网闸GAP由固态读写开关和存储人质系统组成,其中固态开关的转换效率达到了纳秒级,存储介质通常采用scsi硬盘,因此GAP的性能得到了保证。
GAP连接在两个独立的网络系统中间,内网与外网永远不同时连接,在同一时刻只有一个网络与安全隔离网闸建立无协议数据连接,由于没有连接并将通信协议全部剥离,因此两个网络间不存在通信连接、没有协议、没有tcp/ip连接、没有包转发等,只有数据以原始数据的方式进行摆渡,因此非常安全。
下图:当内网与外网之间无数据交换时,GAP与内网和外网之间是完全断开的,即三者之间不存在物理连接和逻辑连接。当内网数据要传输到外网时,GAp向内网服务器发起非tcp的数据连接请求,并发出写命令,将GAP写入控制开关合上,并把所有的协议剥离,将原始数据写入存储介质,在写前根据不同应用,还要对数据完整性和安全性检查,在此过程中,外网服务器与GAP始终处于断开状态。一旦数据写全写入GAP存储介质中,GAP与内网服务器间的控制开关立即断开,接下来GAP与外网服务器之间的控制开关接通,GAP发起对外网非tcp的数据连接请求,外网服务器收到请求后,发出读命令,将GAP存储介质的数据传输到外网服务器,外网服务器收到数据后,按tcp协议要求重新封装接收到的数据,交给应用系统。
GAP 的安全性高于防火墙,数据交换机性能优于物理隔离卡,但隔离效果低于物理隔离卡。
文章来源地址https://www.toymoban.com/news/detail-439752.html
网闸和防火墙的区别
1、应用场景区别
网闸和防火墙的应用场景是不同的
防火墙:网络已经存在考虑安全问题上防火墙,但首先要保证网络的连通性,其次才是安全问题
网闸:网闸是保证安全的基础上进行数据交换,网闸是两个网络已经存在,现在两个网络不得不互联,互联就要保证安全,网闸是现在唯一最安全的网络边界安全隔离的产品,只有网闸这种产品才能解决这个问题,所以必须用网闸。
2、硬件区别
防火墙是单主机架构,早期使用包过滤的技术,网闸是双主机2+1架构,通过私有的协议摆渡的方式进行数据交换,基于会话的检测机制,由于网闸是双主机结构,即使外网端被攻破,由于内部使用私有协议互通,没办法攻击到内网,防火墙是单主机结构,如果被攻击了,就会导致内网完全暴露给别人。
图1:防火墙单主机架构
图2:网闸双主机2+1架构
功能区别
网闸主要包含两大类功能访问类功能和同步类功能,访问类功能类似于防火墙,网闸相对于防火墙安全性更高的是同步类功能。
(1)访问类功能
代理模式:
目前认为代理模式是最安全的模式,但是防火墙不支持代理模式,网闸是支持代理模式的,所以防火墙是不能用在涉密和非涉密网的安全隔离的,网闸是可以的。
(2)同步类功能
文件同步和数据库同步:
防火墙的工作原理,放在网络中间,源端发起访问,目的端被访问,防火墙收到判断一下,给你转过去,网闸的工作原理,我主动抓取放到另外一侧,两侧都是文件或数据库服务器,这个过程终端不知道网闸的存在,因为对外没有开放端口,安全性更高,防火墙的端口是对外开放的。
网闸主要特点
1、安全高效的体系架构
安全隔离与信息交换系统采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。
2、专用的隔离交换模块
网闸产品核心部件为隔离交换模块,安全隔离与信息交换系统隔离交换模块基于专用安全芯片设计,全硬件交换;消除性能瓶颈;从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。
3、操作系统安全可靠
内外网主机模块应采用自主安全可靠的操作系统。
4、强大的网络适应能力
网闸针对不同的软件模块具有多种部署方式,支持代理方式、透明方式等多种部署方式,可以根据用户网络的特殊性采用不同的实现方式进行灵活部署。
5、深度应用层解析过滤能力
网闸针对HTTP协议、FTP协议、POP3协议、SMTP协议、TNS协议等多种应用层协议进行深度解析及过滤,满足用户安全性需求。
6、深度应用层攻击防御能力
网闸具有防病毒功能模块,针对文件交换模块、FTP访问模块、安全浏览模块、邮件访问模块具有防病毒功能,支持本地升级及远程升级。网神网闸具有入侵检测功能,可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。
7、强大的网络适应能力
网闸具有多种功能模块,用户可以根据网络需求选用相应的功能模块;网闸每种功能模块具有多种实现方式,用户可以根据网络需求选用相应的实现方式。如:文件交换模块支持FTP、SMB、NFS等多种文件传输协议,支持无客户端方式及有客户端方式等;网闸双机热备、负载均衡功能通讯接口可以设置为HA接口、网络接口等,支持宕机切换、抜线切换,支持ping、connect等多种主动链路探测,可以适应各种复杂的双机及负载网络环境需求;
8、丰富的应用模块
安全隔离与信息交换系统采用模块化的系统结构设计,根据不同的应用环境,量身定制多个功能模块,以满足用户的不同需求。
9、网闸技术要求
网闸用于数据采集网络到办公网络的数据传送,在保证仪表数据正常采集传输的同时保证数据采集网络与办公网络的有效隔离。网闸设置在办公网核心附近,电解数据采集网络核心和炭素数据采集网络核心分别通过千兆网络连接到网闸的内网接口,网闸的外网接口连接到办公网核心。
10、网闸产品厂家需要具备以下资质:
①公安部计算机信息系统安全专用产品销售许可证(三级以上)及公安部计算机信息系统安全产品质量监督检验中心检验报告(三级以上);
②国家保密局涉密信息系统产品检测证书;
③国家密码管理局密码检测证书;
④国家电网公司EMC检测认证;
⑤DTP物理隔离通道系统证书;
⑥解放军军用信息安全产品认证证书(军C以上)级;
⑦国家信息安全产品3C证书(三级以上)。
网闸常见问题解答
1、问题:网闸是什么设备?
