网闸就是要解决目前网络存在的下述问题。
(1)对操作系统的依赖,因为操作系统也有漏洞;
(2)对TCP/IP协议的依赖,而TCP/IP协议有漏洞;
(3)解决通信连接的问题,内网和外网直接连接,存在基于通信的攻击;
(4)应用协议的漏洞,如非法的命令和指令等。
网闸的指导思想与防火墙有下述很大的不同。
(1)防火墙的思路是在保障互联互通的前提下,尽可能;
(2)网闸的思路是在保证必须的前提下,尽可能互联互通,如果不则隔离断开。
(1)网闸产品应有国家相关部门的证书。
(2)网闸设置加长口令,网络管理人员调离或退出本岗位时口令应立即更换。
(3)网闸密码不得以明文形式出现在纸质材料上,密码应隐式记录,记录材料应存放于保险柜中。
(4)监控配置更改,改动网闸配置时,进行监控。
(5)定期备份配置和日志。
(6)明确责任,维护人员对更改网闸配置的时间、操作方式、原因和权限需要明确,在进行任何更改之前,制定详细的逆序操作规程。
目前,国产的网闸产品可以满足信任网络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等的要求。同时它们已在电子政务中,如政府内部的领导决策支持系统、政务应用系统(OA系统、专用业务处理系统)和公共信息处理系统(信息采集系统、信息交换系统、信息发布系统等)得到应用。网闸很好地解决了隔离下的信息可控交换等问题,从而推动了电子政务走向应用时代。由于网闸可以实现两个物理层断开网络间的信息摆渡,构建信息可控交换“岛”,所以在政府、军队、电力等领域具有极为广阔的应用前景。网闸突破电子政务外网与内网之间数据交换的瓶颈,并消除政府部门之间因造成的信息孤岛效应。目前网闸大都提供了文件交换、收发邮件、浏览网页等基本功能。此外,网闸产品在负载均衡、冗余备份、硬件密码加速、易集成管理等方面需要进一步改进完善,同时更好地集成入侵检测和加密通道、数字证书等技术,也成为新一代网闸产品发展的趋势。
网闸实现了内外网的逻辑隔离,在技术特征上,主要表现在网络模型各层的断开。
(1)物理层断开
网闸采用的网络隔离技术,就是要保证网闸的外部主机和内部主机在任何时候是完全断开的。但外部主机与固态存储介质,内部主机与固态存储介质,在进行数据传递的时候,有条件地进行单个连通,但不能同时相连。在实现上,外部主机与固态存储介质之间、内部主机与固态存储介质之间均存在一个开关电路。网络隔离必须保证这两个开关不会同时闭合,从而保证OSI模型上的物理层的断开机制。
(2)链路层断开
由于开关的同时闭合可以建立一个完整的数据通信链路,因此必须消除数据链路的建立,这就是链路层断开技术。任何基于链路通信协议的数据交换技术,都无法消除数据链路的连接,因此不是网络隔离技术,如基于以太网的交换技术、串口通信或高速串口通信协议的USB等。
(3)TCP/IP协议隔离
为了消除TCP/IP协议(OSI的3~4层)的漏洞,必须剥离TCP/IP协议。在经过网闸进行数据摆渡时,必须再重建TCP/IP协议。
(4)应用协议隔离
为了消除应用协议(OSI的5~7层)的漏洞,必须剥离应用协议。剥离应用协议后的原始数据,在经过网闸进行数据摆渡时,必须重建应用协议。