分析网闸的资料下载网络安全解决方案.docx

分析网闸的资料下载网络安全解决方案 1、网闸及其原理简介  网闸(GAP)全称安全隔离网闸。网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。网闸的闸字取自于船闸的意思，在信息摆渡的过程中内外网(上、下游)从未发生物理连接，所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。  网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查，包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。  安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。  2、安全隔离的意义  当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，信息交换的需求将无法满足;如果采用目前最为流行的防火墙技术，则无法防止内部信息的泄漏和外部病毒、黑客程序的渗入，安全性无法得到保证。在这种情况下，隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是物理隔离网络之间数据交换的最佳选择。  通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接，而隔离网闸从原理实现上就切断所有的TCP连接，包括UDP1CMP等其他各种协议，使各种木马无法通过隔离网闸进行通讯，从而可以防止未知和已知的木马攻击。  3、网闸在资料下载系统中的应用  根据系统安全性设计原则，在内网外增加资料交换区域和与互联网连接的资料接收区域，区域之间通过网闸进行网络安全隔离，在保护信息安全的要求下实现内网与互联网的安全互联，基本达到信息安全等级保护的三级要求。  资料接收系统由资料接收服务器、出口防火墙、网闸、攻击网关、入侵检测设备等构成，这里的网闸选择的是2+1的安全隔离网闸，该硬件设备由三部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内外网处理单元连接，为2+1的主机架构。隔离网闸采用安全隔离技术，创建一个内、外网物理断开的环境。资料接收区从互联网上获取资料