网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的。

隔离与信息交换系统，即网闸，是新一代高度的企业级信息防护设备，它依托隔离技术为信息网络提供了更高层次的防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的，实现了在空气缝隙隔离(Air Gap)情况下的数据交换，原理是通过应用层数据提取与审查达到杜绝基于协议层的攻击和增强应用层的效果。

第二代网闸正是在吸取了代网闸优点的基础上，创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术，在不降低性的前提下能够完成内外网之间高速的数据交换，有效地克服了代网闸的弊端，第二代网闸的数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的，虽然仍是通过应用层数据提取与审查达到杜绝基于协议层的攻击和增强应用层效果的，但却提供了比代网闸更多的网络应用支持，并且由于其采用的是专用高速硬件通信卡，使得处理能力大大提高，达到代网闸的几十倍之多，而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性，从而在保证性的同时，提供更好的处理性能，能够适应复杂网络对隔离应用的需求。

为什么要使用隔离网闸呢？其意义是：

（一）当用户的网络需要保证高强度的，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，用户必须使用开关在内外网之间来回切换，不仅管理起来非常麻烦，使用起来也非常不方便，如果采用防火墙，由于防火墙自身的很难保证，所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入，性无法保证。在这种情况下，隔离网闸能够同时满足这两个要求，弥补了物理隔离卡和防火墙的不足之处，是的选择。

（二）对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。

（三）安装了相应的应用模块之后，隔离网闸可以在保证的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。

（十一）受隔离网闸保护的内部网络需要不断升级吗？

隔离网闸首先在链路层断开，彻底切断网络连接，并仅允许仅有的四种指定静态数据进行交换，对外不接受请求，并且在内部用户访问外部网络时采用静态页面返回（过滤ActiveX、Java、cookie等），并且木马无法通过隔离网闸进行通讯，因此内部网络针对外部的攻击根本无需升级。

（十二）为什么受防火墙保护的内部网络需要不断升级？

防火墙是在网络层对数据包作检查，并不切断网络连接，很多案例证明无论包过滤还是代理防火墙都很难防止木马病毒的入侵内部网络，Nimda绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证，因此需要用户的内部网络不断升级自己的客户端如浏览器。

（十三）隔离网闸能否防止内部无意信息泄漏？

由于隔离网闸在数据交换时采用了证书机制，对所有的信息进行证书验证，因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。