正向隔离装置的基本原理

正向隔离装置的应用系统由内网客户端、正向隔离装置和外网服务器组成。其中内网是指生产控制大区，外网是指管理信息大区。正向隔离装置的方向性主要体现在仅允许由其内网侧向外网侧发起连接以及数据流从内网流向外网的单向性。正向隔离装置在内外网之间实现协议转换、信息流访问控制、内容过滤和信息交换的功能。

装置实现原理装置内部原理框图由内外网ＣＰＵ和隔离岛组成。正向隔离装置内部必须采用“双中央处理器（ＣＰＵ）＋隔离岛”的方式实现，即内外网的数据处理由两个物理独立的ＣＰＵ分别进行，两个ＣＰＵ之间的数据交互通过隔离岛采用私有的协议进行交互。

正向隔离装置通过两个ＣＰＵ和隔离岛的配合完成了协议转换的功能，协议转换是指协议的剥离和重建，在隔离产品一端，把基于网络的公用协议中的应用数据剥离出来，封装为系统专用协议传递至隔离产品另一端，再将专用协议剥离，并封装成需要的格式。

正向隔离装置对隔离岛的要求是：①提供可信物理通道；②采用私有协议实现；③无网络协议栈；④任一时刻只与一侧相连。信息的传输流程具体如附录Ａ图Ａ３所示。当内网需要有数据到达外网的时候，内网的客户端立即发起对隔离设备的数据连接，隔离设备将所有的协议剥离，将原始的纯数据写入高速数据传输通道，此时外网无法通过隔离岛与内网进行数据交互。

一旦数据完全写入隔离设备的单向通道，隔离设备内网侧立即中断与内网的连接，将单向通道内的数据推向外网侧，外网侧收到数据后发起对外网的数据连接。当外网的应答数据需要传输到内网的时候，需要通过隔离装置的专用通道进行数据摆渡，传输原理与上述相同。