通过网闸实现业务自动交换的方法

使用网闸，只提供数据的文件的点到点交换，这对于支持内外网大量数据通讯的应用是显然不够的，如何实现应用的转换呢？

尽管网闸的安全原则定义了不做业务协议解析的原则，保障网闸隔离业务的效果。但对于业务本身可以设立自己的代理服务器，通过要交换数据的翻译，实现业务的自动交换。

Ø在内外网设立业务数据交换的代理服务器，在内外网的代理服务器成对出现，目的是建立业务访问的逻辑连接代理。

Ø 代理服务器把业务的数据转换成可以交换的数据文件，并且指定交换的发送人与接收人为内外网的代理服务器。

从业务应用的角度来看，这种业务数据代理方式与厂家在网闸中实现的协议解析有些相似，都实现了业务访问的内外网互通，但从整个网络的安全角度上看，是有根本区别的：

Ø 通过安全隔离网闸没有应用协议，业务应用在内外网中间是中断的。

Ø 业务数据交换代理是针对每个需要内外网大量数据交换的业务开发的，业务针对性强，认证、加密等方式各不相同，由于业务开发的认证、加密属于私密处理，每个应用都不相同，被攻击的可能比较小。即使有攻击，也只能针对本业务，不会扩展到内网的其他业务。

Ø 与进行协议解析相比，网闸解析协议开通的是一类协议的所有应用，而业务代理是针对一个应用的开通。协议原理比较公开，被利用攻击的可能性较高，即使使用安全的用户身份确认技术，也不能与应用不同而改变，当应用增多时，危险增大。而代理服务的数据转换是业务本身开发的，根据业务本身的安全级别要求，采取各自的身份确认机制，与应用的融合性好，对业务使用者本身的权限管理也比较严格，对资源的安全管理粒度也比较细。

网闸的设计目标：保证业务通讯隔离的基础上，实现数据交换，其关键是安全性的延续，所以网闸的设计重点不仅是隔离与交换的控制逻辑设计上，而且包括业务代理的实现模式上。