伟思隔离网闸的优势

伟思网闸与双主机结构系统的技术比较一、物理隔离网闸的系统结构与安全性论述介绍安全隔离与信息交换系统技术，我们想首先介绍安全隔离与信息交换系统的设计原型，通过该原型可以使我们更清晰地了解设计安全隔离与信息交换系统产品的初衷，以及安全隔离与信息交换系统架构自身就具有的其它安全产品无法取代的新安全特性。

1 隔离网闸的安全模型安全隔离与信息交换系统最基本的设计理念来自于一个被称为Sneaker－Net的模型，该模型期望解决这样一个矛盾：如何在最大程度上保护我们私有网络安全的同时又可与外界（如Internet）进行安全的交换数据交换。

Sneaker －Net模型实际上给我们提供了一个很好的解决方案，该解决方案实际上已经在中国电子政务的许多敏感网络上被大量采用。

该模型的结构如图所示：在Sneaker-NET技术中，有一个人来操作，另外包括两个网络：不可信网络和可信网络，这两个网络物理隔断，在大多数Sneaker-NET方案中，也有一个独立的计算机，或者一个与两个网络分离的DMZ区域，用于内容检查。

采用Sneaker-NET技术后，网络信息流如下：1．该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。

2．该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。

检测包括（不仅仅这些）：病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。

3．如果内容检测为不安全或非法，它们将被丢弃；如果内容是安全和合法的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。

4．信息从可信网络传输到不可信网络将也用相似的流程。

在Sneaker-NET模型中，没有人可以从不可信的网络访问和操作控制可信网络上的计算机，所有允许到可信网络的数据都在一个安全的环境中经过详细的审查，这是从不安全环境到安全环境传输信息的一个最安全的方法。

伟思安全隔离与信息交换系统模型带来的新安全特性同传统的防火墙等访问控制技术相比，Sneaker－Net独特的模型结构天然具有了一些其它安全技术难以达到的安全特性，主要包括以下几个方面：1) 对网络层/OS层已知和未知攻击的全面防护能力。

网闸技术构建内外网一体化门户一、序言近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。

电子政务体现在社会生活的各个方面：工商注册申报、网上报税、网上报关、基金项目申报等等。

电子政务与国家和个人的利益密切相关，在我国电子政务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求。

如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。

一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离，在内网与专网之间实行物理隔离。

本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。

二、网闸的概述1、网闸的定义物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。

所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客“无法入侵、无法攻击、无法破坏，实现了真正的安全。

2、网闸的组成网闸模型设计一般分三个基本部分组成：·内网处理单元：包括内网接口单元与内网数据缓冲区。

·外网处理单元：与内网处理单元功能相同，但处理的是外网连接。

·隔离与交换控制控制单元：是网闸隔离控制的摆渡控制，控制交换通道的开启与关闭。

3、网闸的主要功能∙·阻断网络的直接物理连接和逻辑连接∙·数据传输机制的不可编程性∙·安全审查∙·原始数据无危害性∙·管理和控制功能∙·根据需要提供定制安全策略和传输策略的功能∙·支持定时/实时文件交换∙·支持Web方式∙·支持数据库同步三、政府网络中物理隔离技术的应用1、我国网络信息安全现状随着政府上网、海关上网、电子商务等一系列网络应用的蓬勃发展，Inter net正在逐渐融入到社会的各个方面。

伟思信安隔离网闸ViGAP100简介ViGap100系列产品介绍GAP技术创建更加安全的内部网络GAP技术，它创建一个这样的环境，内外两个网络物理断开，但逻辑地相连。

GAP技术在这两个网络之间创建了一个物理隔断，这意味着网络数据包不能从一个网络流向另外一个网络，并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。

