點的基礎上，創造性地利用全新理念的專用交換通道PET(Private Exchange Tunnel)技術，在不降低安全性的前提下能夠完成內外網之間高速的資料交換，有效地克服了第一代網閘的弊端，第二代網閘的安全資料交換過程是透過專用硬體通訊卡、私有通訊協議和加密簽名機制來實現的，雖然仍是透過應用層資料提取與安全審查達到杜絕基於協議層的攻擊和增強應用層安全效果的，但卻提供了比第一代網閘更多的應用支援，並且由於其採用的是專用高速硬體通訊卡，使得處理能力大大提高，達到第一代網閘的幾十倍之多，而私有通訊協議和加密簽名機制保證了內外處理單元之間資料交換的機密性、完整性和可信性，從而在保證安全性的同時，提供更好的處理效能，能夠適應複雜對隔離應用的需求。

　　網閘(SGAP)與傳統防火牆的技術特點對比如下表所示：

對比專案	傳統防火牆	網閘（SGAP）
安全機制	採用包過濾、代理服務等安全機制，安全功能相對單一	在GAP技術的基礎上，綜合了訪問控制、內容過濾、病毒查殺等技術，具有全面的安全防護功能。
硬體設計	防火牆硬體設計可能存在安全漏洞，遭受攻擊後導致癱瘓。	硬體設計採用基於GAP技術的體系結構，執行穩定，不會因攻擊而癱瘓。
作業系統設計	防火牆作業系統可能存在安全漏洞。	採用專用安全作業系統作為軟體支撐系統，實行強制訪問控制，從根本上杜絕可被駭客利用的安全漏洞。
協議處理	缺乏對未知協議漏洞造成的安全問題的有效解決辦法。	採用專用對映協議代替原協議實現SGAP系統內部的純資料傳輸，消除了一般協議可被利用的安全漏洞。
遭攻擊後果	被攻破的防火牆只是個簡單的路由器，將危及內網安全	即使系統的外網處理單元癱瘓，攻擊也無法觸及內網處理單元。
可管理性	管理配置有一定複雜性	管理配置簡易
與其它安全裝置聯動性	缺乏	可結合防火牆、IDS、VPN等安全裝置執行，形成綜合安全防護平臺。

對比專案 傳統防火牆 網閘(SGAP)

　　安全機制 採用包過濾、代理服務等安全機制，安全功能相對單一 在GAP技術的基礎上，綜合了訪問控制、內容過濾、病毒查殺等技術，具有全面的安全防護功能。

　　硬體設計 防火牆硬體設計可能存在安全漏洞，遭受攻擊後導致癱瘓。 硬體設計採用基於GAP技術的體系結構，執行穩定，不會因攻擊而癱瘓。

　　作業系統設計 防火牆作業系統可能存在安全漏洞。 採用專用安全作業系統作為軟體支撐系統，實行強制訪問控制，從根本上杜絕可被駭客利用的安全漏洞。

　　協議處理 缺乏對未知協議漏洞造成的安全問題的有效解決辦法。 採用專用對映協議代替原協議實現SGAP系統內部的純資料傳輸，消除了一般協議可被利用的安全漏洞。

　　遭攻擊後果 被攻破的防火牆只是個簡單的路由器，將危及內網安全 即使系統的外網處理單元癱瘓，攻擊也無法觸及內網處理單元。

　　可管理性 管理配置有一定複雜性 管理配置簡易

　　與其它安全裝置聯動性 缺乏 可結合防火牆、IDS、VPN等安全裝置執行，形成綜合安全防護平臺。

　　三、網閘工作原理

　　隔離網閘(安全隔離與資訊交換)，是在保證兩個安全隔離的基礎上實現安全資訊交換和資源共享的技術。它採用獨特的硬體設計並整合多種軟體防護策略，能夠抵禦各種已知和未知的攻擊，顯著提高內網的安全強度，為使用者創造無憂的應用環境。

　　GAP源於英文的"Air Gap"，GAP技術是一種透過專用硬體使兩個或者兩個以上的在不連通的情況下，實現安全資料傳輸和資源共享的技術。GAP中文名字叫做安全隔離網閘，它採用獨特的硬體設計，能夠顯著地提高內部使用者的安全強度。

　　GAP技術的基本原理是：切斷之間的通用協議連線；將資料包進行分解或重組為靜態資料；對靜態資料進行安全審查，包括協議檢查和程式碼掃描等；確認後的安全資料流入內部單元；內部使用者透過嚴格的身份認證機制獲取所需資料。

