網閘（GAP）全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鍊路層連接，并能夠在網絡間進行安全适度的應用數據交換的網絡安全設備。

網閘在兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且隻有被系統明确要求傳輸的信息才可以通過。其信息流一般為通用應用服務。

網閘的一個基本特征，就是内網與外網永遠不連接，内網和外網在同一時間最多隻有一個同隔離設備建立數據連接，可以是兩個都不連接，但不能兩個同時都連接。

網閘的硬件主要包括三部分：分别是專用安全隔離切換裝置（數據暫存區）、内部處理單元和外部處理單元。系統中的專用安全隔離切換裝置分别連接内部處理單元和外部處理單元。這種獨特和巧妙的設計，保證了安全隔離切換裝置中的數據暫存區在任一時刻僅連通内部或者外部處理單元，從而實現内外網的安全隔離。

1. 專有檢測模塊對請求數據進行合法性檢查，剝離原有協議成裸數據，進行内容檢查；
2. 外網的數據重組模塊對請求數據進行重組，還原為标準通信協議；
3. 外網擺渡傳輸模塊将重組後的信息擺渡到内網；
4. 内網專有檢測模塊對收到外網的數據進行病毒檢查、解析、過濾等處理。
5. 内網的數據重組模塊重組數據，并還原為标準通訊協議，回傳到内網；

• 抵禦基于操作系統漏洞攻擊行為

安全隔離網閘的雙主機之間是物理阻斷的，無連接的，因此，黑客不可能掃描内部網絡的所有主機的操作系統漏洞，無法攻擊内部，包括安全隔離網閘的内部主機系統。

• 抵禦基于TCP/IP漏洞的攻擊

由于安全隔離網閘的主機系統把TCP/IP協議頭全部剝離，以原始數據方式在兩主機系統間進行“擺渡”，網閘的接受請求的主機系統與請求主機之間建立會話，因此，對于目前所有的如源地址欺騙、僞造TCP序列号、SYN攻擊等TCP/IP漏洞攻擊是完全阻斷的。

• 抵禦木馬将數據外洩

安全隔離網閘對于每個應用都是在應用層進行處理，并且策略需按照應用逐個下達，同時對于目的地址也要唯一性指定，因此内部主機上的木馬是無法實現将數據外洩的。并且木馬主動發起的對外連接也将直接被隔離設備切斷。

• 抵禦基于文件的病毒傳播

安全隔離網閘在理論上是完全可以防止基于文件的攻擊，如病毒等。病毒一般依附在高級文件格式上，低級文件格式則不會有病毒，因此進行文件“擺渡”的時候，可以限制文件的類型，如隻有文本文件才可以通過“擺渡”，這樣就不會有病毒。另外一種方式，是剝離重組方式。剝離高級格式，就消除了病毒的載體，重組後的文件，不會再有病毒。這種方式會導緻效率的下降，一些潛在的危險的格式可能會被禁止。

• 抵禦DoS/DDoS攻擊

安全隔離網閘自身特有的無連接特性，能夠很好的防止DoS或DDoS攻擊穿過隔離設備攻擊服務器。但也不能抵禦針對安全隔離設備本身的DDoS攻擊。

• 安全性高

内外網主機系統分别有獨立于網絡接口的專用管理接口，同時對于運行的安全策略需要在兩個系統分别下達，并通過統一的任務号進行對應。以此達到高安全。即使系統的外網處理單元癱瘓，網絡攻擊也無法觸及内網處理單元。

• 設備聯動

可結合防火牆、IDS、VPN等安全設備運行，形成綜合網絡安全防護平台。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!