物理隔离网闸与隔离卡的对比

物理隔离
物理隔离包含四个方面内容：VIGAP隔离网闸技术 、水线 、物理隔离 、 物理隔离卡 。

1、ViGap隔离网闸，它创建一个这样的环境，内、外网物理断开，但逻辑地相连。

对于有连接的PC，黑客可以使用各种方法，通过网络连接来对它进行控制，然而物理隔断却能杜绝这种情况发生。

ViGap就是在这两个网络之间创建了一个物理隔断，这意味着网络数据包不能从一个网络流向另外一个网络，并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。

2、所谓“物理隔离”是指内部网不得直接或间接地连接公共网。

物理隔离的目的是保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。

3、在每台电脑中通过主板插槽安装物理隔离卡，把一台普通计算机分成两台虚拟计算机，实现真正的物理隔离。

4、在单相电源系统中，水线的功能为传导回馈的电流，与插座端与接地分配在同一个区域。

而在台湾地区，只有水线与火线之分。

也就是说，只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。

此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

所谓“物理隔离”是指内部网不直接或间接地连接公共网。

物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。

只有使内部网和公共网物理隔离，才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。

此外，物理隔离也为政府内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

隔离网闸的分析与应用计算机网络已经成为企业、政府和其它各种组织的重要信息平台和传输渠道。

由网络带来的信息数字化使得各领域的工作效率有了大幅提高，并使海量的信息存储和处理成为了现实。

但是，因为网络安全问题带来的损失也是非常巨大的，国家的利益、人民的财产都因网络安全问题而面临严重的威胁。

因此，全方位、多层次的发展信息安全技术，有针对性的开发信息安全产品，才能确保网络信息的安全。

网络之间始终要面临两个问题：信任和安全。

有如人与人之间的关系一样，我们希望多交朋友的时候，就需要给予他人足够的信任，可是如果一味的信任他人，遇到小人时，就容易被小人欺骗，如果遇到不法之徒，自己的生命、财产都面临威胁。

人在面对不同面孔时会做出自己的判断，然而因为对方的伪装和自己经验的局限，这种判断是不准确的，网络间的关系与此类似，因此，要维护网络的安全，就要预先根据网络的性质，来建设网络安全防护体系，分而治之，才能使网络在安全的前提下有条不紊的运行。

对于许多涉密网络，因为含有大量机密信息，通常会被要求与互联网或其他网络隔离，但是在现实中，大多数涉密网络都有与其他网络的通讯需求，由此，“安全隔离，适度交换”就成了涉密网络的基本要求。

为了实现这一要求，通常可以有以下两种办法：1）物理隔离，人工拷贝数据。

将要保护的网络与其他网络完全断开，物理上没有任何连接，甚至保持一定距离，避免电磁辐射，这就是物理隔离。

在需要交换数据时，用人工拷盘的方法，先将数据拷贝到U盘等存储介质上，再拷到其他网络上去。

这是最古老的隔离办法，显然效率非常低下，而且中间存储介质交叉使用，容易感染病毒。

为了达到物理隔离的效果，除了使用独立的两套终端以外，还可以使用物理隔离卡。

物理隔离卡是一个网络电子开关，它可以让两个硬盘分别对应两个网络，其上的数据完全独立，不能交叉使用，新型的TIPTOP隔离卡还能够控制终端计算机的USB等外设，解决了USB交叉使用可能感染病毒的问题。

从零开始学布线：物理隔离的方法
物理隔离的方法可分为以下几种。

1
客户端的物理隔离
客户端的物理隔离用于解决网络客户端的信息安全问题，把网络分为内部涉密网和外部公共网，内部涉密网用于安全的涉密环境，不与外部网络有任何连接；外部公共网则是开放的，可以连接Internet发布信息。

网络客户端应用物理隔离卡产品可以使一台计算机既可以连接内部网又可连接外部网。

2
集线器级的物理隔离
集线器级的物理隔离产品需要与客户端的物理隔离产品结合起来应用，以在客户端的内外双网的布线上使用一条网络线通过远端切换器连接内外双网，实现一台工作站连接内外两个网络的目的，并在网络布线上避免客户端计算机要用两条网络线连接网络。