对于有连接的PC，黑客使用各种方法，通过网络能够建立连接来对它们进行控制，然而物理隔断却能杜绝这种情况发生。

GAP技术除可以实现物理隔断外，还可以允许可信网络和不可信网络之间的数据、资源和信息的安全交换。

GAP技术带来的最大好处：物理隔断时可信网络安全同时允许在线式实时访问不可信网络。

伟思的ViGap产品正是引用了国际上最先进网络安全技术（第二代GAP技术）设计的安全网关，通过它的专用硬件保证内部网络与不可信网络物理隔断，能够阻止各种已知和未知的网络层和操作系统层攻击，提供比防火墙、入侵检测等技术更好的安全性能，并通过基于硬件的反射技术，实现在线式实时访问不可信网络（如Internet）,通过强大的协议检查、内容审查、用户审计等手段来确保内外网资源、信息和数据的安全交换。

所有ViGap100设备包含以下功能：◆反射GAP功能◆系统日志和报警显示◆日志存档和备份功能◆流量控制特性◆支持DNS协议检查◆支持SNMP、WebTrends™ 和SysLog™外部系统日志◆丰富的图形用户接口（GUI）管理和规则库系统◆远程的、加密的和论证的策略管理系统◆为多ViGap提供集群和负载平衡能力ViGap100优点：◆已知或未知的对网络层和操作系统层的攻击◆可信网络与不可信网络物理隔断的同时，提供对它的实时访问◆提供一个附加的安全层来保护网络的同时，不会降低速度和性能◆阻止攻击进入可信网络，提高关键服务器正常运行时间◆强迫流量控制来保护基础设备免受DoS攻击◆在可信网络端创建所有的安全策略◆在配置ViGap后能提高和增强一个组织现有的安全级别◆服务器OS的安全漏洞的修复需求大大减少，降低维护费用ViGap100系列产品的特性◆并发会话能力◆反射GAP内部数据交换速度：1GB/秒ViGap100设备都可以使用以下的软件包WEB (W)软件包包含以下内容：◆ HTTP/HTTPS协议检查◆ FTP协议检查◆激活PKI◆对保密数据进行文件格式检查◆关键字搜索EMAIL (E)软件包包含以下内容：◆SMTP/POP3协议检查◆对保密数据进行文件格式检查◆关键字搜索◆电子邮件通知和报警INTERNET (N)软件包：◆同时包含WEB (W)软件包和EMAIL (E)软件包策略管理工具高粒度协议检查◆对协议关键字和命令进行全面控制◆灵活的数据类型管理◆用户指定的文件名和扩展名◆精确地定义访问定义目录、子目录和文件◆内置HTTPS分析支持◆内置论证支持（PKI，LDAP，RADIUS）◆嵌入关键字搜索引擎◆内置文件格式检查ViGap构架更加安全的电子商务和电子政务网络◆电子商务和电子政务对外或分支机构提供服务◆防火墙保护内部网络访问互联网的安全◆在防火墙DMZ区直接安装对外服务的服务器不够安全◆ ViGap保证对外服务的服务器的安全◆在DMZ区安装ViGap保证对外服务的服务器更加安全应用领域◆政府机构◆金融机构◆公安◆税务◆企事业单位的电子商务或电子政务系统中◆其它需要提高网络安全级别的组织机构硬件规格。

伟思安全隔离网闸Vigap300型号的配置说明与注意事项配置前的准备工作：1)网闸外观和接口2)实施前要知道客户的网络拓扑图，根据客户应用决定网闸需要安装在哪个节点，和网闸需要的IP地址数3)先把用来配置网闸的电脑IP修改成10.119.119.*（119除外），掩码255.255.255.0，安装控制平台后会在桌面生成一个快捷图标，对应的是所在安装目录的4)用直连网线（B类线）连上网闸可信端网口（网闸默认内网口和外网口各两个，只有中间的两个可以用），ping 10.119.119.119测试网络连接是否正常，然后进行配置。

