隔离内外网要的是安全欧太太快把欧主管逼疯了。

十一前夕，欧主管工作特别忙，天天深更半夜回家不说，连双休日都没个休息。

欧太太不但没体贴照顾，还急催着欧主管联系I博士、钱经理，要他在节前安排个小聚会。

目的是给她出一套“隔离”建议。

谁让欧主管“妻管严”呢？迫于威逼的压力，9月25日下午，把人招呼到自己家。

隔离内外网要的是安全确切定义网闸技术应该是：通过专用硬件，使两个或者两个以上的网络在不连通的情况下，实现安全数据传输和资源共享的技术。

欧太太一身素装，温文尔雅地坐入沙发中，显出不少妩媚。

让平时无话不说、玩笑中带荤腥味儿的三哥们儿略显拘束。

欧太太轻声细语地开始了她的倾述。

增节点还是配双网卡？“我们是家股份制银行，银行信息化建设时间不长，从建设之初，就对安全考虑不充分，内外网一直没有完全分开。

前不久，兄弟单位的下属单位发生了安全事件，给我们敲响了警钟。

我们很担心内网的办公机密、用户账户等信息流入外网，进而被黑客盗取。

”欧太太接着说，“目前，我们当务之急是分开内外网。

由于网络建设比较完善，如果现在分开内外网，工作量很大。

”比如，当前每个人只有一个节点，要分开内外网，有一种办法是给每个人再配一个节点。

对于1000多人的银行，这是一个不小的工作重负。

建行就是这么做的，一人两台机器，一台用于内网办公，一台用于外网访问。

办公极为不方便，还占用了大量的工作空间。

还有一种办法是在单机上安装双网卡、双硬盘。

这意味着计算机要升级。

升级计算机不仅提高了投入成本，同样也增大了工作量。

“今天请大家来，是想让大家帮忙出出主意，分析一下采用哪种方法更好，也就是说，哪种方法更容易实现，投入更小。

”话一口气说完，娇小的欧太太脸上泛起红晕。

这个问题难住了钱经理，爱说的他闭口无言。

欧太太将目光略过欧主管，投向了满脸书卷气的i博士。

她知道，在这个问题上，欧主管是个外行。

隔离内外网，网闸有高招儿i博士明白她的眼神，接着她的话表了自己的态，“我看，哪种方法都不可取。

原因你已经分析得很清楚了。

我倒有个新方案——网闸。

”“网闸？”欧太太睁大了眼睛，看来她从没听说过这个词儿。

欧主管这方面的知识似乎也略显欠缺，他倾听的热情亦是高涨。

网闸是将内网、外网全面隔离开来的一种技术。

它为网络提供了更高层次的安全防护能力，增强了网络的抗攻击能力，也可以有效地防范信息外泄事件的发生。

“这个技术听起来不错，只是，它真的能把内、外网的连接切断吗？”欧太太有些疑惑。

“当然，真正意义上的网闸是能够做到不仅物理隔离(像断开的桥一样)，还有通信隔离(断开的桥两端可有无线通信的连接，而网闸是能够连通信都切断的)。

”i博士回答。

网闸安全吗？“那么，使用网闸的安全度有多高呢？我们银行用了不少的安全产品，我发现有些安全产品本身就存在安全隐患，网闸会不会也是这样呢？”欧太太忧心重重。

i博士赞赏地看着欧太太，说：“你的问题提得非常好，我可以肯定地告诉你，网闸是安全的。

”接着，i博士开始论证这个观点。

网闸采用了专门定制的安全操作系统，所有不需要的功能全被裁减掉，完全为网闸量身定制，具有很高的安全性。

同时，操作系统存放在DOM(一种IDE硬盘)中，不能被随意修改；而经常读写的日志系统则存放在大容量的硬盘中，把操作系统和日志系统存储设计分开，使得网闸的系统结构比较安全。