3
网闸物理隔离
物理隔离网闸与外网、内网之间是完全断开的，网闸、外网、内网之间不存在物理连接和逻辑连接。

网闸主要是用以解决内、外网之间的数据交换问题，网闸就是要保证网闸的外部主机和内部主机在任何时候都是完全断开的。

4
服务器端的物理隔离
服务器端的物理隔离产品通过复杂的软硬件技术实现了在服务器端的数据过滤和传输任务，其技术关键还是在同一时刻内外网络没有物理上的数据连通，但又可以快速分时地处理并传递数据。

从零开始学布线：为什么要建设屏蔽局域网
2022-02-15
从零开始学布线：选择屏蔽与非屏蔽系统
2022-02-15
从零开始学布线：屏蔽局域网的施工建设
2022-02-15
从零开始学布线：屏蔽局域网系统的施工安装要
求
2022-02-16
从零开始学布线：电磁屏蔽室的施工建设
2022-02-16
从零开始学布线：屏蔽机房重要设备
2022-02-16。

实行物理隔离须把握的几个问题2002年8月，中央办公厅、国务院办公厅下发了《关于我国电子政务建设指导意见》。

《意见》明确要求，电子政务网络由政务内网和政务外网组成，政务内网是政务部门的办公网，政务外网主要运行面向社会的专业性服务业务和不需要在内网上运行的业务，两网之间物理隔离，政务外网与互联网之间逻辑隔离。

在目前高技术窃密频发的情况下，实行政务内网与公共信息网络的物理隔离，建立封闭的电子政务内网办公环境，是确保各级党政机关及其他涉密单位内部办公网络不受来自外网、特别是境外网络非法攻击的有效举措。

它为涉密信息系统划定了明确的安全边界，增强了网络的可控性，有利于内部管理和防范。

问题物理隔离技术作为保障政务内网安全的一个重要手段，越来越受到各部门、各单位的高度重视。

然而，在实践中，政务内网建设仍存在种种违反物理隔离要求的现象。

在网络建设方面：1、利用防火墙或网闸代替物理隔离。

尽管防火墙技术已经得到广泛应用，但还没有达到对计算机病毒进行有效识别、阻止已通过身份鉴别用户的远程控制等效能。

因此，利用防火墙技术进行所谓的内外网隔离，难以保障内网信息安全。

同时，国家保密标准明确规定，严禁将“网闸”用于涉密信息系统和互联网之间。

虽然目前有些单位在研制“网络安全隔离与信息交换技术”方面取得了一些进展，但技术水平还没有达到作为内外网物理隔离设备的标准。

2、在政务内网中使用无线网络设备。

目前，有些单位将无线路由器、无线交换机等装置安装于政务内网，将带有无线网络功能的终端接入政务内网。

这些无线设备如果与外界的无线网络连通，就会造成整个内网物理隔离的失效。

由于无线网络的信息是通过电磁波进行传输的，所以在无线网络覆盖的区域内，所有的无线设备都有可能收到网络信息，而无线网络节点也无法确保信息只向特定设备传送。

因此，如果政务内网中安装了无线设备，内网信息的安全将无法得到保证。

3、内外网共用一条线路。

内外网共用一条线路，不符合物理隔离的规定。

隔离网闸的选择与对比物理隔离网闸是使用带有多种控制功能的通道开关连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，所以，从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

但由于目前国内隔离网闸市场鱼龙混杂，在选择的时候确实让人大伤脑筋。

结合网闸的原理和用户的评价，本人认为在选择网闸时应注意以下几点：一、操作系统网闸作为物理隔离网络间的唯一交换手段，其自身安全性能极其重要，虽然国内大部分网闸厂商都做到了内外端的物理隔离，但对内外端的操作系统区没有做到足够的重视，LIUNX系统成为了很多网闸的标配系统，现在国家大力普及LINUX系统，相关的安全问题也慢慢显现出来，内核的漏洞接连被纰漏，对于涉密网络等对安全要求其极高的部门，显然这种应用是极其不负责任的。

二、连接方式内外网之间的连接方式直接影响到网闸的性能，传统的USB，串口线连接，1394卡连接的速度受其标准的限制，远远达不到应用标准，存储介质读写控制无论是SCSI方式还是双端口RAM方式以及DMA存取方式都是拷盘技术，受到总线标准的限制，速度达不到要求，严重制约了网闸的性能的发挥。

