我们经常遇到“网闸”这个名词,只知道网闸和防火墙类似,用于边界,是保障边界安全的一款设备,直到真正接触到网闸,才知道网闸和防火墙是完全不同的产品。网闸是我国安全领域独有的一款设备,其来源于国家的规定:涉密网及国家重大基础设施网络必须与公网进行物理隔离。网闸(GAP)也由此而诞生。
网闸是一种典型的“2+1”模式,即“内外网模块+隔离交换矩阵”,内外网分别采用独立的系统,互相不信任,实现了真正的物理隔离。网闸的信息交换如下:
1、当内网传来数据时,通过内网网闸进行数据提取以及数据格式转换交给隔离交换的模块
2、交换模块收到之后,断开与内网网闸的连接,连接到外网,将数据传输到外网网闸
3、外网网闸收到后,经过数据提取以及相应的数据格式转换传送给相应的客户端,至此网闸的一次传输过程完成。
个人认为网闸的核心就在交换模块。一般的病毒、木马、黑客的各种攻击必须通过某种协议做为载体进行破坏,而网闸的交换模块不允许有协议的连接通过,这就意味着网闸的内外网是互相隔离的,这意味着网络IP包不能从一个网络流向另外一个网络。并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。物理隔离网闸的一个明显特征就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。因此物理隔离网闸技术除可以实现物理隔断外,还可以允许可信网络和不可信网络之间的数据、资源和信息的安全交换。(支持SFTP、FTP、SMA、NFS、数据库的访问、数据库同步等等)所以物理隔离网闸的好处就是即使外网在最坏的情况下,内网不会有任何破坏。修复外网系统也非常容易。
那么网闸功能这么强大,是否可以取代防火墙呢,答案肯定是否定的。防火墙呢,一般是基于网络层和传输层的控制(基于五元组“源目IP、源目端口、协议”)来进行访问控制。对于应用层控制不如网闸,而网闸对于应用层的控制更加细致化,更加深度化,但是对于网络层和传输层的控制则不如防火墙。防火墙的主要在作用就是安全域的划分(逻辑隔离)以及边界的访问控制而网闸则是在内外网之间进行数据的“摆渡”(物理隔离),相比之下,网闸的安全级别大于防火墙,但是处理报文的速率要低于防火墙。