安全接入平臺和網閘區別（網絡安全安全設備篇）

2023-10-21 01:04:36

網閘（GAP）全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬體在電路上切斷網絡之間的鏈路層連接，並能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。

網閘在兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息才可以通過。其信息流一般為通用應用服務。

網閘的一個基本特徵，就是內網與外網永遠不連接，內網和外網在同一時間最多只有一個同隔離設備建立數據連接，可以是兩個都不連接，但不能兩個同時都連接。

網閘的硬體主要包括三部分：分別是專用安全隔離切換裝置（數據暫存區）、內部處理單元和外部處理單元。系統中的專用安全隔離切換裝置分別連接內部處理單元和外部處理單元。這種獨特和巧妙的設計，保證了安全隔離切換裝置中的數據暫存區在任一時刻僅連通內部或者外部處理單元，從而實現內外網的安全隔離。

安全隔離網閘的雙主機之間是物理阻斷的，無連接的，因此，黑客不可能掃描內部網絡的所有主機的作業系統漏洞，無法攻擊內部，包括安全隔離網閘的內部主機系統。

由於安全隔離網閘的主機系統把TCP/IP協議頭全部剝離，以原始數據方式在兩主機系統間進行「擺渡」，網閘的接受請求的主機系統與請求主機之間建立會話，因此，對於目前所有的如源地址欺騙、偽造TCP序列號、SYN攻擊等TCP/IP漏洞攻擊是完全阻斷的。

安全隔離網閘對於每個應用都是在應用層進行處理，並且策略需按照應用逐個下達，同時對於目的地址也要唯一性指定，因此內部主機上的木馬是無法實現將數據外洩的。並且木馬主動發起的對外連接也將直接被隔離設備切斷。

安全隔離網閘在理論上是完全可以防止基於文件的攻擊，如病毒等。病毒一般依附在高級文件格式上，低級文件格式則不會有病毒，因此進行文件「擺渡」的時候，可以限制文件的類型，如只有文本文件才可以通過「擺渡」，這樣就不會有病毒。另外一種方式，是剝離重組方式。剝離高級格式，就消除了病毒的載體，重組後的文件，不會再有病毒。這種方式會導致效率的下降，一些潛在的危險的格式可能會被禁止。

安全隔離網閘自身特有的無連接特性，能夠很好的防止DoS或DDoS攻擊穿過隔離設備攻擊伺服器。但也不能抵禦針對安全隔離設備本身的DDoS攻擊。

內外網主機系統分別有獨立於網絡接口的專用管理接口，同時對於運行的安全策略需要在兩個系統分別下達，並通過統一的任務號進行對應。以此達到高安全。即使系統的外網處理單元癱瘓，網絡攻擊也無法觸及內網處理單元。

可結合防火牆、IDS、VPN等安全設備運行，形成綜合網絡安全防護平臺。