三、协议支持全球几乎每天都有一个新的协议诞生，可定义的协议支持对复杂的网络应用环境更有实际意义。

四、数据吞吐量优秀的设计理念和结构、系统本身执行效率都会直接影响网闸的吞吐量，通用操作系统并非为网络数据应用所设计，运行中会提供不需要的服务，浪费系统资源，服务本身的安全性也会影响网闸整体的安全性。

五、内部连接带宽复杂的网络环境下，大量的数据对内部连接的带宽造成很大的压力，传统的SCSI、1394、USB、LVDC、DMA等连接方式受本身标准限制不能满足网闸带宽需要。

国外部分网闸技术的领导厂商提出的网络隔离通道概念巧妙的解决了此问题，网络数据隔离通道不依赖系统，芯片控制数据的流入流出，并且芯片本身不提供软件编程接口，既保证了安全也提供了足够的带宽，芯片纯数据传输做优化设计，还可以有效减少网闸的延时时间。

中网X-GAP产品简介中网X-GAP（又称物理隔离网闸，或安全隔离与信息交换系统，以下简称X-GAP）产品是当今已知的安全性最高的网络安全设备。

X-GAP在保证通信隔离（又称物理隔离）的情况下，实现信息交换服务。

X-GAP可以轻松地集成到政府、电力、工商、税务、公安、交通、能源、金融和大型企业等的网络和业务环境中。

X-GAP不仅为客户提供基于隔离的安全保障，而且还提供高速度、高稳定性的数据交换能力，能够满足客户对高安全、高性能、高可靠性的应用需要。

产品概述：★专用的隔离设备隔离是指断开的意思。

安全隔离是指X-GAP连接的内外网之间，在物理链路层是永远隔断、没有连接，因此没有通信连接，没有网络连接，没有应用连接。

安全隔离后，网络无法进行数据通信。

隔离设备引入“文件摆渡”概念，通过“读写”两个命令来实现“文件摆渡”，在保证隔离的情况下实现文件安全交换。

★明确的产品定位X-GAP适用于相互断开的两个网络间安全、高速、可靠地交换文件。

X-GAP 在两个网络断开的前提下，通过“文件摆渡”实现数据交换，解决了各行业由于政策强制要求“物理隔离”所引起的“既要网络断开，又要交换数据”的两难境地，在保持隔离特性的同时，提供一种安全、有效的信息交换途径。

★易于管理和配置X-GAP的系统设计充分考虑到用户的使用和配置，为用户提供的配置界面和管理接口简单易用，安全管理员可以直观方便地配置系统。

产品组成（八大模块）：★安全隔离（断开与摆渡）由外部主机、内部主机和开关系统组成。

外部主机连接外网，内部主机连接内网，外部主机包含外部单边代理、内部主机包含内部单边代理，内外网主机代理之间的文件交换均通过X-GAP的开关系统来摆渡。

★抗攻击内核（内核防护）X-GAP的内核是专有的裁剪加固的高安全性内核。

X-GAP系统采用了中网独有的宙斯盾抗攻击网关内核，为X-GAP本身提供了具有最高强度的抗DOS/DDOS 攻击特性。

X-GAP还支持防扫描的功能（Anti-Scan）和嵌入式的入侵检测防御功能（IDP）。

什么是网闸？求助编辑网闸网闸（GAP）全称安全隔离网闸。

安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

目录编辑本段为什么要使用安全隔离网闸呢？其意义是：（一）当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，用户必须使用开关在内外网之间来回切换，不仅管理起来非常麻烦，使用起来也非常不方便，如果采用防火墙，由于防火墙自身的安全很难保证，所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。

在这种情况下，安全隔离网闸能够同时满足这两个要求，弥补了物理隔离卡和防火墙的不足之处，是最好的选择。

（二）对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。

（三）安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。

主要性能指标和功能性能指标安全隔离网闸的主要性能指标有那些呢？其性能指标包括：系统数据交换速率：120Mbps硬件切换时间：5ms主要功能1。

有哪些功能模块：安全隔离闸门的功能模块有：安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证2。

防止未知和已知木马攻击：为什么说安全隔离网闸能够防止未知和已知木马攻击？通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接，而安全隔离网闸由于使用了自定义的私有协议（不同于通用协议）。

