『壹』 数据摆渡机与网闸有什么不同
数据摆渡机是UniNXG安全数据交换系统,网闸一般是内外网逻辑上隔离。有关数据比较推荐联软科技的UniNXG安全数据交换系统。UniNXG安全数据交换系统是联软科技发明的,融合网络隔离、网盘和DLP技术于一体的专业产品,它同时支持多网交换,查杀毒、审计审批、文档追踪和水印功能,是解决用户网络隔离、网间及网内数据传输、交换、共享/分享、存储的理想安全设备,具有开创性意义。想要了解更多有关数据的相关信息,推荐咨询联软科技。联软深耕金融行业,经过十余年发展,产品已在银行、保险、证券等金融各细分领域得到广泛应用,在端点安全产品在金融领域市场份额居行业前列,并在制造业、运营商、党政军、医疗、能源和交通等行业构建了较强的市场影响力,已服务超过3000家高端行业客户。17 年来,联软科技从全球较早的网络准入控制厂商之一,成长为中国企业端点安全领域的领导者、国产自主可控的网络安全新基建领军厂商、并成为国内率先落地基于“零信任安全”产品的 厂商之一。
『贰』 网闸 对文件传输影响
可能导致对文件传输的一些缓慢,造成文件传输失败。
『叁』 网闸内和网闸外的两个数据库怎么做数据同步
这要看你对实时性有没要求了,没有的话,可以到出到文件,通过u盘拷贝到其他机器上再导入。实时性要求高的话可以在防火墙上配置一下
『肆』 网闸分开的内外网的两台计算机如何传输txt文件
连接外网的的电脑上装一个ftp服务器,连接内网的电脑装一个ftp服务器。你的网闸你应该有客服端吧。你把内外网的ip地址配置到客服端上。就会自动传输了。
『伍』 用Server-u怎样把数据从外网通过网闸转到内网
作者:蔡老板链接:https://www.hu.com/question/26954479/answer/171177491来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。大概有三种方式:1、使用网闸的映射功能:即在网闸中配置指定ip段的外网机器,只能访问内网指定ip、端口的机器所提供的指定服务。评价:此种方式较为方便,但不是最安全的。2、文件同步功能:此种方式需要一台外网服务器和一台内网服务器,在内外网服务器上分别部署webservice服务程序,并在内外网机器上分别建立共享文件夹,供网闸进行文件的同步(从内网到外网,从外网到内网)。实现思路大致是:(1)、外网服务器部署的webservice程序供外网用户访问,一旦接受请求,则将请求生成xml或者其他格式文件,放到外网服务器的共享请求目录。(2)、通过在网闸中配置内外网的共享请求目录与共享响应目录,网闸会定时(最低一分钟)扫描内外网服务器的指定的若干目录,看有无新增文件,有则同步过去。(3)、内网服务器webservice程序内部定时扫描指定请求目录,网闸将外网服务器的请求文件同步到内网服务器的请求目录后,内网程序检测到请求文件则立即触发调用本地或者内网其他机器的webservice服务,并将结果生成响应文件放到响应目录。(4)、网闸检测响应目录的新增文件,将文件同步到外网服务器的响应目录,外网服务器程序线程接受到请求后, 一直等待指定时间,扫描响应目录下有无响应文件产生(请求文件与响应文件采取同名方式,以便区分),读取到响应文件后,返回给外网用户调用者。评价:此种方式虽然较上种方式安全,但网闸扫描频率最快一分钟扫描一次的限制便将该种方式kill了(让客户等待至少2分钟是完全不可行的)。然而对于新的网闸内外网数据交换平台可以支持1s扫描一次,因此对于需要交换图片、视频等应用,则可考虑升级旧网闸数据交换系统;此时采取文件同步是比较理想的。3、数据库同步方式:实现思路:(1)、需要两台服务器,内网服务器与外网服务器,两台机器同时部署两个程序(程序不完全相同),两台服务器都要安装数据库,并建立相同的表结构(指需要通过网闸同步的表的结构相同,本例中需要响应表和请求表)(2)、在网闸中配置数据库同步,需要两个库的连接方式,及需要同步那些表;注意,同步的表字段不可有clob或者blob等类型(网闸不能同步,猜测是大字段类型不能导出的原因),基本类型最好。