網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議"擺渡"，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有"讀"和"寫"兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的。

隔離與信息交換系統(tǒng)，即網(wǎng)閘，是新一代高度的企業(yè)級(jí)信息防護(hù)設(shè)備，它依托隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，而且有效地防范了信息外泄事件的發(fā)生。

代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開(kāi)關(guān)使得內(nèi)外網(wǎng)的處理單元分時(shí)存取共享存儲(chǔ)設(shè)備來(lái)完成數(shù)據(jù)交換的，實(shí)現(xiàn)了在空氣縫隙隔離(Air Gap)情況下的數(shù)據(jù)交換，原理是通過(guò)應(yīng)用層數(shù)據(jù)提取與審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層的效果。

第二代網(wǎng)閘正是在吸取了代網(wǎng)閘優(yōu)點(diǎn)的基礎(chǔ)上，創(chuàng)造性地利用全新理念的專用交換通道PET(Private Exchange Tunnel)技術(shù)，在不降低性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，有效地克服了代網(wǎng)閘的弊端，第二代網(wǎng)閘的數(shù)據(jù)交換過(guò)程是通過(guò)專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來(lái)實(shí)現(xiàn)的，雖然仍是通過(guò)應(yīng)用層數(shù)據(jù)提取與審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層效果的，但卻提供了比代網(wǎng)閘更多的網(wǎng)絡(luò)應(yīng)用支持，并且由于其采用的是專用高速硬件通信卡，使得處理能力大大提高，達(dá)到代網(wǎng)閘的幾十倍之多，而私有通信協(xié)議和加密簽名機(jī)制保證了內(nèi)外處理單元之間數(shù)據(jù)交換的機(jī)密性、完整性和可信性，從而在保證性的同時(shí)，提供更好的處理性能，能夠適應(yīng)復(fù)雜網(wǎng)絡(luò)對(duì)隔離應(yīng)用的需求。

隔離網(wǎng)閘是由軟件和硬件組成。 隔離網(wǎng)閘分為兩種架構(gòu)，一種為雙主機(jī)的2+1結(jié)構(gòu)，另一種為三主機(jī)的三系統(tǒng)結(jié)構(gòu)。2+1的隔離網(wǎng)閘的硬件設(shè)備由三部分組成:外部處理單元、內(nèi)部處理單元、隔離數(shù)據(jù)交換單元。數(shù)據(jù)交換單元不同時(shí)與內(nèi)外網(wǎng)處理單元連接，為2+1的主機(jī)架構(gòu)。隔離網(wǎng)閘采用SU-Gap隔離技術(shù)，創(chuàng)建一個(gè)內(nèi)、外網(wǎng)物理斷開(kāi)的環(huán)境。三系統(tǒng)的隔離網(wǎng)閘的硬件也由三部分組成：外部處理單元（外端機(jī)）、內(nèi)部處理單元（內(nèi)端機(jī)）、仲裁處理單元（仲裁機(jī)），各單元之間采用了隔離數(shù)據(jù)交換單元。

（十四）使用隔離網(wǎng)閘時(shí)需要安裝客戶端嗎？

有的網(wǎng)閘管理員使用通用的瀏覽器即可對(duì)其進(jìn)行管理配置，使用隔離網(wǎng)閘時(shí)不需安裝其他客戶端。 但是這種方式具有極大的風(fēng)險(xiǎn)，因?yàn)檫h(yuǎn)程連接會(huì)引入威脅，而這種對(duì)于控制口的攻擊更為嚴(yán)重。所以性要求高的網(wǎng)閘，不允許通過(guò)遠(yuǎn)程進(jìn)行配置，只允許通過(guò)專有的配置程序，也就是客戶端通過(guò)串口進(jìn)行配置。一些重要部門均不允許對(duì)網(wǎng)閘具有遠(yuǎn)程配置的功能。

（十五）隔離網(wǎng)閘接受外來(lái)請(qǐng)求嗎？

不接受，隔離網(wǎng)閘上的數(shù)據(jù)交換全部由管理員來(lái)進(jìn)行配置，其所有的請(qǐng)求都由隔離網(wǎng)閘主動(dòng)發(fā)起，不接受外來(lái)請(qǐng)求，不提供任何系統(tǒng)服務(wù)。 如果接受遠(yuǎn)程配置，就會(huì)接受外來(lái)的請(qǐng)求，造成嚴(yán)重的問(wèn)題。

（十六）隔離網(wǎng)閘是否支持所連接的兩個(gè)網(wǎng)絡(luò)的網(wǎng)段地址相同？

支持。

（十七）隔離網(wǎng)閘的主機(jī)系統(tǒng)是否經(jīng)過(guò)加固？

由于從網(wǎng)絡(luò)架構(gòu)上來(lái)講，隔離網(wǎng)閘是處在網(wǎng)關(guān)的位置，因此其自身性非常重要，兩個(gè)處理單元 加固包括硬件加固、操作系統(tǒng)加固以及協(xié)議的加固。詳情見(jiàn)擴(kuò)展閱讀3.