网闸穿透原理与安全-wwi

1、引言

随着公司一些局端应用系统的在各地的部署、上线，大家越来越多听说或者接触到网闸的概念，也基本都知道网闸能进行物理隔离的原理，大致就是相当于三台机器，在两个网络之间进行高速切换，以安全、高效的摆渡数据，其原理大致如下：

硬件结构原理图

Copyright Reserved by 天行网安2000-2002

但是，随着一些业务系统对实时性要求的提高，传统网闸的文件搬运已经无法满足大多数应用的需要，所以越来越多的出现所谓的“穿透性的网闸”，简单说就是对于内外网的应用来说，网闸基本可以看做是透明的，从某种角度看，和防火墙差不多，简单描绘如下：

因此局端系统的设计，也经常需要考虑网闸的这种穿透的特性，讨论应用程序针对性设计，那么在讨论过程中，就发现很多人有疑惑：这种穿透性网闸和防火墙在原理上到底有没有区别？能达到一定的安全性吗？否则为什么客户要花钱买这种设备呢？

注：本文重点不在于描述网闸的物理隔离、摆渡、搬运等内部的原理，这方面读者有兴趣的话，自行找资料深入研究即可；

另注：由于各品牌网闸的穿透原理不尽相同，而且各品牌在对外宣传上都不会突出“穿透”字眼，毕竟没有摆渡方式安全，所以我们接触过的相关网闸技术资料中，即使有穿透，也都是描述如何配置、如何操作的层面，没有相关原理的描述，所以本文的描述是基于我们

某位很有钻研精神的同事在陕西部署系统之际，通过与某品牌网闸工程师的沟通，我们自己汇总出来的，也许与实际并不相符，但这种描述，理论上貌似是可行的，谨供参考。

2、网闸穿透原理

2.1支持几种协议穿透

如上文所述，穿透性网闸，支持好多种网络协议，比如http、ftp等，下面以ftp协议的穿透为例，描述一下其具体的原理：

从图中可以明显看出，网闸对FTP协议的穿透，关键就在于两点：一是利用FTP协议的规范性，就可以模拟FTP服务器端，接受并解析请求，然后再一层层转发该请求直到真实的服务器端；二是通过这种转发，其内部实现可以利用自己的固有的安全协议，对数据进行分片、传递和重组；

2.2支持数据库同步

另外穿透性网闸，一般也都支持数据库同步，其实质并不是真的数据库穿透，也就是说网闸一边的系统，是肯定不能直接访问到另一边的数据库，其同步的原理，大致就是通过相关设置，使得数据库中某张表的数据一旦变更（增、删、改），就能够被网闸检测到，并能将其按一定规则组织成数据包交换到网闸的另一侧，同时网闸另一侧能够根据相关设置，主动去更新目标数据库中对应表的数据，具体示意图如下：

3、网闸穿透的安全性

3.1与防火墙相比

针对上文介绍协议穿透网闸的原理，可以看出其和防火墙的原理还是有很大区别的，最主要的区别就在于网闸是在逻辑层上的协议转发，而防火墙则直接是物理层上的端口转发，理论上端口转发的安全性肯定要更低一些，其大概模型如下：

3.2受到攻击时的处理

那么穿透性网闸在外网受到网络攻击时，是如何处理的呢？能保护内网的安全吗？还是以上文的FTP协议穿透为例，如果有恶意用户，模拟ftp协议发起病毒文件，那么如下图所示，虽然病毒文件会被复制到网闸的相关处理单元，甚至会到达内网的FTP服务器，但是一旦你想通过一些操作系统之类的漏洞，想远程激活或控制该病毒文件，对于这种危险的指令，首先如果不属于网闸所支持的几种穿透协议之一，那肯定不会被转发到内网；其次就算你又能利用标准的ftp、http等协议进行远程攻击，那也最多就是把图中所示的“网闸外网处理单元”给黑掉，内网还是安全的，具体示意图如下：

总结起来，穿透性网闸从原理上看，应该还是有一定的安全性保证的，最少比防火墙之类的产品要安全，当然和基本的摆渡性网闸相比，安全级别肯定要低一点，但考虑到应用对性能的要求越来越高，在性能和安全之间平衡的话，穿透性网闸还是一个不错的选择；