(3)、外网webservice程序接收请求,将请求插入到请求表中,然后线程休眠指定时间后读取响应表中的响应结果。(4)、网闸将外网数据库的请求表中的插入的数据,即时(可能采用触发器,具体不知,相当于即时)同步到内网数据库的请求表中。(5)、对内网请求表预先建立行级触发器,当请求表每插入一条数据时,即执行触发器,在触发器中调用内网的webservice程序。(6)、可在触发器中插入结果到响应表中,若是业务逻辑复杂,则可在webservice程序内部将结果插入到响应表中。(7)、网闸将响应表中数据即时同步到外网服务器的响应表中。(8)、(3) 中等待的线程在限定时间内每隔100ms(自己指定)查询响应表,查询到等待的结果则返回给客户。4、总结:映射方式与数据库同步方式最为靠谱,但若是对安全性要求非常高,则建议使用数据库同步方式,否则使用映射方式最为便捷。
『陆』 网闸的安全性到底如何哪些厂家的网闸比较好
请问你是哪里?网闸都是政府部门或安全性要求很高的单位才会用到.不过我倒是知道.现在市面上的网闸设备有好多种,要看你是注重应用性还是安全性.真不好说,因为你都没说你具体运用的环境.帮你看看吧。 1、京泰物理隔离网闸 京泰物理隔离网闸采用高速固态开关,在内外网络之间切换,开关的物理特性决定了任意一个时刻,系统在物理链路上只能处于内网或者外网的一侧;当连入外网时,与内网断开,从外网获取需要交换的数据;断开外网连接,连接内网,交换数据到内网。往复不断,从而完成内外网络信息的交换;连接建立后,采用自定义信息交换报文和协议进行信息传递和交换,防止黑客利用标准网络协议的各种漏洞进行攻击;由于采用自定义安全传输协议,系统在底层自行完成对文件的分片、传递工作,在另一端负责对其进行重组、检测;系统提供应用接口,对应用系统的表单内容进行严格的信息检测和过滤,防止利用各种非法的查询来获取信息或者破坏信息;由于通过高速固态开关交换信息,时间延迟极短,为毫秒级,为用户应用系统提供实时的在线访问提供了坚实的基础。安全网闸不但提供标准的信息交流服务,如文件交流、数据库交流和邮件交流等。还提供其他具体应用系统的二次开发接口,帮助用户更快、更好的建立自己的安全信息交流平台。支持第三方安全软件,如对传递和交换的数据进行杀毒等,采用Linux操作系统设计,通过公安部、保密局、国家信息安全测评认证中心等权威部门的安全认证,使得自身系统的安全性大为提高。 京泰王闸 产品点评:京泰网络是业内最早从事物理隔离技术的安全公司,其产品以设计新颖、安全程度高,智能化程度高,可靠性好而在业内获得一致好评。经过几年的发展,京泰网络已经形成了完整的产品线,售后服务体系不断完善,产品质量不断提高,产品已经在国内形成自己的市场,赢得了广大用户的信赖。京泰网络物理隔离产品已经通过了公安部、国家保密局、军队保密委等所有国家权威部门的检验,京泰网络科技获得了涉密网安全集成商资质认证。 2、盖特佳物理隔离网闸 盖特佳物理隔离网闸采用全透明工作模式,动态实时数据交换技术,防范针对操作系统的已知及未知漏洞攻击,防范基于TCP/IP网络协议弱点的攻击,使用应用层数据提取技术,彻底阻断内外网之间的TCP/IP连接。它采用内外处理单元均采用优化的安全操作系统,系统中不存在TCP/IP网络协议栈,内外部网卡均没有网络地址,无需驱动的Direct I/O技术访问专用硬件通信设备, 网卡仅监听数据,对外不提供任何服务,管理控制台完全独立于内外部网络; 内置自动反入侵功能, 精细的安全访问控制功能,支持路由和透明桥工作模式,支持主机,网络和网段等多种网络对象,支持HTTP,FTP,MAIL等标准网络协议,支持IP和MAC地址绑定,支持HTTP的URL和内容的关键字过滤, 支持日志,审计和报警,强大的应用层攻击防护功能,内置高性能安全过滤引擎,能够防止Dos和DDos攻击,缓冲区溢出攻击,恶意编码攻击以及应用层洪水攻击等等。 