安全隔離與資訊交換系統SGAP一般由三部分構成：內網處理單元、外網處理單元和專用隔離硬體交換單元。系統中的內網處理單元連線內部網，外網處理單元連線外部網，專用隔離硬體交換單元在任一時刻點僅連線內網處理單元或外網處理單元，與兩者間的連線受硬體電路控制高速切換。這種獨特設計保證了專用隔離硬體交換單元在任一時刻僅連通內部網或者外部網，既滿足了內部網與外部網物理隔離的要求，又能實現資料的動態交換。SGAP系統的嵌入式軟體系統裡內建了協議分析引擎、內容安全引擎和病毒查殺引擎等多種安全機制，可以根據使用者需求實現複雜的安全策略。SGAP系統可以廣泛應用於銀行、政府等部門的內部訪問外部，也可用於內部網的不同信任域間的資訊互動。

　　四、網閘的應用定位

　　1)涉密網與非涉密網之間；

　　2)區域網與網際網路之間(內網與外網之間)；

　　有些局域，特別是政府辦公，涉及政府敏感資訊，有時需要與網際網路在物理上斷開，用物理隔離網 閘是一個常用的辦法。

　　3)辦公網與業務網之間

　　由於辦公與業務的資訊敏感程度不同，例如，銀行的辦公和銀行業務就是很典型的資訊敏感程度不同的兩類。為了提高工作效率，辦公有時需要與業務交換資訊。為解決業務的安全，比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘，實現兩類的物理隔離。

　　4)電子政務的內網與專網之間

　　在電子政務系統建設中要求政府內望與外網之間用邏輯隔離，在政府專網與內網之間用物理隔離。現常用的方法是用物理隔離網閘來實現。

　　5)業務網與網際網路之間

　　電子商務一邊連線著業務伺服器，一邊透過網際網路連線著廣大民眾。為了保障業務伺服器的安全，在業務與網際網路之間應實現物理隔離。

　　四、網閘的應用領域

　　目前，象國產的中網隔離網閘、偉思安全隔離網閘、聯想網禦安全隔離網閘等廠家網閘產品可以滿足信任使用者與外部的檔案交換、收發郵件、單向瀏覽、資料庫交換等功能，同時已在電子政務中，如政府內部的領導決策支援系統、政務應用系統(OA系統、專用業務處理系統)和公共資訊處理系統(資訊採集系統、資訊交換系統、資訊釋出系統等)得到應用，網閘很好地解決了安全隔離下的資訊可控交換等問題，從而推動了電子政務走向應用時代。

　　由於網閘可以實現兩個物理層斷開間的資訊擺渡，構建資訊可控交換 "安全島"，所以在政府、軍隊、電力等領域具有極為廣闊的應用前景。網閘有會突破電子政務外網與內網之間資料交換的瓶頸，並消除政府部門之間因安全造成的資訊孤島效應。目前網閘大都提供了檔案交換、收發郵件、瀏覽網頁等基本功能。此外，網閘產品在負載均衡、冗餘備份、硬體密碼加速、易整合管理等方面需要進一步改進完善，同時更好地整合入侵檢測和加密通道、數字證書等技術，也成為新一代網閘產品發展的趨勢。

　　目前國外有Whale公司的e-GAP系統、Spearhead公司的NetGAP等網閘產品，在軍政、航天、金融等部門被採用。Whale公司將e-GAP系統定位為應用層的防護裝置。該產品透過隔離伺服器、資料暫存區、隔離開關(Air GAP Switch)、並結合應用層安全控制來達到整體安全。它整合了加密技術、授權認證、PKI、HTTP映象、規則過濾、Air GAP(空氣隔離)等多種安全技術構成軟硬一體化平臺。

　　Spearhead公司的NetGAP直接連線兩個。透過插在PCI槽的安全電路板與LVDS匯流排一起實現了"Reflective GAP"技術，每一個安全電路板包含一對雙開關結構，雙開關結構確保了在兩個之間一個完全的鏈路層隔斷。資料包從外網傳至內網需要經理會話終止、剝離資料、編碼、惡意程式碼掃描、傳輸恢復、會話再生等過程，確保內網的安全性。另外，NetGAP還提供了入侵監測、負載均衡和容錯等擴充套件功能。

　　從當前應用情況來看，國內目前網閘市場也已經具備一定規模，使用者主要集中在政府、公安、電力等對安全性要求很高的重要部門。總之，安全網閘適用於政府、軍隊、公安、銀行、工商、航空、電力和電子商務等有高安全級別需求的，當然網閘也可用來隔離保護主機伺服器或專門隔離保護資料庫伺服器。