網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨(dú)立主機(jī)系統(tǒng)的信息設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨(dú)立主機(jī)系統(tǒng)之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議"擺渡",且對固態(tài)存儲介質(zhì)只有"讀"和"寫"兩個命令。所以,物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使"黑客"無法入侵、無法攻擊、無法破壞,實(shí)現(xiàn)了真正的。
隔離與信息交換系統(tǒng),即網(wǎng)閘,是新一代高度的企業(yè)級信息防護(hù)設(shè)備,它依托隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的防護(hù)能力,不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng),而且有效地防范了信息外泄事件的發(fā)生。
代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處理單元分時存取共享存儲設(shè)備來完成數(shù)據(jù)交換的,實(shí)現(xiàn)了在空氣縫隙隔離(Air Gap)情況下的數(shù)據(jù)交換,原理是通過應(yīng)用層數(shù)據(jù)提取與審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層的效果。
第二代網(wǎng)閘正是在吸取了代網(wǎng)閘優(yōu)點(diǎn)的基礎(chǔ)上,創(chuàng)造性地利用全新理念的專用交換通道PET(Private Exchange Tunnel)技術(shù),在不降低性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換,有效地克服了代網(wǎng)閘的弊端,第二代網(wǎng)閘的數(shù)據(jù)交換過程是通過專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來實(shí)現(xiàn)的,雖然仍是通過應(yīng)用層數(shù)據(jù)提取與審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層效果的,但卻提供了比代網(wǎng)閘更多的網(wǎng)絡(luò)應(yīng)用支持,并且由于其采用的是專用高速硬件通信卡,使得處理能力大大提高,達(dá)到代網(wǎng)閘的幾十倍之多,而私有通信協(xié)議和加密簽名機(jī)制保證了內(nèi)外處理單元之間數(shù)據(jù)交換的機(jī)密性、完整性和可信性,從而在保證性的同時,提供更好的處理性能,能夠適應(yīng)復(fù)雜網(wǎng)絡(luò)對隔離應(yīng)用的需求。
性能指標(biāo)
隔離網(wǎng)閘的主要性能指標(biāo)有那些呢? 其性能指標(biāo)包括:
系統(tǒng)數(shù)據(jù)交換速率:120Mbps
硬件切換時間:5ms
網(wǎng)閘正是在吸取了代網(wǎng)閘優(yōu)點(diǎn)的基礎(chǔ)上,創(chuàng)造性地利用全新理念的專用交換通道PET(Private Exchange Tunnel)技術(shù),在不降低性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換,有效地克服了代網(wǎng)閘的弊端,第二代網(wǎng)閘的數(shù)據(jù)交換過程是通過專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來實(shí)現(xiàn)的,雖然仍是通過應(yīng)用層數(shù)據(jù)提取與審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層效果的,但卻提供了比代網(wǎng)閘更多的網(wǎng)絡(luò)應(yīng)用支持
(十一)受隔離網(wǎng)閘保護(hù)的內(nèi)部網(wǎng)絡(luò)需要不斷升級嗎?
隔離網(wǎng)閘首先在鏈路層斷開,徹底切斷網(wǎng)絡(luò)連接,并僅允許僅有的四種指定靜態(tài)數(shù)據(jù)進(jìn)行交換,對外不接受請求,并且在內(nèi)部用戶訪問外部網(wǎng)絡(luò)時采用靜態(tài)頁面返回(過濾ActiveX、Java、cookie等),并且木馬無法通過隔離網(wǎng)閘進(jìn)行通訊,因此內(nèi)部網(wǎng)絡(luò)針對外部的攻擊根本無需升級。
(十二)為什么受防火墻保護(hù)的內(nèi)部網(wǎng)絡(luò)需要不斷升級?
防火墻是在網(wǎng)絡(luò)層對數(shù)據(jù)包作檢查,并不切斷網(wǎng)絡(luò)連接,很多案例證明無論包過濾還是代理防火墻都很難防止木馬病毒的入侵內(nèi)部網(wǎng)絡(luò),Nimda繞過很多防火墻的檢查并在全世界肆虐就是一個很好的例證,因此需要用戶的內(nèi)部網(wǎng)絡(luò)不斷升級自己的客戶端如瀏覽器。
(十三)隔離網(wǎng)閘能否防止內(nèi)部無意信息泄漏?
由于隔離網(wǎng)閘在數(shù)據(jù)交換時采用了證書機(jī)制,對所有的信息進(jìn)行證書驗(yàn)證,因此對于那些病毒亂發(fā)郵件所造成的無意信息泄漏起到很好的防范作用。