5)网闸开箱默认模式是set模式，根据需要可以在控制平台里进行模式转换。

（透明模式管理IP：172.26.78.1，禁ping，可以telnet ip 112测试）网闸配置的一般步骤：1)双击桌面快捷图标启动管理平台，默认用户名：admin，密码：admin05。

进入管理平台，如下图：主页面分三部分，安全隔离与信息交换设备，系统安全审计功能，访问控制规则表。

一般很少用到系统安全审计功能。

2)安全隔离与信息交换设备页面，右键点击隔离设备，选择添加（注意：一定要保证设备已经开机，笔记本已经连接设备可信端接口，并配置IP已经测试连通性，如果笔记本与设备之间的网络不通的情况下，在该页面添加设备会报错），然后弹出如下图对话框点下一步会跳到配置IP信息及系统名的页面如下图如上图标注，其中可信端的IP地址是灰色，鼠标无法选中并配置（300的设备可信端的接口地址是没办法在这个页面进行配置的，即使IP不配，配置上网关和掩码也是不生效的），配置好IP信息后点击下一步会跳到选择设备配置中需要用到的内网和外网所需要开放的对应服务端口信息页面，默认全选上（在后面的文档中会介绍到这一部分）。

最后点击完成，回到如下图的界面。

3)切换到访问控制规则表页面，如下图这个页面里主要是配置配置过程中所用到的端口及详细控制访问策略。

隔离网闸的应用讨论南京高等职业技术学校计算机管理系邱敏摘要：随我国信息化建设和电子政务的发展，核心隔离网络与开放网络间在物理隔离基础上进行适度、可控和安全的数据交换的需求日益凸显，网闸设备也因此而被广泛应用。

但实际在使用中，部分用户却不能明了网闸的工作特性，甚至不能分辨其与网桥、防火墙的区别，造成了网闸的使用风险和不便。

本文从分析隔离网闸的工作原理出发，对其从工作特点、与防火墙区别、使用条件、应用注意事项等方面进行了讨论，为用户更好的使用网闸提供了经验。

关键字：网闸、隔离、安全1．概述随互联网上病毒、入侵、网络攻击等计算机犯罪日益严重并泛滥，往往防火墙等网络安全设备也不能保证单位内部网络的安全。

出于保护核心信息网络安全的目的，大量重点单位采用的手段常常是实现核心网络与其它网络的物理隔离，并且禁止网内计算机的光驱、USB 口等数据输入设备的使用。

然而，这样的封闭方法往往造成了网络使用的极大不便，为了解决这样的难题，在现今的诸多应用中，常采用在高安全要求的内部网络和低安全等级的外部网络间架设隔离网闸，保障内网安全且同时实现跨网络数据交流。

网闸技术最早起源于美国、以色列军方，方法是通过自动方式来模拟人工通过磁盘在外网和内网之间进行数据交换的过程。

其基本流程是网闸设备提取网络数据包中的应用数据，进行安全审查，从而实现数据的安全交换。

但由于内网、外网公用数据处理系统，网闸无法满足隔离的要求，属于非隔离方式。

随技术发展，现今广泛使用的网闸均采用双主机形式（见图1），其间的安全数据交换通过专用硬件通信卡或传输链路使用数据摆渡方式实现。

显然，这样的结构可以保障网闸从物理上阻断潜在攻击的连接，网闸两端没有通信连接，没有命令控制，没有传输协议，没有TCP/IP各层连接，也没有数据包的转发，只能通过网闸两端主机对连接介质‘写’、‘摆渡’、‘读’实现数据传输。