盖特佳物理隔离网闸 产品点评:盖特佳物理隔离网闸通过专用通信设备,专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术进行不同安全级别网络之间的数据交换,彻底阻断了网络间的之间TCP/IP连接,同时对网间通信的双方,内容,过程施以严格的身份认证,内容过滤,安全审计等多种安全防护机制,从而保证了网间数据交换的安全可控性,杜绝了由于操作系统和网络协议自身的漏洞带来的安全风险。 它主要应用在隔离内部网和互联网,隔离业务网和工作网,隔离内部网和关联网,隔离保护主机服务器,隔离保护数据库服务器等环境场合。 3、天行安全隔离网闸(Topwalk-GAP) 2000年我国北京天行网安公司率先从物理隔离技术发展出GAP概念,并与公安部通信局密切合作联合研制完成国内首款GAP(安全隔离与信息交换)产品,即天行安全隔离网闸(Topwalk-GAP),成为重点领域网络安全防护的最佳方案。Topwalk-GAP作为国内基于GAP技术的新一代安全隔离与信息交换产品,能够实现隔离网络间异构数据库交换,该产品是经过国家保密局鉴定的安全隔离与信息交换产品,并入选国家火炬计划,实现了基于消息的传递机制。该产品的基本模块作为整个安全隔离网闸的核心部件,是其他应用模块的安全平台,数据库交换模块支持多种主流数据库平台在网络间的可控方向的安全数据交换,文件交换模块提供网络间的基于文件形式的可控方向的安全文件传输,消息模块为上层应用平台提供了基于API的开发接口,为彼此隔离的网络上层程序提供快速可靠的消息传送。 “以我为主、积极防御”的技术理念使GAP技术成功地开创了新的安全技术门类。GAP技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下实现安全数据传输和资源共享的技术。GAP又叫安全隔离网闸(安全隔离与信息交换),是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。它采用独特的硬件设计并集成多种软件防护策略,能够抵御各种已知和未知的攻击,显著提高内网的安全强度,为用户创造无忧的网络应用环境。GAP技术是在物理隔离的基础上,基于目前国内的信息安全技术现状,提出的一种适合于电子政务网络安全的“积极防御”技术。GAP技术隔断了从物理层到应用层所有网络层次的协议通信,因此,我们可以把GAP理解成“the Gap of All Protocol”的缩写。只要能够有效保证对应用数据进行“白名单”方式传输和交换,实现的方法可以多种多样。但是,GAP概念与防火墙、IDS/IPS等概念还是有明确区分的。 Topwalk-GAP 产品点评:天行安全隔离网闸(Topwalk-GAP)通常部署于信任网络与非信任网络之间,通过独创软硬件体系结构,采用了协议转换、安全操作系统内核、基于加密和证书的身份验证机制、病毒及恶意代码过滤、安全审计管理等安全技术,根据用户定义的应用数据“白名单”策略进行数据传输和交换,并彻底杜绝有害信息,构筑起各种网络威胁(黑客、蠕虫病毒等)不可逾越的安全网闸。作为国内GAP领域的倡导者和领先者,天行安全隔离网闸(Topwalk-GAP)一直以其创新实用性、安全可靠性得到了广大用户的青睐。 4、联想网御SIS-3000安全隔离网闸 联想网御SIS-3000安全隔离网闸是在两个相互物理隔离的网络间安全、高速、可靠地进行数据交换的网络安全设备。系统采用专有隔离硬件和协议,并采用国际上最新的信息轮渡机制,集成了安全操作系统、内容过滤、数字签名、病毒查杀、访问控制和安全审计等多种安全技术,对传输数据的类型、内容等进行检查和过滤,提供可信任的专用信息交换服务,有效克服了由于物理隔离引起的电子政务、电子商务的数据交换瓶颈,保持了多个网络间物理隔离的特性,提供了一种安全、有效的数据交换途径。 该产品使用高速安全隔离电子开关,只支持单向网络连接,保证内外网在物理链路层上的完全断开,并可以支持毫秒级的高速切换,以配合后台高速响应设备;同时,SIS-3000为指定应用提供数据交换,通过与具体应用的结合,极大地提高了系统的安全系数,避免了开放TCP/IP通用服务造成的安全隐患。