最为重要的是，网闸通过专有隔离交换卡，进行基于硬件的安全隔离，这让两个网络之间没有任何的网络物理连接，没有任何的网络协议可以直接穿透。

从技术角度讲，网闸工作在网络OSI模型的每一层(共7层)，所以，经过它隔离的内网和外网之间无通信连接、无命令传输、无协议交换、无TCP/IP连接、无应用连接、无包转发功能。

只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。

网闸达到的安全效果是：对于内网，病毒与黑客无法攻击，无法入侵，无法破坏。

尽管网闸阻断了所有的连接，但是，交换信息还是可以进行的。

计算机连网是为了信息交换和共享，交换信息有很多种形式，连网只是其中的一种。

在没有互联网的时代，信息照样交换。

阻断了连接，完全可以通过其他形式继续进行信息交换。

大家比较能理解的方式是，从一台连网的计算机中，将数据拷贝复制，继续检查后，再拷贝复制到另外一台计算机中。

其他的形式还有复制(拷贝)、数据摆渡、镜像和反射等。

v1.0升级到v2.0看着欧太太信服的神情，i博士顺势介绍了网闸发展状况以及它能应对的攻击，进一步说服欧太太选用网闸技术。

网闸技术最早起源于以色列，通常在物理隔离的情况下，要在外网和内网之间进行数据交换的话，一般是通过磁盘或其他存储设备进行人工的数据交换，而通过自动方式来模拟这种数据交换过程，其实就是网闸的雏形。

第一代网闸利用单刀双掷开关，让内外网的处理单元分时存取共享存储设备，以完成空气隔离(可视为物理隔离)下的数据交换。

其安全数据交换过程是：先提取出网络包中的应用数据，经安全审查后，再完成数据交换。

相对于人工交换而言，整个过程是由软件自动完成的，并且增加了安全审查的过程，从而大大提高了交换效率。

但是，这种网闸让内外网共用了存储设备，不能够满足物理隔离的要求。

第二代网闸创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换。

其安全数据交换是通过专用硬件通信卡、私有通信协议和加密签名机制实现。

由于采用了专用高速硬件通信卡，使得处理能力大大提高，达到第一代网闸的几十倍之多；而私有通信协议和加密签名机制，保证了内外处理单元之间数据交换的机密性、完整性和可信性。

总之，网闸可以帮助企业内网应对以下一些威胁：操作系统漏洞、非法网络入侵、基于TCP/IP漏洞的攻击、基于协议漏洞的攻击、木马程序、基于隧道的攻击和基于文件的攻击(可选)等。

这些都是互联网目前面临的主要攻击。

比如，由于双主机之间是网络隔离的，无连接的，黑客不可能穿透网闸去扫描内部网络所有主机的操作系统漏洞，无法攻击内部，包括网闸的内部主机；又如，网闸的外部主机把TCP/IP协议全部剥离，以原始数据方式进行“摆渡”，因此，无法经过网闸进行基于TCP/IP漏洞的攻击，同样，也无法进行基于UDP、ICMP、ARP等其他协议的攻击；还有，网闸断开了网络的所有连接，没有OSI模型的Link层，没有TCP、UDP、ICMP、ARP等协议，等于把木马变成了死马。

对于无论是已知的还是未知的木马攻击，它都是免疫的。

谁最需要网闸？安全隔离网闸产品作为信息安全的分类产品之一，自2003下半年，应用开始升温，2004年已普遍引起政府部门用户的关注，众多IT企业以此作为进入网络安全市场的切入点，纷纷投入到对产品的开发或OEM上，到目前为止，已取得公安部销售许可证或通过国家信息安全产品测评认证中心的厂商已超过30家。

需要这些网闸产品的用户主要是各级政府机关、公安、科研院校及民航、电力、石油、金融、证券、交通等，应用在电子政务、网上工商、网上报税、网上报关、电子审批、政府信息系统管理等领域。