使得支持传统网络结构的所有协议均失效，从原理实现上就切断所有的TCP 连接，包括UDP、ICMP等其他各种协议，使各种木马无法通过安全隔离网闸进行通讯。

从而可以防止未知和已知的木马攻击。

❖物理隔离是指内部网不直接或间接地连接公共网。

物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。

▪物理隔离卡：物理隔离卡只能提供一台计算机在两个网之间切换，并且需要手动操作，大部分的隔离卡还要求系统重新启动以便切换硬盘▪网闸（GAP）全称安全隔离网闸。

物理隔离网闸主要由内网处理单元、外网处理单元、安全隔离与信息交换处理单元三部分组成。

外网处理单元与外网（如Internet）相连，内网处理单元与内网（如军队网）相连；安全隔离与信息交换处理单元通过专用硬件断开内、外网的物理连接，并在任何时刻只与其中一个网络连接，读取等待发送的数据，然后“推送”到另一个网络上。

在切换速度非常快的情况下，可以实现信息的实时交换。

❖TCP/IP 协议:即传输控制协议TCP/Internet 协议，是一种工业标准的协议簇，它提供用于异种机环境的协议簇。

由于其通用性，已经成为事实上的网际协议标准▪应用层：应用程序间沟通的层，如简单电子邮件传输（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。

▪传输层：提供了节点间的数据传送服务，如传输控制协议（TCP）、用户数据报协议（UDP）等,保证数据到达▪互连网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如网际协议（IP），ICMP (Internet控制消息协议)。

IGMP（互联网组管理协议）▪网络接口层：对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、Serial Line等）来传送数据。

❖逻辑隔离▪也是一种不同网络间的隔离部件，被隔离的两端仍然存在物理上数据通道连线，但通过技术手段保证被隔离的两端没有数据通道，即逻辑上隔离。

▪一般使用协议转换、数据格式剥离和数据流控制的方法，在两个逻辑隔离区域中传输数据。

并且传输的方向是可控状态下的单向，不能在两个网络之间直接进行数据交换。

物理隔离网闸技术概述一、物理隔离网闸的概念我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。

物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。

我国也有庞大的政府涉密网络和军事涉密网络，但是我国的涉密网络与公共网络，特别是与互联网是无任何关联的独立网络，不存在与互联网的信息交换，也用不着使用物理隔离网闸解决信息安全问题。

所以，在电子政务、电子商务之前，物理隔离网闸在我国因无市场需求，产品和技术发展较慢。

近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。

电子政务体现在社会生活的各个方面：工商注册申报、网上报税、网上报关、基金项目申报等等。

电子政务与国家和个人的利益密切相关，在我国电子政务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求。

如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。

一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离，在内网与专网之间实行物理隔离。

物理隔离网闸成为电子政务信息系统必须配置的设备，由此开始，物理隔离网闸产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点。

1.1物理隔离网闸的定义物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。

所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

物理隔离网闸一、物理隔离网闸的概念我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。

物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。

我国也有庞大的政府涉密网络和军事涉密网络，但是我国的涉密网络与公共网络，特别是与互联网是无任何关联的独立网络，不存在与互联网的信息交换，也用不着使用物理隔离网闸解决信息安全问题。

所以，在电子政务、电子商务之前，物理隔离网闸在我国因无市场需求，产品和技术发展较慢。

近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。

电子政务体现在社会生活的各个方面：工商注册申报、网上报税、网上报关、基金项目申报等等。

电子政务与国家和个人的利益密切相关，在我国电子政务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求。

如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。

一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离，在内网与专网之间实行物理隔离。

物理隔离网闸成为电子政务信息系统必须配置的设备，由此开始，物理隔离网闸产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点。

1.1 物理隔离网闸的定义物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。

所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

物理安全隔离术语设备类型物理安全隔离常见的有物理安全隔离卡、物理隔离集线器、物理隔离网闸等。

物理安全隔离卡物理安全隔离卡是物理隔离的低级实现形式，一个物理安全隔离卡只能管一台个人计算机，甚至只能在Windows环境下工作，每次切换都需要开关机一次。

物理安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两个状态是完全隔离的，从而使一台工作站可在完全安全状态下联结内、外网。

物理安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线连接主板，另一边连接IDE硬盘，内、外网的连接均须通过网络安全隔离卡。

PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。

在安全状态时，主机只能使用硬盘的安全区与内部网联结，而此时外部网（如Internet）联接是断开的，且硬盘的公共区的通道是封闭的。

在公共状态时，主机只能使用硬盘的公共区，可以与外部网联结，而此时与内部网是断开的，且硬盘安全区也是被封闭的。

物理隔离网闸物理隔离网闸，是利用双主机形式，从物理上来隔离阻断潜在攻击的连接。

其中包括一系列的阻断特征，如没有通信连接，没有命令，没有协议，没有TCP/IP连接，没有应用连接，没有包转发，只有文件“摆渡”，对固态介质只有读和写两个命令。

其结果是无法攻击，无法入侵，无法破坏。

物理隔离网闸(GAP)的硬件主要包括三部分：分别是专用安全隔离切换装置（数据暂存区）、内部处理单元和外部处理单元。

系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元。

这种独特和巧妙的设计，保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元，从而实现内外网的安全隔离。

物理隔离网闸体系结构示意图：物理隔离集线器网络安全隔离集线器是一种多路开关切换设备，它与网络安全隔离卡配合使用。

它具有标准的RJ-45接口，入口与网络安全隔离卡相连，出口分别与内外网络的集线器（HUB）相连。

单向网闸，什么是单向网闸？什么是单向网闸？单向网闸安全吗？这个问题是大家非常想知道的问题，网闸到底是怎么单向的呢？我们看到许多网上的解释，有的是不理解单向网闸的原理，做了一些错误的猜测，更有些做不了单向网闸的厂商甚至说单向网闸是使用防火墙做包过滤得到的，根本不是网闸。

这种说法对吗？其实这很容易鉴别。

单向隔离网是国家电监会和国家电网为保证我国电力系统不受攻击而要求所有的电力系统必须安装的设备，单向网闸的标准是由国家电力调度中心制定的。

我们知道国家电网的安全关系到国家的安全，稍有网络安全知识的人都会知道，怎么可能用防火墙的包过滤来实现呢？那单向网闸是什么意思呢？单向网闸是指应用层是单向的，也就是数据只能从一个方向流，不能从另一个方向流。

显然，双向网闸是双向可流动的。

单向网闸是国家电力中心要求的一种网闸，必须是物理上单向。

单向网闸设计的难点在于，TCP协议网络层是双向的，保证TCP双向的网络层在单向传输中仍然安全是问题的难点。

国家电力对此有严格的要求，那就是必须保证硬件上限制TCP 协议的穿透性和任何可能的信息穿透性。

这给设计单向网闸带来了极高的难度。

由于涉及技术机密，这里不再细说。

由于设计单向网闸有一定的难度，有些网闸厂商只会设计双向网闸，不会设计单向网闸。

但是个别不良厂商自己不会设计高质量的网闸，就编造所谓的“鉴定所谓真假网闸的方法”，例如说可以更根据机箱的尺寸来判断是否为“假网闸”，更进一步说“1U的机箱就是假网闸”，简直是荒谬的可笑，纯属混淆视听。

鉴别网闸真伪的标准是国家相关部门的认证，而不是某些不良厂商自编得到标准，他也没有权利制定这样的标准。

公安部和国家保密局对网闸产品有严格的定义和测试要求，并有专门机构测试并发布网闸的“销售许可“，国家保密局也有专门的机构测试和认证。

经过国家机构的认证是确定网闸唯一标准，而不是所谓的依靠尺寸和1U机箱来确定真伪。

单主机网闸绝对不可能通过国家的正式认证。

那么如何鉴别网闸的真伪呢？只有一个标准，有没有国家专门机构的认证。

安全隔离与信息交换系统（安全隔离网闸）研究报告2009年8月目录1 前言 (3)2 基本概念和技术介绍 (4)2.1 基本概念和应用场合 (4)2.1.1 概述 (4)2.1.2 用途 (5)2.2 技术原理和基本功能 (5)2.2.1 系统架构及工作原理 (5)2.2.2 基本功能和安全性 (6)2.3 同其他安全产品的比较与综合使用 (7)2.3.1 安全隔离网闸与防火墙 (7)2.3.2 安全隔离网闸和物理隔离卡 (8)2.3.3 综合使用多种安全产品 (8)3 知名公司和产品介绍 (9)3.1 概述 (9)3.2 天行网安 (9)3.2.1 公司简介和产品资质 (9)3.2.2 产品介绍——Topwalk-GAP V3.0 (9)3.2.3 解决方案和成功案例 (12)3.3 联想网御 (13)3.3.1 公司简介 (13)3.3.2 产品介绍——网御SIS-3000 (14)3.3.3 典型用户 (16)3.4 安盟华御 (17)3.4.1 公司简介 (17)3.4.2 产品介绍——SU-GAP3000 (18)3.4.3 解决方案介绍 (19)4 报告总结 (20)1 前言Michael Bobbin（《计算机安全杂志》主编）说，“保证一个系统真正安全的途径只有一个：断开网络，这也许正在成为一个真正的解决方案。

