网闸产品对比：选用安全隔离网闸注意的问题

网闸产品对比：选用安全隔离网闸注意的问题

什么是网闸？如何比较不同的网闸产品？是许多人关心的问题。本文将就一些网闸的设计原理来对国内的网闸技术进行一下对比，以便用户可以更加准确地了解到不同设计的优缺点。

近来出现的安全隔离网闸技术（也称：物理隔离网闸或安全隔离与信息交换系统）解决了部分防火墙安全性不足的问题。从原理上说，网闸是由两个互相独立的计算机处理模块组成的中间有一个隔离岛。这种同时包含两个互相独立的计算机处理模块的系统显然比具有单一处理单元的防火墙要复杂的多，设计的难度也大得多，价格也要高许多。首先从设计的技术来看，由于工控机可以极大的简化设计过程和大幅度缩短设计时间，绝大多数的安全隔离网闸处理模块均采用工控机主板设计，这种设计会带来前面提到的自身防护性差、稳定性差、功耗大等PC常见的严重问题。

在防范网络攻击方面物理隔离网闸设计往往采用工控机作为其硬件平台。这种设计无需单独设计硬件，极大地简化了设计难度，缩短了产品设计周期。然而工控机的设计的对象主要是满足工业控制设备的需要、并非为网络安全装置设计的，因此他不仅带来了许多无用的功能和硬件而且带来了许多意想不到的严重问题和信息安全漏洞。

所谓工控机就是工业版的电脑（PC）使用标准的操作系统（WINDOS或LINUX）。联想一下你自己使用的电脑，你就知道他有些什么问题。首先大家知道PC和它的操作系统都是一些极易被攻击的对象。它们本身就存在着许多安全漏洞和问题，也就是说自身难保，一个连自身的安全都无法保证的网络安全装置又如何去保护一个网络的信息安全呢？

工控机平台的网络安全装置继承了PC平台的所有弊病，他们表现在：

安全性极差：PC软硬件平台是目前使用最广泛的计算机系统也是最易受攻击的系统：

a. 使用有后门的外国芯片（例如奔腾等等）

b. 操作系统有大量的漏洞

c. 使用具有安全漏洞的通用TCP/IP协议栈

同样由于使用工控机作为硬件平台，这一产品的可靠性、使用方便性和可维护性也存在着诸多问题。

1. 可靠性：PC软硬件平台可靠性极差，是众所周知的。此外由于工控机使用的集成电路功耗极高，发热量大，使用温度极高也是一个造成系统不稳定的重要因素。如果其中的散热风扇发生故障，将可能造成电路的烧毁和火灾。

2. 使用方便性：配置后要重新启动。这是PC软硬件平台的一个通病，对一个网络产品来说，重启动将中断整个网络的通讯，造成整个网络的服务的中断，在许多应用场合，这是不允许的。所以，只能采用在半夜进行配置的方法来避免在正常工作时间里对网络服务的中断。但这不仅给网络的维护带来了极大的不便，同时也使得许多急需的安全配置无法及时地实施，从而带了极大的信息安全隐患。

3. 启动时间很长：和所有的PC一样，启动将需要1-2分多钟的时间。

4. 功耗大：PC的功耗在100-150瓦

5. 噪音很大：用工控机实现的防火墙有两个风扇，pc散发大量的热量，全部通过两个风扇散发热量。

目前只有极个别的厂商生产的安全隔离设备（也称物理隔离网闸）或安全隔离与信息交换系统）采用了非工控机的设计。这些物理网闸产品的采用自主开发的硬件平台，可以使设计更加贴近网络安全的需求，是一种不错的设计方案。北京数码星辰生产的网络安全隔离网闸就采用自主设计主机板，由于是专门为物理隔离网闸设计的主板所没有工控机的一切弊病，以安全性更高，更稳定可靠，在许多性能上都远远超过了以工控机架构设计的安全隔离网闸。

如何区别一个网闸是否是工控机设计的呢？请参阅本专栏文章《如何鉴别一个网络安全设备是用工控机设计的呢？》。

自主设计网闸具有很高的难度，这也使得有些网闸的设计上存在着严重的问题。特别是稳定性和传输性能方面有着很大的差距。有的网闸极不稳定，经常死机，有的网闸传输效率级差。可靠性是一个在短时间内难以检测的性能，用户只能通过了解这款网闸的原有客户来获得相关信息。对于传输性能，北京数码星辰有一套简单易行的方法，帮助用户来比较各个网闸的传输效率。不需要任何专业设备，只需要传输一个很大的文件（例如一部电影视频文件）就可以测出它所用的时间，然后比较这两个网闸传输同一个文件所需的时间就可以判断出他们的优劣了。（北京数码星辰为大家提供简易的比较测试方法也充分地显示了对自己产品的优异性能的自信。）

由于数码星辰的隔离网闸采用低功耗芯片和无风扇设计，使得主板高度和尺寸大幅地变低，因此可以放在1U机箱里，重量也大幅减少，功耗低、无风扇。特别是由于采用低功耗设计、芯片温度低。设计硬件的多知道的一个最重要的道理那就是，集成电路的半导体温度越高越不稳定。因此低功耗设计不仅仅节省能源、节省电费、无噪音，更重要的是非常稳定，具有无可比拟的优越性。但是个别不良厂商自己没有能力设计低功耗的设计高质量的网闸，只能使用高功耗安全性和稳定性都很差的工控机，就编造所谓的“鉴定所谓真假网闸的方法”，例如说可以更根据机箱的尺寸来判断是否为“假网闸”，更进一步说“1U的机箱就是假网闸”，简直是荒谬的可笑，纯属混淆视听。真是吃不上葡萄，就说葡萄酸。鉴别网闸真伪的唯一标准是国家相关部门的认证，而不是某些厂商自编得到标准，他也没有权利制定这样的标准。公安部和国家保密局对网闸产品有严格的定义和测试要求，并有专门机构测

试并颁发网闸的“销售许可“，国家保密局也有专门的机构测试和认证。经过国家机构的认证是确定网闸唯一标准，而不是所谓的依靠尺寸和1U机箱来确定真伪。

此外，还要警惕一些不法厂商造假的问题，以防上当受骗。如前所述，网闸的设计比起防火墙要复杂的多，设计的难度也大得多，价格也要高许多，因此一些不法厂商设计假网闸或者将防火墙串联冒充网闸。由于一般你很难开箱检查设计，只能通过其他方法来了解。一般来说，经过国家保密局的认证的网闸，具有极高的权威性。因此凡是获得保密局认证的网闸应该不是假网闸。此外，那些具有网闸专利的厂商也是比较可信的。