网闸:属于物理隔离的双主机设备,使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。(来源于百度百科)
双主机模式
1、应用场景区别
防火墙:防火墙首先要保证网络的连通性,其次才是安全问题;
网闸:网闸是保证安全的基础上进行数据交换。网闸是两个网络已经存在,现在两个网络不得不互联,互联就要保证安全,网闸是现在唯一最安全的网络边界安全隔离的产品,只有网闸这种产品才能解决这个问题,所以必须用网闸。
2、硬件区别
防火墙是单主机架构,早期使用包过滤的技术,网闸是双主机2+1架构,通过私有的协议摆渡的方式进行数据交换,基于会话的检测机制,由于网闸是双主机结构,即使外网端被攻破,由于内部使用私有协议互通,没办法攻击到内网,防火墙是单主机结构,如果被攻击了,就会导致内网完全暴露给别人。
3、功能区别
网闸主要包含两大类功能,访问类功能和同步类功能,访问类功能类似于防火墙,网闸相对于防火墙安全性更高的是同步类功能。
网闸隔离
网闸的主要特点:1、安全高效的体系架构,隔离卡中间走的是私有协议。2、专用的隔离交换模块 。3、操作系统安全可靠 ,内外网主机模块应采用自主安全可靠的操作系统。4、深度应用层解析过滤能力。5、深度应用层攻击防御能力 。6、强大的网络适应能力。7、丰富的应用模块安全隔离与信息交换系统采用模块化的系统结构设计。8、网闸技术要求,进行有效的隔离。 9、获得相应的等保资质。
网闸常见问题:
问题1:网闸适用于什么样的场合?
解答:第①种场合:涉密网与非涉密网之间。
第②种场合:局域网与互联网之间。有些局域网络,特别是政府办公网络,涉及敏感信息,有时需要与互联网在物理上断开,用物理网闸是一个常用的办法。
第③种场合:办公网与业务网之间
由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理网闸,实现两类网络的物理隔离。
第④种场合:电子政务的内网与专网之间
在电子政务系统建设中,要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理网闸来实现。
第⑤种场合:业务网与互联网之间
电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。
问题2:有了防火墙和IDS,还需要网闸吗?
解答:防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上网闸将会形成一个很好的防御体系。