網絡安全設備：網閘 Draft 0 個改進

網閘是使用帶有多種控制功能的固態開關讀寫介質，連接兩個獨立主機系統的信息安全設備。由于兩個獨立的主機系統通過網閘進行隔離，使系統間不存在通信的物理連接、邏輯連接及信息傳輸協議，不存在依據協議進行的信息交換，而只有以數據文件形式進行的無協議擺渡。因此，網閘從邏輯上隔離、阻斷了對內網具有潛在攻擊可能的一切網絡連接，使外部攻擊者無法直接入侵、攻擊或破壞內網，保障了內部主機的安全。

網閘技術

由兩套各自獨立的系統分別連接安全和非安全的網絡，兩套系統之間通過網閘進行信息擺渡，保證兩套系統之間沒有直接的物理通路。在通信過程中，當存儲介質與安全的網絡連通時，斷開與非安全網絡連接；當與非安全網絡連通時，斷開與安全網絡的連接；通過分時地使用兩套系統中的數據通路進行數據交換，以達到隔離與交換的目的。此外，在數據交換過程中，需同時進行防病毒、防惡意代碼等信息過濾，以保證信息的安全。
　　根據國家保密局公開的文獻資料，我國目前流行的網絡隔離技術的產品和方案如下：
　　（1）獨立網絡方案
　　根據信息保密需求的不同，將信息存放到兩個獨立的網絡中。其一是內部網絡，用于存儲、處理、傳輸涉密信息；另一個是外部網絡，與互聯網相連。內部網絡和外部網絡物理斷開。兩個網絡之間如果有數據交換需要，則采用人工操作（如通過軟盤、磁帶等）的方式。
　　（2）終端級解決方案
　　用戶使用一臺客戶端設備排他性選擇連接內部網絡和外部網絡，主要類型可分為以下幾種。
　　（1）雙主板，雙硬盤型：通過設置兩套獨立計算機的設備實現，使用時，通過客戶端開關分別選擇兩套計算機系統。
　　（2）單主板，雙硬盤型：客戶端通過增加一塊隔離卡、一塊硬盤，將硬盤接口通過添加的隔離卡轉接到主板，網卡也通過該卡引出兩個網絡接口。通過該卡控制客戶端存儲設備，同時選擇相應的網絡接口，達到網絡隔離的效果。
　　（3）單主板，單硬盤型：客戶端需要增加一塊隔離卡，存儲器通過隔離卡連接到主板，網卡也通過隔離卡引出兩個網絡接口。對硬盤上劃分安全區、非安全區，通過隔離卡控制客戶端存儲設備分時使用安全區和非安全區，同時對相應的網絡接口進行選擇，以實施網絡隔離。

技術原理

網閘實現了內外網的邏輯隔離，在技術特征上，主要表現在網絡模型各層的斷開。

（1）物理層斷開

網閘采用的網絡隔離技術，就是要保證網閘的外部主機和內部主機在任何時候是完全斷開的。但外部主機與固態存儲介質，內部主機與固態存儲介質，在進行數據傳遞的時候，有條件地進行單個連通，但不能同時相連。在實現上，外部主機與固態存儲介質之間、內部主機與固態存儲介質之間均存在一個開關電路。網絡隔離必須保證這兩個開關不會同時閉合，從而保證OSI模型上的物理層的斷開機制。

（2）鏈路層斷開

由于開關的同時閉合可以建立一個完整的數據通信鏈路，因此必須消除數據鏈路的建立，這就是鏈路層斷開技術。任何基于鏈路通信協議的數據交換技術，都無法消除數據鏈路的連接，因此不是網絡隔離技術，如基于以太網的交換技術、串口通信或高速串口通信協議的USB等。

（3）TCP/IP協議隔離

為了消除TCP/IP協議（OSI的3~4層）的漏洞，必須剝離TCP/IP協議。在經過網閘進行數據擺渡時，必須再重建TCP/IP協議。

（4）應用協議隔離

為了消除應用協議（OSI的5~7層）的漏洞，必須剝離應用協議。剝離應用協議后的原始數據，在經過網閘進行數據擺渡時，必須重建應用協議。

功能

網閘就是要解決目前網絡安全存在的下述問題。

（1）對操作系統的依賴，因為操作系統也有漏洞；

（2）對TCP/IP協議的依賴，而TCP/IP協議有漏洞；

（3）解決通信連接的問題，內網和外網直接連接，存在基于通信的攻擊；

（4）應用協議的漏洞，如非法的命令和指令等。

網閘的指導思想與防火墻有下述很大的不同。

（1）防火墻的思路是在保障互聯互通的前提下，盡可能安全；

（2）網閘的思路是在保證必須安全的前提下，盡可能互聯互通，如果不安全則隔離斷開。

網閘的安全配置

（1）網閘產品應有國家相關安全部門的證書。
　　（2）網閘設置加長口令，網絡管理人員調離或退出本崗位時口令應立即更換。
　　（3）網閘密碼不得以明文形式出現在紙質材料上，密碼應隱式記錄，記錄材料應存放于保險柜中。
　　（4）監控配置更改，改動網閘配置時，進行監控。
　　（5）定期備份配置和日志。
　　（6）明確責任，維護人員對更改網閘配置的時間、操作方式、原因和權限需要明確，在進行任何更改之前，制定詳細的逆序操作規程。