我们常称这样的网闸为隔离网闸。

图1网闸结构示意图目前，网闸在我国已经拥有了大量的用户，多集中在政府、媒体、公安、金融、电力等对安全性要求很高的部门。

伟思信安隔离网闸ViGap技术白皮书珠海经济特区伟思有限公司技术支持部请保护环境，注意纸张的回收利用版权信息本文件涉及之信息，属珠海伟思（集团）有限公司所有。

未经珠海伟思（集团）有限公司允许，文件中的任何部分都不能以任何形式向第三方散发。

ViGap、VieCA为珠海伟思（集团）有限公司系列产品，珠海伟思（集团）有限公司完全拥有知识产权，并受国际知识产权法律保护。

目录一、概述 (4)1.1、网络安全现状 (4)1.2、现有网络安全技术 (4)1.3、现有网络安全技术的缺陷 (5)1.4、GAP技术简介 (6)1.4.1、GAP模型的实现 (7)1.4.2、协议的分拆与重组 (8)二、ViGap介绍 (9)2.1、ViGap产品简介 (9)2.2、ViGap产品原理 (10)三、ViGap功能 (11)3.1、ViGap产品定位 (11)3.2、ViGap产品功能 (12)四、ViGap产品性能 (15)4.1、ViGap产品技术指标 (15)4.2、ViGap产品硬件 (16)五、ViGap产品应用 (16)5.1、通用解决方案 (17)5.2、重要网络数据资源保护 (17)5.3、“数据大集中”应用模式 (18)5.4、“外网受理，内网处理”模式的应用 (19)附录一、与防火墙产品的比较 (21)包过滤防火墙 (21)应用代理防火墙 (21)全状态检测(stateful inspect)防火墙 (23)ViGap网络隔离网闸 (23)一、概述1.1、网络安全现状计算机网络的广泛应用是当今信息社会的一场革命。

电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利，而且正在创造着巨大的财富，以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次不断深入，应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

与此同时，计算机网络也正面临着日益剧增的安全威胁。

层出不穷的网络入侵，网络泄密事件给国家敲响了警钟，为了避免和降低入侵、泄密的可能国家提出了国家重要职能部门的办公专网与互联网、不同秘级的网络之间、重要服务器需要采用物理隔离。

根据这一要求国内也就应运而生出网闸这个产品。

网闸是一种新生产品，大家对他的工作原理和安全特性都缺乏认识，由于本人在网闸行业从业数年，对网闸略有研究，希望通过这片文章让大家对网闸有一定的了解。

帮助那些有这类需求的朋友选择更为适合自己的产品。

网闸在国内的叫法很多，有的叫安全隔离网闸、物理隔离网闸、安全隔离与信息交换系统，但都是为了实现同一个安全目标而设计的，那就是确保安全的前提下实现有限的数据交流。

这点是与防火墙的设计理念截然不同的，防火墙的设计初衷是为了保证网络连通的前提下提供有限的安全策略。

正是设计目标的不同，所以注定了网闸并不是适用于所有的应用环境，而是只能在一些特定的应用领域进行应用。

目前国内做网闸的厂家不少，一般支持WEB、MAIL、SQL、文件几大应用，个别厂家支持视频会议的应用。

在TCP/IP协议层上又划分出单向产品和双向产品，双向产品属于应用层存在交互的应用如WEB、MAIL、SQL 等常见应用都是双向应用。

单向应用意为应用层单向，指的是在应用层切断交互的能力，数据只能由一侧主动向另一侧发送，多应用于工业控制系统的DCS网络与MIS网络之间的监控数据传输，这类产品由于在应用层不存在交互所以安全性也是最好的。

大家看了上面的部分一定会想WEB、MAIL、SQL这类应用防火墙也能做到很好的保护啊，网闸的优势在呢？首先要说到网闸的硬件设计了。

网闸为了强调隔离，多采用２＋１的硬件设计方式，即内网主机＋专用隔离硬件（也称隔离岛）＋外网主机，报文到达一侧主机后对报文的每个层面进行监测，符合规则的将报文拆解，形成所谓的裸数据，交由专用隔离硬件摆渡到另一侧，摆渡过程采用非协议方式，逻辑上内外主机在同一时刻不存在连接，起到彻底切断协议连接的目的。

