1、什么是物理隔離網(wǎng)閘，網(wǎng)閘原理，網(wǎng)閘功能問(wèn)題: 網(wǎng)閘的工作原理是什么？ 解答：網(wǎng)閘的基本原理是：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進(jìn)行分 解或重組為靜態(tài)數(shù)據(jù)；對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查 和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶通過(guò)嚴(yán)格 的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。問(wèn)題：什么是網(wǎng)閘？解答：網(wǎng)閘是在兩個(gè)不同安全域之間，通過(guò)協(xié)議轉(zhuǎn)換的手段，以信息擺渡的 方式實(shí)現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^(guò)。其信息流一般為通用應(yīng)用服務(wù)。注：網(wǎng)閘的“閘”字取自于船閘的意 思，在信息擺渡的過(guò)程中內(nèi)外網(wǎng)（上下游）從未發(fā)生物理連接，所以 網(wǎng)閘產(chǎn)品必須要有至少兩套主機(jī)和一個(gè)物理隔

2、離部件才可完成物理隔 離任務(wù)。現(xiàn)在市場(chǎng)上出現(xiàn)的的單主機(jī)網(wǎng)閘或單主機(jī)中有兩個(gè)及多個(gè)處 理引擎的過(guò)濾產(chǎn)品不是真正的網(wǎng)閘產(chǎn)品，不符合物理隔離標(biāo)準(zhǔn)。其只 是一個(gè)包過(guò)濾的安全產(chǎn)品，類似防火墻。注：?jiǎn)沃鳈C(jī)網(wǎng)閘多以單向網(wǎng) 閘來(lái)掩人耳目。問(wèn)題：隔離網(wǎng)閘是什么設(shè)備？解答：隔離網(wǎng)閘是一種由專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，能 夠在物理隔離的網(wǎng)絡(luò)之間進(jìn)行適度的安全數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。問(wèn)題：隔離網(wǎng)閘是硬件設(shè)備還是軟件設(shè)備？解答：隔離網(wǎng)閘是由軟件和硬件組成的設(shè)備。問(wèn)題：隔離網(wǎng)閘硬件設(shè)備是由幾部分組成？解答：隔離網(wǎng)閘的硬件設(shè)備由三部分組成沙卜部處理單元、內(nèi)部處理單元、隔 離硬件。問(wèn)題：?jiǎn)蜗騻鬏斢脝沃鳈C(jī)網(wǎng)閘可以

3、嗎？解答：隔離網(wǎng)閘的組成必須是由物理的三部分組成，所以單主機(jī)（包括多處 理器）的安全產(chǎn)品并不是網(wǎng)閘產(chǎn)品，無(wú)法完成物理隔離任務(wù)。其所謂 的單向傳輸只是基于數(shù)據(jù)包的過(guò)濾，類似防火墻產(chǎn)品，并不是物理隔 離產(chǎn)品。問(wèn)題：為什么要使用隔離網(wǎng)閘？解答：當(dāng)用戶的網(wǎng)絡(luò)需要保證高強(qiáng)度的安全，同時(shí)又與其它不信任網(wǎng)絡(luò)進(jìn)行 信息交換的情況下，如果采用物理隔離卡，信息交換的需求將無(wú)法滿 足；如果采用防火墻，則無(wú)法防止內(nèi)部信息泄漏和外部病毒、黑客程 序的滲入，安全性無(wú)法保證。在這種情況下，隔離網(wǎng)閘能夠同時(shí)滿足 這兩個(gè)要求，又避免了物理隔離卡和防火墻的不足之處，是物理隔離 網(wǎng)絡(luò)之間數(shù)據(jù)交換的最佳選擇。問(wèn)題：政府機(jī)關(guān)上網(wǎng)計(jì)算機(jī)