联想网御SIS-3000具有高速电子开关和专有协议,确保内外网在任意时刻物理隔离,通过领先的信息摆渡机制,提高数据传输的安全性;采用多种安全技术,支持可信的专用信息交换服务;具有自主的嵌入式安全操作系统,有效保证了系统自身安全性;支持包括文件交换、邮件交换和数据库同步在内的多种应用。 联想网御SIS-3000 产品点评:联想网御SIS-3000系列安全隔离网闸作为网络链路层物理隔离设备,具有比防火墙更高的安全性能。可在涉密网络之间、涉密网络不同安全域之间、涉密网络与内部网之间、内部网与互联网之间信任的进行信息交换。适用于政府、军队、金融等单位的网间非实时信息交换环境。 5、中网隔离网闸X-gap 由中网公司研制开发的安全隔离和信息交换系统(X-Gap),能够较好的解决隔离断开和数据交换的难题,中网物理隔离网闸真正实现了两个网络之间的物理隔离。X-Gap 中断了两个网络之间的链路连接、通信连接、网络连接和应用连接,在保证两个网络完全断开和协议中止的情况下,以非网络方式实现了数据交换。没有任何包、命令和TCP/IP协议(包括UDP和ICMP)可以穿透X-Gap, 它具有高安全、高带宽、高速度、高可用性的优点。此外,由于采用了SCSI技术, 背板速率高达5G,开关效率达到纳秒级,彻底解决了速度慢、效率低的问题。除此之外,SCSI控制系统本身具有不可编程的特性和冲突机制,形成简单的开关原理,从而彻底解决了网闸开关的安全性问题。 物理隔离是通过开关来实现的。目前常见的物理隔离开关技术有三种:实时开关(Real-Time Switch),单向连接 (One-Way Link),和网络开关(Network Switch)。 实时开关和单向连接的速度要快一些,网络开关的速度要慢一些。人们普遍存在对开关速度的担忧,担心开关速度直接影响网络的性能。如果开关的速度低,网络的性能肯定受到影响。即使开关的速度高,网闸的性能也受主机性能的限制。不管开关速度的高低,网闸的性能的上限都不会超过主机的上限。中网物理隔离网闸通过采用主机的CPU时钟作为开关,将开关功能在系统的内核中实现,成功的达到网闸的最高性能,优于常见的三种开关技术。内核的效率要远远高于外设的效率。 中网物理隔离网闸 产品点评:在用户要求进行物理隔离,同时又需要实时地交换数据,解决物理隔离和信息交流的问题时,采用中网X-GAP系列产品则可以实现两网之间必要的“摆渡”,又保证不会有相互入侵的安全问题。X-GAP可以轻松的集成到政府、电力、工商、税务、公安、交通、能源、金融和大型企业等的网络和业务环境中,完善地保护核心安全,满足客户对高安全、高性能、高可靠性的应用需要。 6、伟思物理隔离网闸copgap200 伟思网闸CopGap是两个嵌入式单板计算机和安全电路板组成。其中两个嵌入式单板计算机分别连接可信网络和不可信网络,通过安全电路板把两个嵌入式单板计算机连接在一起。安全电路板是针对物理隔离技术而专门设计的纯硬件设备,它包含独有高速LVDS总线,系统内部数据流量达到1056M位/秒,超过了1G位/秒。 CopGap操作系统采用经保密局鉴定的安全Linux操作系统内核,具有极高的安全性。 通过专用高速安全芯片开关和先进的协议终止/协议分析技术,使得可信和不可信网络在CopGap上物理链路隔断和协议隔离,杜绝黑客对可信网络的恶意攻击。通过先进的GAP反射系统,不依赖任何通信协议和操作系统,利用独立的硬件逻辑电路,独立的总线技术,保证内外网络可控、高速、安全的数据交换。通过复杂的数学变换,可以打乱原裸数据的格式,改变数据结构,使恶意代码在传输过程中无法执行,从根本上保证数据传输安全。安全决策体系位于内部可信安全服务器端,与不可信网络之间物理断开,可以保证安全决策体系的完整性和安全决策体系决策过程的完整性。从而保障整体安全架构的完整性。它采用协议终止技术,防止基于网络协议漏洞的已知和未知攻击; 抵御基于操作系统漏洞的攻击;抵御缓冲区溢出攻击、过载攻击、拒绝服务攻击(DOS)、分布式拒绝服务攻击(DDOS); 对数据进行内容审查、对网络协议进行分析和审查;具有审计功能,可对网络用户的行为作详尽的记录;身份认证和访问控制功能:支持用户端的数字证书认证(CA);双重代理功能,隐藏内网结构信息。 