伟思安全隔离网闸Vigap500型号的配置说明与注意事项（500的设备是基于b/s结构的，即可以通过浏览器直接访问来配置的，另外500的设备配置过程中要注意的是设备默认是不支持可信端与非可信端一个网段，如果需要，可以修改某些参数来实现。

）1)配置前的准备工作：1)500设备的默认管理地址是https://192.168.0.254:10000，用户名：admin，密码：888888。

如果来配置一台新设备，首先我们将用来配置网闸的电脑IP修改成192.168.0.*（254除外），掩码255.255.255.0。

然后用直连网线（B类网线）连接设备可信端的NIC0口，然后ping 192.168.0.254，测试网络连通性。

如果没问题，直接打开IE，地址栏输入https://192.168.0.254:10000，回车登录。

2)新设备如果网络不通，重新启动下设备，观察设备前面板左下角的两个硬盘指示灯，开机过程中，有没有硬盘数据灯闪烁，2个都闪烁，可以排除硬盘和主板的故障，可以尝试下串口恢复下设备配置。

（发货过程中，由于物流方面的拿放不当，可能造成设备出现故障）2)网闸配置的一般步骤：1)IE地址栏直接输入https://IP:10000（IP为可信端或者非可信端IP，其中如果客户不需要从非可信端IP访问配置页面，可以在隐藏页面关闭，登录进设备后，隐藏页面为https://IP:10000/firewall），回车，弹出证书页面，选择是，用户名：admin，密码：888888。

弹出如下登录界面：2)接口配置：“接口配置”包括：模式选择和接口配置。

模式选择：系统默认模式为SAT+NAT模式，该模式是转源的（注意：有些认证系统是从源mac来登记的，该情况只能用不转源模式来实现）。

如果需要可以转换成SAT模式，该模式不转源。

接口配置：如下图，其中不可信端可以直接配置接口IP地址及网关，可信端只能配置相应的IP地址，如果下面挂的有三层设备，需要指回程路由，可以在下面的网络配置下静态路由中可信端添加。