解答:网闸是一种由专用硬件在电路上切断网络之间的链路层连接,能够在物理隔离的网络之间进行适度的安全数据交换的网络安全设备。
2、问题:网闸是硬件设备还是软件设备?
解答:网闸是由软件和硬件组成的设备。
3、问题:网闸硬件设备是由几部分组成?
解答:网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。
4、问题:单向传输用单主机网闸可以吗?
解答:网闸的组成必须是由物理的三部分组成,所以单主机(包括多处理器)的安全产品并不是网闸产品,无法完成物理隔离任务。其所谓的单向传输只是基于数据包的过滤,类似防火墙产品,并不是物理隔离产品。
5、问题:为什么要使用网闸?
解答:当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是物理隔离网络之间数据交换的最佳选择。
6、问题:政府机关上网计算机为什么必须内外网物理隔离?
解答:在政府建立内部网的工程中,安全保密问题一直是工程建设的重点内容,这是因为内部网中的信息常常是涉密或内部信息。为此,国家明确规定涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离,以确保国家秘密的安全。
7、问题:为什么说网闸能够防止未知和已知木马攻击?
解答:通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过网闸进行通讯。从而可以防止未知和已知的木马攻击。
8、问题:网闸能取代防火墙吗?
解答:无论从功能还是实现原理上讲,网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。
9、问题:网闸通常布置在什么位置?
解答:网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对网闸进行管理。
10、问题:网闸是否可以在网络内部使用?
解答:可以,网络内部安全级别不同的两个网络之间也可以安装网闸进行隔离。
11、问题:如果对应网络七层协议,网闸是在哪一层断开?
解答:如果针对网络七层协议,网闸是在硬件链路层上断开。
12、问题:有了防火墙和IDS,还需要网闸吗?
解答:防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上网闸将会形成一个很好的防御体系。
13、问题:网闸适用于什么样的场合?
解答:第①种场合:涉密网与非涉密网之间。
第②种场合:局域网与互联网之间。有些局域网络,特别是政府办公网络,涉及敏感信息,有时需要与互联网在物理上断开,用物理网闸是一个常用的办法。
第③种场合:办公网与业务网之间
由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理网闸,实现两类网络的物理隔离。
第④种场合:电子政务的内网与专网之间
在电子政务系统建设中,要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理网闸来实现。
第⑤种场合:业务网与互联网之间
电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。
虽然,网闸使用很广泛,但是它也存在一定的缺陷,首先技术不成熟,没有形成体系化。网闸技术是一项新兴的网络安全技术,尚无专门的国际性研究组织对其进行系统的研究和从事相关体系化标准的制定工作。对其工作原理的界定也很模糊,在国外,一些应用的比较多的网闸产品,比如国外的e-Gap(Whale公司)和Air Gap AG系列,本质上它们是一种内容过滤型防火墙,由于支持交互式会话,严格意义上已经不属于物理隔离产品。国内的网闸成熟产品少,由于诸多原因,也并未得到充分推广。其次可能造成其他安全产品不能正常工作,并带来瓶颈问题,安全性和易用性始终是一对矛盾,在已有的防火墙,VPN,AAA认证设备等安全设施的多重构架环境中,网闸产品的加入,使网络日趋复杂化,正常的访问连接越来越多的被各种不可见和不易见因素所干扰和影响,已经配置好的各种网络产品和安全产品,可能由于网闸的配置不当而受到影响。由于多重过滤的安全设施结构,网闸的加入使瓶颈问题更加突出。因为电子开关切换速率的固有特性和安全过滤内容功能的复杂化,目前网闸的交换速率已接近该技术的理论速率极限,可以预见在不久的将来,随着高速网络技术的发展,网闸在交换速率上的问题将会成为阻碍网络数据交换的重要因素文章来源:https://www.toymoban.com/news/detail-439752.html
到了这里,关于网闸的工作原理的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