”在政府、国防、能源等很多重要领域，对数据机密性、网络平稳性、业务连续性要求极高，坚如磐石的安全保障尤其关键。

市场需求催生了安全技术的创新，在上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念，然后，以色列研制成功物理隔离卡，实现网络之间的安全隔离；其后，美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品，利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享，从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠交换”。

网络隔离、数据隔离和物理隔离三者间有哪些区别？_基础信息化_网络和应用计算机网络系统安全是网络的开放性、无边界性、自由性造成，安全解决关键是把被保护的网络从开放、无边界、自由的环境中独立出来，使网络成为可控制、管理的内部系统，由于网络系统是应用系统的基础，网络安全成为首要问题。

首先，物理隔离技术是解决网络不安全性的一种技术，物理隔离从广义上讲分为网络隔离和数据隔离，只有达到这两种要求才是真正意义的隔离。

而其它隔离形式主要是从网络安全等级考虑划分合理的网络安全边界，使不同安全级别的网络或信息媒介不能相互访问。

1、网络隔离针对网络隔离，简单的说就是把被保护的网络从开放、无边界、自由的环境中独立出来，从而达到网络隔离，这样，公众网上的黑客和计算机病毒无从入手，更谈不上入侵了。

而怎么实现隔离呢？最直观、简单、可靠就是通过网络与计算机设备的空间上的分离开（没有电气连结）来实现。

在一个办公室、同一个大楼建若干个物理网络是网络建设中必不可少的。

另外，在目前的市场上还有些网络隔离是利用网络的VLAN(虚拟局域网)技术。

现今的VLAN技术是在处于第二层的交换设备上实现了不同端口之间的逻辑隔离，在划分了VLAN的交换机上，处于不同VLAN的端口间无法直接通过二层交换设备进行通讯。

从安全性的角度讲，VLAN首先分割了广播域，不同的用户从逻辑上看是连接在不互相连接的不同二层设备上，VLAN间的通讯只能够通过三层路由设备进行：实施VLAN技术，可以实现不同用户之间在二层交换设备上的隔离。

外部攻击者无法通过类似像用户认证及访问控制技术在同一广播域内才可能实施的攻击方式对其它用户进行攻击。

2、数据隔离总之，不管网络隔离采用的是真正的物理隔离还是逻辑隔离，如果在使用中出现一台计算机能够连接两个或多个网络，那么所有的网络隔离就没多大意义，因为，同一台计算机连接两个网络，而没有把存贮设备隔离，使同一个操作系统能连接不同的网络，计算机病毒就会很容易从这个网络流向另一个网络，使得另一个网络遭到病毒的攻击，甚至无法工作，造成不必要的损失。

1.1 安全设备—网闸鉴于贵单位要求移动办公服务器不能从互联网直接访问，服务器群需在内网部署。

而手机办公利用手机3G/2G网络来访问应用，所以要求手机可以通过互联网网络接入的方式访问相应的资源。

为了满足这样的需求，就必须在目前的网络中加入一些交互设备来使手机和业务服务器进行数据的传输，此设备我们建议采用目前公认的网闸设备。

1.1.1什么是网闸网闸的全称是安全隔离网闸。

网闸的英文名称是"GAP"。

安全隔离网闸是一种由带有多种控制功能专用硬件，在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

1.1.2网闸的工作原理网闸的基本原理是：切断两个网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。

1.1.3使用网闸的意义为什么要使用安全隔离网闸呢？其意义是：（一）当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，用户必须使用开关在内外网之间来回切换，不仅管理起来非常麻烦，使用起来也非常不方便，；如果采用防火墙，由于防火墙自身的安全很难保证，所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。

在这种情况下，安全隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是最好的选择。

（二）对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。

（三）安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。

1.1.4网闸与物理隔离卡的区别安全隔离网闸与物理隔离卡最主要的区别是，安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换，而物理隔离卡只能提供一台计算机在两个网之间切换，并且需要手动操作，大部分的隔离卡还要求系统重新启动以便切换硬盘。