隔离内外网要的是安全欧太太快把欧主管逼疯了。

十一前夕，欧主管工作特别忙，天天深更半夜回家不说，连双休日都没个休息。

欧太太不但没体贴照顾，还急催着欧主管联系I博士、钱经理，要他在节前安排个小聚会。

目的是给她出一套“隔离”建议。

谁让欧主管“妻管严”呢？迫于威逼的压力，9月25日下午，把人招呼到自己家。

隔离内外网要的是安全确切定义网闸技术应该是：通过专用硬件，使两个或者两个以上的网络在不连通的情况下，实现安全数据传输和资源共享的技术。

欧太太一身素装，温文尔雅地坐入沙发中，显出不少妩媚。

让平时无话不说、玩笑中带荤腥味儿的三哥们儿略显拘束。

欧太太轻声细语地开始了她的倾述。

增节点还是配双网卡？“我们是家股份制银行，银行信息化建设时间不长，从建设之初，就对安全考虑不充分，内外网一直没有完全分开。

前不久，兄弟单位的下属单位发生了安全事件，给我们敲响了警钟。

我们很担心内网的办公机密、用户账户等信息流入外网，进而被黑客盗取。

”欧太太接着说，“目前，我们当务之急是分开内外网。

由于网络建设比较完善，如果现在分开内外网，工作量很大。

”比如，当前每个人只有一个节点，要分开内外网，有一种办法是给每个人再配一个节点。

对于1000多人的银行，这是一个不小的工作重负。

建行就是这么做的，一人两台机器，一台用于内网办公，一台用于外网访问。

办公极为不方便，还占用了大量的工作空间。

还有一种办法是在单机上安装双网卡、双硬盘。

这意味着计算机要升级。

升级计算机不仅提高了投入成本，同样也增大了工作量。

“今天请大家来，是想让大家帮忙出出主意，分析一下采用哪种方法更好，也就是说，哪种方法更容易实现，投入更小。

”话一口气说完，娇小的欧太太脸上泛起红晕。

这个问题难住了钱经理，爱说的他闭口无言。

欧太太将目光略过欧主管，投向了满脸书卷气的i博士。

她知道，在这个问题上，欧主管是个外行。

隔离内外网，网闸有高招儿i博士明白她的眼神，接着她的话表了自己的态，“我看，哪种方法都不可取。

隔离网闸的需求与原理及伟思ViGap300隔离网闸的优势一、隔离网闸的应用需求与工作原理我国电子政务发展过程中一直重视安全问题，按照国家相关保密要求，内网与互联网等外部网络必须实现绝对物理隔离，即断开物理线路上的电气连接。

由于没有物理连接通道的存在，因此，黑客没有可能连接到内网并对内网主机进行控制和破坏。

物理隔离技术概念清晰、功能明确避免了系统漏洞、安全软件设计缺陷、访问控制策略不严谨、人为错误等网络安全防御的不确定因素，在保护内网安全方面起到了其它网络安全技术所不可替代的作用，具有极高的安全可靠性。

我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条就明确规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。

实际上在各级政府系统中，物理隔离方式早已应用，在互联网与机关办公网即实现了严格的物理隔离，使得办公网处于与外界物理隔断的安全环境。

随着电子政务的进一步发展，物理隔离创造了大量各自封闭的信息孤岛，这些封闭网络间的信息交换成为了阻碍信息化发展的瓶颈。

根据应用的需求，国家相关保密部门制定了在物理隔离环境下进行数据交换的工作模式――手工电子拷盘方式，该模式很早就在政府各级部门中应用，其结构如下：手工电子拷盘实现物理隔离环境下信息交换有一个管理员来操作，另外包括两个网络：不可信网络和可信网络，这两个网络物理隔断，在大多数情况中，还有一台独立于内外网的计算机，用于在拷盘过程中对所要交换的内容进行检查。

其网络信息流如下：1．该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。

2．该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。

检测包括（不仅仅这些）：病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。

3．如果内容检测为不安全或非法，它们将被丢弃；如果内容是安全和合法的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。

⽹闸
简介
⽹闸（GAP）全称安全隔离⽹闸(⼆层安全设备)。

安全隔离⽹闸是⼀种由带有多种控制功能专⽤硬件在电路上切断⽹络之间的链路层连接，并能够在⽹络间进⾏安全适度的应⽤数据交换的⽹络安全设备。

相⽐于防⽕墙，能够对应⽤数据进⾏过滤检查，防⽌泄密、进⾏病毒和⽊马检查。

⽹闸是使⽤带有多种控制功能的固态开关读写介质连接两个独⽴主机系统的信息安全设备。

由于物理隔离⽹闸所连接的两个独⽴主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据⽂件的⽆协议"摆渡"，且对固态存储介质只有"读"和" 写"两个命令。

所以，物理隔离⽹闸从物理上隔离、阻断了具有潜在攻击可能的⼀切连接，使"⿊客"⽆法⼊侵、⽆法攻击、⽆法破坏，实现了真正的安全
功能
安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、⾝份认证。

⽹闸部署
部署于不同区域之间物理隔离、不同⽹络之间物理隔离、⽹络边界物理隔离，也常⽤于数据同步、信息发布等。

(5) (5) (28)与此同时，计算机网络也正面临着日益剧增的安全威胁。

广为网络用户所倍的速度增长，网页被修改、非法进入主针对上表所示的各种网络安全问题，全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题，这些技术包括访问控制技术、识别和鉴别技术、入侵检测技术也存在着局限性。

其最大的局限性就是漏报和误报严重，它的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝TCP连接，连接、不可信端到可信端的专有封值得提出的是，ViGap不但在逻辑上终止了TCP对话，还从物理上断开了内外网络之间的连接，使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。

