隔离网闸关键技术

**，具有高度的安全性，至少在理论和实践上要比防火墙高一个安全级别。除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外，关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成，一套控制外网接口，另一套控制内网接口，然后在两套主机系统之间通过不可路由的协议进行数据交换。

第二，网间完全隔离，关键是网络包不可路由到对方网络，无论中间采用了什么转换方法，只要*终使得一方的网络包能够进入到对方的网络中，都无法称之为隔离，即达不到隔离的效果。显然，只是对网间的包进行转发，并且允许建立端到端连接的防火墙，是没有任何隔离效果的。此外，那些只是把网络包转换为文本，交换到对方网络后，再把文本转换为网络包的产品也是没有做到隔离的。

第三，数据交换安全，既然要达到网络隔离，就必须做到彻底防范基于网络协议的攻击，即不能够让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取，然后进行数据交换，这样就把诸如TearDrop、Land、Smurf和SYNFlood等网络攻击包，彻底地阻挡在了可信网络之外，从而明显地增强了可信网络的安全性。

第四，访问控制，作为一套适用于高安全度网络的安全设备，要确保每次数据交换都是可信的和可控制的，严格防止非法通道的出现，以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术，保证每一次数据交换过程都是可信的，并且内容是可控制的，可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。

第五，网络畅通，隔离技术会在多种多样的复杂网络环境中运用，并且往往是数据交换的关键点，因此，要具有很高的处理性能，不能够成为网络交换的瓶颈，要有很好的稳定性；不能够出现时断时续的情况，要有很强的适应性，能够透明接入网络，并且透明支持多种应用。

第六，数据通讯，即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的*下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。

因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。