伟思copgap200 产品点评:伟思科博安全隔离与信息交换系统CopGap是在国家863计划支持下,由北京伟思科博网络安全技术研究所经过数年物理隔离技术的研究,研制生产的具有自主知识产权的网络安全产品。CopGap安全隔离与信息交换系统能从物理链路上断开内外网络,并且在安全可控的条件下进行适度数据交换。它通过基于硬件设计的反射GAP系统,保证可信网络和不可信网络不会有实际的网络协议连接,可防止各种基于网络层和操作系统层的攻击,实现高速安全的数据交换。CopGap具有双向及单向通讯控制能力,可根据用户实际的安全需求严格限定信息流向,保护涉密信息的安全。 二、推荐小结 我国物理隔离网闸的产品研制是近几年的事,参与研制的单位不多,产品种类也较少,产品的性能指标、质量指标、技术水平处于第一代。我们上面介绍的6种网闸产品,它们都通过了公安部计算机信息系统安全产品质量检验中心检测,其中,北京天行网安信息技术有限责任公司研发的天行安全隔离网闸(Topwalk-GAP)于2002年9月通过了国家保密局的技术鉴定。由于物理隔离网闸处于涉密网与非涉密网的网关的特殊位置,而且,又是网络安全的最后一道防线,用户对产品研发人员的背景和研发单位的背景也是选择产品的重要条件。有些有外资背景公司的产品销售不能不受影响。所以,在市场上能站住脚的产品是极为有限的几种。因此我们在选购物理隔离网闸时,要特别注意它的两个主要指标即数据交换速率—-支持百兆网络和千兆网络的数据交换速率;切换时间—-使用高速安全隔离电子开关,支持毫秒级的高速切换。 最后我们再强调一下物理隔离网闸应用在下面的5种场合环境中: 1)涉密网与非涉密网之间; 2)局域网与互联网之间(内网与外网之间); 有些局域网络,特别是政府办公网络,涉及政府敏感信息,有时需要与互联网在物理上断开,用物理隔离网闸是一个常用的办法。 3)办公网与业务网之间; 由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。 4)电子政务的内网与专网之间; 在电子政务系统建设中要求政府内望与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。 5)业务网与互联网之间; 电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。 报价就要你自己去和他们联系了,个人观点:天行网安的好一些.因为一般买网闸都是为了安全,他们的GAP3000安全性很高.
『柒』 企业网盘能否实现内外网数据安全交换
使用企业网盘解决内外网数据交换,通常用“内外网双企业网盘+网闸摆渡”的方式。企业通常在外网和内网分别部署一个私有网盘,配置及存储结构保持一致。 网盘系统可能可以通过权限或审批的方式,将待发文件放置在网络一侧的指定位置,然后由网闸自动摆渡到网络另一侧的对应位置,而后另一侧的网盘系统就可以发现文件,可以被另一侧有权限的用户访问。不过这种方式,因为要建设两套私有网盘,实施成本会比较高。另外,私有网盘一般是面向办公文档类型的数据,当企业需要发送大体量的业务数据时,比如几个G的图纸、视频等,网盘系统往往不具备如此高要求的传输能力,可能经常出现传输速度慢、传输中断、传输出错等情况。要实现内外网数据安全交换,可以考虑基于数字包裹的企业内外网文件安全交换方案,在安全性、文件控制和安全性上比企业网盘更有优势。
『捌』 网闸标准型和文件型、数据库型有什么差别
这是网闸厂家对网闸类型的细分。文件型的适用于文件传输,数据库型适用于数据库应用。标准型就是通用型。下面的链接介绍不同网闸的功能。
『玖』 内外网同步光闸时突然无法同步数据,怎么办
很多大中型企业都在内部实施了内外网分离,互联网与内网隔离,生产网与办公网隔离,办公网与研发网隔离,以确保企业信息安全。
网络的物理隔离,给数据交换带来很多不便。因此企业在内外隔离的同时,又需要解决跨网文件传输的问题。目前,主要通过以下几种方式实现内外网数据交换:
1、通过移动硬盘在内外网间进行数据拷贝