GAP技术的关键技术要点是：要点描述Inject攻脚本等各类应内网管理配置，策略存储均在内网进行，避免外部任何威胁对设备自身的－1000三、ViGap 功能3.1、ViGap 产品定位现有的各项网络安全技术可以在一定程度上解决已知的部分网络安全问题，但是，对于网络应用中每时每刻都在发生和产生的每一种新的网络蠕虫、DoS 攻击、分布式DoS 、缓冲区溢出攻击等各类网络安全问题，已有的各类网络安全技术中，仍然没有一种能彻底预防的安全技术来确保一个企业的信息系统的安全。

即使是使用一些高级的安全技术，例如网络防火墙，加密技术和代理，但是对任何一个单一的安全技术，网络安全问题都得不到很好的解决。

下图示意描述了现今可用的各种网络安全解决方案，在这个示意图中，按照应用的不同，网络本身被分为两个部分，即网络层和应用层。

而在各种网络安全方法中，包括了防范已知网络安全问题和未知网络安全问题的方法，各种网络安全技术都分别解决了相应部分的网络安全问题。

GAP 安全解决方法优势在于它既能阻塞又能预防。

阻塞发生在已经知道的攻击而预防则是对于未知的攻击。

已知防护措施（阻塞）未知防护措施（防护）网络层保护应用层保护FireWallApplicationProxyApplication ScannerViGap在上图的左上部分，是防火墙产品主要防范的网络安全问题，它能够对已知的攻击提供适当的保护，这也就意味着防火墙必须进行调整来鉴别威胁。

伟思网络安全隔离网闸（350）
无
【期刊名称】《网上俱乐部：电脑安全专家》
【年(卷),期】2005(000)002
【摘要】近期，珠海伟思(集团)有限公司推出了“网络安全隔离网闸（350)”。

该新品采用了国际上先进的第二代GAP网络安全技术，同时具备网关功能。

它可以有效地保证内部网络与不可信网络物理隔断，能够阻止各种已知或未知的网络层和操作系统层攻击。

通过其强大的协议检查、内容审查和用户审计等手段，能够有效确保内外网资源，实现信息和数据的安全交换。

【总页数】1页(P12)
【作者】无
【作者单位】无
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.安全隔离网闸在油田物联网中的应用探讨 [J], 余忠凯;吴金峰;吴美华;陈戈
2.机密网络的"门神"--联想网御安全隔离网闸解决方案 [J], 刘晶妹
3.安全隔离网闸在内外网系统中的设计与应用r——以福建广电为例 [J], 林善志
4.浅谈安全隔离网闸在我院的应用 [J], 程学波
5.安全隔离网闸在流程工业现场的应用 [J], 尹红媛;汪建凯
因版权原因，仅展示原文概要，查看原文内容请购买。

＾ｊｒＧ＆ｐ机制及实现研究一方面可以证蹰这条信息确实是此发信者发出的，而艇事后未经过他人的改动（因为只有发信学才知道自己的强人钥匙）；男～方巅瞧确缀发信者对自己发ｍ的消息负责，消息一盥发出并署了名，他就无法再否认这～事实。

