网闸技术原理和功能

一、技术原理：

网闸实现了内外网的逻辑隔离，在技术特征上，主要表现在网络模型各层的断开。

（1）物理层断开

网闸采用的网络隔离技术，就是要保证网闸的外部主机和内部主机在任何时候是完全断开的。但外部主机与固态存储介质，内部主机与固态存储介质，在进行数据传递的时候，有条件地进行单个连通，但不能同时相连。在实现上，外部主机与固态存储介质之间、内部主机与固态存储介质之间均存在一个开关电路。网络隔离必须保证这两个开关不会同时闭合，从而保证OSI模型上的物理层的断开机制。

（2）链路层断开

由于开关的同时闭合可以建立一个完整的数据通信链路，因此必须消除数据链路的建立，这就是链路层断开技术。任何基于链路通信协议的数据交换技术，都无法消除数据链路的连接，因此不是网络隔离技术，如基于以太网的交换技术、串口通信或高速串口通信协议的USB等。

（3）TCP/IP协议隔离

为了消除TCP/IP协议（OSI的3~4层）的漏洞，必须剥离TCP/IP协议。在经过网闸进行数据摆渡时，必须再重建TCP/IP协议。

（4）应用协议隔离

为了消除应用协议（OSI的5~7层）的漏洞，必须剥离应用协议。剥离应用协议后的原始数据，在经过网闸进行数据摆渡时，必须重建应用协议。 [2] 

二、功能

网闸就是要解决目前网络安全存在的下述问题。

（1）对操作系统的依赖，因为操作系统也有漏洞；

（2）对TCP/IP协议的依赖，而TCP/IP协议有漏洞；

（3）解决通信连接的问题，内网和外网直接连接，存在基于通信的攻击；

（4）应用协议的漏洞，如非法的命令和指令等。

网闸的指导思想与防火墙有下述很大的不同。

（1）防火墙的思路是在保障互联互通的前提下，尽可能安全；

（2）网闸的思路是在保证必须安全的前提下，尽可能互联互通，如果不安全则隔离断开。