網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議"擺渡"，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有"讀"和"寫"兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的。

隔離與信息交換系統(tǒng)，即網(wǎng)閘，是新一代高度的企業(yè)級(jí)信息防護(hù)設(shè)備，它依托隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，而且有效地防范了信息外泄事件的發(fā)生。

代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處理單元分時(shí)存取共享存儲(chǔ)設(shè)備來完成數(shù)據(jù)交換的，實(shí)現(xiàn)了在空氣縫隙隔離(Air Gap)情況下的數(shù)據(jù)交換，原理是通過應(yīng)用層數(shù)據(jù)提取與審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層的效果。

第二代網(wǎng)閘正是在吸取了代網(wǎng)閘優(yōu)點(diǎn)的基礎(chǔ)上，創(chuàng)造性地利用全新理念的專用交換通道PET(Private Exchange Tunnel)技術(shù)，在不降低性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，有效地克服了代網(wǎng)閘的弊端，第二代網(wǎng)閘的數(shù)據(jù)交換過程是通過專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來實(shí)現(xiàn)的，雖然仍是通過應(yīng)用層數(shù)據(jù)提取與審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層效果的，但卻提供了比代網(wǎng)閘更多的網(wǎng)絡(luò)應(yīng)用支持，并且由于其采用的是專用高速硬件通信卡，使得處理能力大大提高，達(dá)到代網(wǎng)閘的幾十倍之多，而私有通信協(xié)議和加密簽名機(jī)制保證了內(nèi)外處理單元之間數(shù)據(jù)交換的機(jī)密性、完整性和可信性，從而在保證性的同時(shí)，提供更好的處理性能，能夠適應(yīng)復(fù)雜網(wǎng)絡(luò)對(duì)隔離應(yīng)用的需求。

為什么要使用隔離網(wǎng)閘呢？其意義是：

（一）當(dāng)用戶的網(wǎng)絡(luò)需要保證高強(qiáng)度的，同時(shí)又與其它不信任網(wǎng)絡(luò)進(jìn)行信息交換的情況下，如果采用物理隔離卡，用戶必須使用開關(guān)在內(nèi)外網(wǎng)之間來回切換，不僅管理起來非常麻煩，使用起來也非常不方便，如果采用防火墻，由于防火墻自身的很難保證，所以防火墻也無法防止內(nèi)部信息泄漏和外部病毒、黑客程序的滲入，性無法保證。在這種情況下，隔離網(wǎng)閘能夠同時(shí)滿足這兩個(gè)要求，彌補(bǔ)了物理隔離卡和防火墻的不足之處，是的選擇。

（二）對(duì)網(wǎng)絡(luò)地隔離是通過網(wǎng)閘隔離硬件實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)在鏈路層斷開，但是為了交換數(shù)據(jù)，通過設(shè)計(jì)的隔離硬件在兩個(gè)網(wǎng)絡(luò)對(duì)應(yīng)的上進(jìn)行切換，通過對(duì)硬件上的存儲(chǔ)芯片的讀寫，完成數(shù)據(jù)的交換。

（三）安裝了相應(yīng)的應(yīng)用模塊之后，隔離網(wǎng)閘可以在保證的前提下，使用戶可以瀏覽網(wǎng)頁、收發(fā)電子郵件、在不同網(wǎng)絡(luò)上的數(shù)據(jù)庫之間交換數(shù)據(jù)，并可以在網(wǎng)絡(luò)之間交換定制的文件。

（十四）使用隔離網(wǎng)閘時(shí)需要安裝客戶端嗎？

有的網(wǎng)閘管理員使用通用的瀏覽器即可對(duì)其進(jìn)行管理配置，使用隔離網(wǎng)閘時(shí)不需安裝其他客戶端。 但是這種方式具有極大的風(fēng)險(xiǎn)，因?yàn)檫h(yuǎn)程連接會(huì)引入威脅，而這種對(duì)于控制口的攻擊更為嚴(yán)重。所以性要求高的網(wǎng)閘，不允許通過遠(yuǎn)程進(jìn)行配置，只允許通過專有的配置程序，也就是客戶端通過串口進(jìn)行配置。一些重要部門均不允許對(duì)網(wǎng)閘具有遠(yuǎn)程配置的功能。

（十五）隔離網(wǎng)閘接受外來請(qǐng)求嗎？

不接受，隔離網(wǎng)閘上的數(shù)據(jù)交換全部由管理員來進(jìn)行配置，其所有的請(qǐng)求都由隔離網(wǎng)閘主動(dòng)發(fā)起，不接受外來請(qǐng)求，不提供任何系統(tǒng)服務(wù)。 如果接受遠(yuǎn)程配置，就會(huì)接受外來的請(qǐng)求，造成嚴(yán)重的問題。

（十六）隔離網(wǎng)閘是否支持所連接的兩個(gè)網(wǎng)絡(luò)的網(wǎng)段地址相同？

支持。

（十七）隔離網(wǎng)閘的主機(jī)系統(tǒng)是否經(jīng)過加固？

由于從網(wǎng)絡(luò)架構(gòu)上來講，隔離網(wǎng)閘是處在網(wǎng)關(guān)的位置，因此其自身性非常重要，兩個(gè)處理單元 加固包括硬件加固、操作系統(tǒng)加固以及協(xié)議的加固。詳情見擴(kuò)展閱讀3.