秘采甄霭要缳密叉希蘩署名，剿可敬褥上纛分绍懿嚣会多骤合黉起来。

即鼓信者先用自己的私人钥匙署名再用收信者的公用钥匙加密，再发绘对方。

反过来投僚者只嚣耀謇己瓣私久钥邈耱袋，再爱发信者鹣公蔫鞘鏊验谖签名。

这个过程说起来有些繁琐，实际上很多软件都可以只用一条命令实现这些功能，非常简便辱行。

在网络传输中，加密技术是一种效攀嵩而又灵活豹安全手段，值得在企业网络申加以推广。

目前，加密算法有多种，大多源于美国，但是大多受到美围魍口蛰制法麴浆割。

现在金融系统粒商界簧遍搜掇躲算法是美晷数据热密标准ＤＥＳ。

近几年来我国对加密算法的研究主要集中在密码强度分析和实蠲偬凝究上。

除了上面介绍的几种之外，还有一魑被广溅应用的网络安全技术，在此骰…拿篱蘩奔缓。

１．２．４身份验证身份验证是一致性骏涟的一种，验诚是建立～致性证明的～种手段。

身给骏涯主要毽摇酴谨蔹据、羧涯系统释蜜全要求。

鸯羚验证技零是在诗葵视中最早应用的安全技术，现在也仍在广泛应用，它是互联网上信息安全的第一邋屏障。

ｌ。

２．５存取控割存取控制规定何种主体对何种客体熟肯何种操作权力。

存淑控制憩网络安全理论静差要方篚，主要包话久员疆潮、鼗黎标谖、税隈控涮、类蹩控割和风险分析。

存取控制也是最早采用的安全技术之一，它一般与身份验证技术…起使用，赋予不同身份的用户ｌ冀不同的操作权限，懿实现不同安全级刹豹信息分级管理。

１．２．６数据完整性完整整涯聪跫猩数据健输过穰中，簸迁收到的数据帮原来数据之间傈持ＡｉｒＧａｐ机制及实现研究完全一致的证明手段。

检查和是最早采用数据完整性验证的方法，它虽不能保证数据的完整性，只起到基本的验证作用，但由于它的实现非常简单（一般都由硬件实现），现在仍广泛应用于网络数据的传输和保护中。

伟思安全隔离与信息交换系统ViGap500WZ技术参数说明硬件物理隔离具备硬件物理隔离部件系统采用2+1架构设计，包括内端机、外端机和独立的硬件隔离信息交换区。

*该部件采用专用隔离芯片设计，不支持通用通讯协议,不可编程隔离区包含基于ASIC设计的开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。

隔离区信息交换采用DMA方式实现。

断开内外网TCP/IP连接设备断开内外网络TCP/IP连接内部数据交换速率>5.8Gbps接口网络接口包含八个100/1000M自适应端口管理接口内网唯一一个RS232接口，外网端不允许配置任何形式的管理接口，所有管理配置操作均通过网闸内网管理接口进行配置；网闸设备配置文件保存在网闸内网端。

*多网连接支持内外网端同时连接多个网络，实现多个网络的直接接入和安全隔离。

系统性能并发连接会话数>200,000 系统延时<50μs系统带宽>900Mbps资质要求隔离网闸资质证书公安部销售许可证涉密信息系统产品检测证书军用信息安全产品认证证书（军C+）国家信息安全产品认证证书应用支持全面支持TCP/IP以上应用层协议系统透明支持TCP/IP以上的应用层协议，网页浏览、数据库复制、文件交换、数据库访问、邮件、消息服务等无需二次开发数据库数据库同步SQLServer、Oracle等的单、双向数据交换；支持周期复制、实时复制、增量更新等多种同步方式；支持设定同步时间和同步周期；支持复杂网络部署，不需改变用户网络环境；数据库访问支持SQLServer、Oracle、Sybase、DB2等常见数据库应用；文件交换文件同步和访问支持客户端、samba、NFS、ftp、有客户端等多种文件交换方式；支持文件复制、移动、增量等多种传输方式；支持断点续传。

安全访问控制功能IP、网络、时间、协议端口、内容过滤等对象访问控制支持多种方式的访问控制，包括源，目的IP、子网、时间、时间端口、内容过滤IP/MAC地址绑定可实现基于IP+MAC绑定的客户端访问控制；支持MAC认证用户：应用于DHCP网络环境下；抗DDOS攻击防止多个DOS攻击源一起攻击某台服务器单/双向通讯控制支持单、双向可选的访问控制流量管理*流量控制支持任意接口之间都可以做流量管理和控制支持动态带宽调整；根据作用条件自动调整应用服务或IP流量的带宽值。