金融行业适用交换型产品要让网闸发挥最大化作用，必须了解业务需要，按需进行配置。

“听你这么说，我们银行还是挺适合选用网闸的。

”欧太太动心了。

“i博士，你了解网闸的选购事项和市场行情吗？如果我们银行选购网闸，你觉得怎么选？应该注意什么？”i博士谦虚地表示，自己懂一点，愿意给欧太太介绍介绍。

听罢，欧太太甚是高兴。

联想网御SIS-300天行安全GAP-3000资质、类型、服务，一个都不能少i博士说，安全隔离网闸既有通用网络安全设备所具有的特性，也有很多自身的特点。

作为用户，可能对此类产品的功能特点并不熟悉，所以选购时一定要注意相关的产品资质。

隔离类产品除公安部的销售许可外，还应有国家保密和信息安全测评机构的检测证书。

网闸的生产厂商大多会把网闸产品按照所支持的网络应用划分自己的产品线，用户一定要清楚自己使用网闸产品做哪些网络应用的数据交换，按需要选择适合自己的产品。

另外，产品的售后和服务也十分重要，选择一个知名度和信誉度比较高的厂商会比较可靠。

金融用户适用交换型产品如果是一个金融用户，例如保险行业或银行系统，隔离需求一般都出现在业务系统数据交换上。

无论是网上业务的开展，还是办公网和业务网之间的数据传送，都会涉及到不同安全域间的数据交换。

原先这些数据交换可能已经存在，有的是使用拷贝备份的方式，有的可能是通过一些网络路由设备使用网络服务相连接，这些方法从效率和安全性上都已无法满足业务发展的需要，这时可以选用一款隔离交换型产品。

针对自己业务的特点，如果是备份工作方式的，可以选用这类产品的文件交换或数据库同步功能；如果是路由访问类的，可以选用数据库访问或FTP访问功能，配合自身的业务使用。

由于金融系统对数据完整性和网络业务的可用性要求较高，建议使用双链路设计。

隔离设备应可以支持双机和多机的集群负载，设备应该具有较高的数据吞吐能力。

如果是在线业务，应该尽可能减少隔离后带来的网络延时。

网闸三剑客“具体来讲，i博士能否给我们银行提供一些适合的网闸产品？”听完i博士长篇大论，欧太太问了一个具体问题。

“国内网闸产品并不多见，据我了解，建议你选择以下一些产品：联想网御SIS-3000安全隔离与信息交换系统、天行安全隔离网闸GAP-3000、珠海伟思ViGap300。

”接着，i博士详细介绍了产品的特点。

联想网御SIS-3000安全隔离与信息交换系统SIS-3000采用模块化的结构设计，根据不同的应用环境，量身定制多个功能模块，以满足用户的不同需求。

主要包括：基本模块、文件交换模块、数据库同步模块、数据库访问模块、邮件交换模块、邮件访问模块、安全浏览模块、FTP访问模块和定制模块。

SIS-3000采用双通道通信机制，从可信网到非可信网的数据流，与从非可信网到可信网的数据流采用不同的数据通道，对通道的分离控制保证各通道的传输方向可控。

同时，它支持访问控制策略，支持通过源地址、目的地址、端口、协议等多种元素对允许通过网闸传输的数据进行过滤，判断是否符合组织安全策略。

它还支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS等多种应用层协议，可对常见协议的命令和参数进行分析和过滤；并支持多样灵活的身份认证方式，提供多种内容安全过滤与内容访问控制功能，具备抗攻击能力。

此外，SIS-3000支持HA高可用方案，提供双机热备功能，全面解决设备故障。

点评：作为网络链路层物理隔离设备，SIS-3000具有比防火墙更高的安全性能。

可在涉密网络之间、涉密网络不同安全域之间、涉密网络与内部网之间、内部网与互联网之间信任的进行信息交换。

适用于政府、金融等单位的网间非实时信息交换环境。

天行安全隔离网闸GAP-3000GAP-3000包括数据库交换、文件交换、消息交换功能模块。