企业内部,一般对U盘/移动硬盘的使用有所限制,所以一般是指定少数有权限的人,经常是IT部门,负责通过移动硬盘在内外间,按照业务部门的要求,进行数据拷贝。由于数据拷贝是人工完成的,很难对其所拷贝的内容范围进行监管,在这个过程中也更容易出错。
2、通过FTP或网络共享进行内外网文件移动
当企业内外网是通过防火墙等逻辑手段隔离的时候,企业可能架设一个FTP服务器或网络共享,在网络设备中将其设置为例外,以此实现内外网文件移动。不过,通过FTP进行大体量文件上传及下载的时候,经常可能出现错误中断的现象,需要占用人力资源持续跟踪。
3、通过网闸进行网间文件摆渡
一般网闸都会内置文件摆渡同步功能,用户可以设定在内外网指定的存储位置,由网闸实现文件同步。然而,网闸只能解决文件物理位置移动的问题,企业很难具体控制哪些文件可以被同步,哪些人有权限进行操作,同步之后的文件应该如何处理等问题,这种方式并不能完成一个具体业务的完整链条。
4、内外网双企业网盘+网闸摆渡
这种方式实际上是在文件物理移动的基础上,叠加了网盘的文件管理、易于访问等特性,因为要建设两套私有网盘,实施成本也会极大提高。另外,私有网盘一般是面向办公文档类型的数据,往往不具备发送大体量业务数据的传输能力。
5、基于数字包裹的企业内外网文件安全交换
“数字包裹”是飞驰传输提出的创新概念,可以实现全链条、高性能、自动化的跨网双向数据传输。可以支持《计算机信息系统安全保护等级》一级至五级的跨网数据传输安全要求,包括以防火墙、DMZ区为主要隔离手段的中级安全标准、以网闸、光闸、光盘摆渡机等为隔离手段的高级安全标准。
『拾』 隔离网闸有哪些功能
安全隔离网闸,又名“网闸”、“物理隔离网闸”,用以实现不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。
安全隔离网闸的组成:
安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:
a. 内网处理单元
b. 外网处理单元
c. 隔离与交换控制单元(隔离硬件)
其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
下面分别介绍三个基本部分的功能:
内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。
外网处理单元:与内网处理单元功能相同,但处理的是外网连接。
隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。
安全隔离网闸的两类模型:
在内外网处理单元中,接口处理与数据缓冲之间的通道,称内部通道1,缓冲区与交换区之间的通道,称内部通道2。对内部通道的开关控制,就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据,称为三区模型;摆渡时,交换区的总线分别与内、外网缓冲区连接,也就是内部通道2的控制,完成数据交换。
还有一种方式是取消数据交换区,分别交互控制内部通道1与内部通道2,形成二区模型。
二区模型的数据摆渡分两次:先是连接内、外网数据缓冲区的内部通道2断开,内部通道1连接,内外网接口单元将要交换的数据接收过来,存在各自的缓冲区中,完成一次摆渡。然后内部通道1断开,内部通道2连接,内外网的数据缓冲区与各自的接口单元断开后,两个缓冲区连接,分别把要交换的数据交换到对方的缓冲区中,完成数据的二次摆渡。
内部通道一般也采用非通用网络的通讯连接,让来自两端的可能攻击终止于接口单元,从而增强网闸的隔离效果。安全隔离网闸设计的目的,是隔离内外网业务连接的前提下,实现安全的数据交换。也就是安全专家描述的:协议落地,数据交换。
功能
由于职能和业务的不同,用户的应用系统及其数据交换方式也多种多样:各种审批系统、各种数据查询系统需要在网络间传输和交换指定数据库记录;各种汇总系统、各种数据采集系统需要在网络间传输和交换指定文件;各种复杂的应用系统需要传输和交换定制数据;内外网之间的邮件互通和网页浏览需求要求网络之间能够进行邮件转发和网页转发。
故主流的安全隔离网闸一般具有如下功能模块:数据库模块、文件模块、消息模块、邮件模块和浏览模块。
