網閘（GAP）全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。網閘在兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息才可以通過。其信息流一般為通用應用服務。

 

網閘的一個基本特征，就是內網與外網永遠不連接，內網和外網在同一時間最多只有一個同隔離設備建立數據連接，可以是兩個都不連接，但不能兩個同時都連接。

 

網閘的硬件主要包括三部分：分別是專用安全隔離切換裝置（數據暫存區）、內部處理單元和外部處理單元。系統中的專用安全隔離切換裝置分別連接內部處理單元和外部處理單元。這種獨特和巧妙的設計，保證了安全隔離切換裝置中的數據暫存區在任一時刻僅連通內部或者外部處理單元，從而實現內外網的安全隔離。

 

網閘就是要解決目前網絡安全存在的下述問題：

 

（1）對操作系統的依賴，因為操作系統也有漏洞；

 

（2）對TCP/IP協議的依賴，而TCP/IP協議有漏洞；

 

（3）解決通信連接的問題，內網和外網直接連接，存在基于通信的攻擊；

 

（4）應用協議的漏洞，如非法的命令和指令等。

 

網閘作用

 

1、抵御基于操作系統漏洞攻擊行為

 

安全隔離網閘的雙主機之間是物理阻斷的，無連接的，因此，黑客不可能掃描內部網絡的所有主機的操作系統漏洞，無法攻擊內部，包括安全隔離網閘的內部主機系統。

 

2、抵御基于TCP/IP漏洞的攻擊

 

由于安全隔離網閘的主機系統把TCP/IP協議頭全部剝離，以原始數據方式在兩主機系統間進行“擺渡”，網閘的接受請求的主機系統與請求主機之間建立會話，因此，對于目前所有的如源地址欺騙、偽造TCP序列號、SYN攻擊等TCP/IP漏洞攻擊是完全阻斷的。

 

3、抵御木馬將數據外泄

 

安全隔離網閘對于每個應用都是在應用層進行處理，并且策略需按照應用逐個下達，同時對于目的地址也要唯一性指定，因此內部主機上的木馬是無法實現將數據外泄的。并且木馬主動發起的對外連接也將直接被隔離設備切斷。

 

4、抵御基于文件的病毒傳播

 

安全隔離網閘在理論上是完全可以防止基于文件的攻擊，如病毒等。病毒一般依附在高級文件格式上，低級文件格式則不會有病毒，因此進行文件“擺渡”的時候，可以限制文件的類型，如只有文本文件才可以通過“擺渡”，這樣就不會有病毒。另外一種方式，是剝離重組方式。剝離高級格式，就消除了病毒的載體，重組后的文件，不會再有病毒。這種方式會導致效率的下降，一些潛在的危險的格式可能會被禁止。

 

5、抵御DoS/DDoS攻擊

 

安全隔離網閘自身特有的無連接特性，能夠很好的防止DoS或DDoS攻擊穿過隔離設備攻擊服務器。但也不能抵御針對安全隔離設備本身的DDoS攻擊。

 

6、安全性高

 

內外網主機系統分別有獨立于網絡接口的專用管理接口，同時對于運行的安全策略需要在兩個系統分別下達，并通過統一的任務號進行對應。以此達到高安全。即使系統的外網處理單元癱瘓，網絡攻擊也無法觸及內網處理單元。

 

7、設備聯動

 

可結合防火墻、IDS、VPN等安全設備運行，形成綜合網絡安全防護平臺。