4、為什么必須內(nèi)外網(wǎng)物理隔離？解答：在政府建立內(nèi)部網(wǎng)的工程中，安全保密問(wèn)題一直是工程建設(shè)的重點(diǎn)內(nèi) 容，這是因?yàn)閮?nèi)部網(wǎng)中的信息常常是涉密或內(nèi)部信息。為此，國(guó)家明 確規(guī)定涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互 聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離，以確保國(guó)家秘 密的安全。問(wèn)題：為什么說(shuō)隔離網(wǎng)閘能夠防止未知和已知木馬攻擊？解答：通常見(jiàn)到的木馬大部分是基于TCP的，木馬的客戶端和服務(wù)器端需要 建立連接，而隔離網(wǎng)閘從原理實(shí)現(xiàn)上就切斷所有的TCP連接，包括U DP、ICMP等其他各種協(xié)議，使各種木馬無(wú)法通過(guò)隔離網(wǎng)閘進(jìn)行通訊。 從而可以防止未知和已知的木馬攻擊。問(wèn)題：隔離網(wǎng)閘與防火墻有

5、何不同？解答：主要有以下幾點(diǎn)不同：A、隔離網(wǎng)閘采用雙主機(jī)系統(tǒng)，內(nèi)端機(jī)與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接，夕卜 端機(jī)與外網(wǎng)連接。這種雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護(hù)起來(lái)，即使外網(wǎng)被 黑客攻擊，甚至癱瘓，也無(wú)法對(duì)內(nèi)網(wǎng)造成傷害。防火墻是單主機(jī)系統(tǒng)。B、隔離網(wǎng)閘采用自身定義的私有通訊協(xié)議，避免了通用協(xié)議存在的漏 洞。防火墻采用通用通訊協(xié)議即TCP/IP協(xié)議。C、隔離網(wǎng)閘采用專用硬件控制技術(shù)保證內(nèi)外網(wǎng)之間沒(méi)有實(shí)時(shí)連接。而 防火墻必須保證實(shí)時(shí)連接。D、隔離網(wǎng)閘對(duì)外網(wǎng)的任何響應(yīng)都保證是內(nèi)網(wǎng)合法用戶發(fā)出的請(qǐng)求應(yīng) 答，即被動(dòng)響應(yīng)，而防火墻則不會(huì)對(duì)外網(wǎng)響應(yīng)進(jìn)行判斷，也即主動(dòng)響 應(yīng)。這樣，網(wǎng)閘就避免了木馬和黑客的攻擊。問(wèn)題：隔離網(wǎng)閘

6、能取代防火墻嗎？解答：無(wú)論從功能還是實(shí)現(xiàn)原理上講，隔離網(wǎng)閘和防火墻是完全不同的兩個(gè) 產(chǎn)品，防火墻是保證網(wǎng)絡(luò)層安全的邊界安全工具（如通常的非軍事化 區(qū)），而隔離網(wǎng)閘重點(diǎn)是保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。因此兩種產(chǎn)品由于定 位的不同，因此不能相互取代。問(wèn)題：隔離網(wǎng)閘通常布置在什么位置？解答：隔離網(wǎng)閘通常布置在兩個(gè)安全級(jí)別不同的兩個(gè)網(wǎng)絡(luò)之間，如信任網(wǎng)絡(luò) 和非信任網(wǎng)絡(luò)，管理員可以從信任網(wǎng)絡(luò)一方對(duì)安全隔離網(wǎng)閘進(jìn)行管理。問(wèn)題：隔離網(wǎng)閘是否可以在網(wǎng)絡(luò)內(nèi)部使用？解答：可以，網(wǎng)絡(luò)內(nèi)部安全級(jí)別不同的兩個(gè)網(wǎng)絡(luò)之間也可以安裝隔離網(wǎng)閘進(jìn) 行隔離。問(wèn)題：如果對(duì)應(yīng)網(wǎng)絡(luò)七層協(xié)議，隔離網(wǎng)閘是在哪一層斷開(kāi)？解答：如果針對(duì)網(wǎng)絡(luò)七層協(xié)議，隔離網(wǎng)

7、閘是在硬件鏈路層上斷開(kāi)。問(wèn)題：有了防火墻和IDS，還需要隔離網(wǎng)閘嗎？解答：防火墻是網(wǎng)絡(luò)層邊界檢查工具，可以設(shè)置規(guī)則對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全防 護(hù)，而IDS 一般是對(duì)已知攻擊行為進(jìn)行檢測(cè)，這兩種產(chǎn)品的結(jié)合可以 很好的保護(hù)用戶的網(wǎng)絡(luò)，但是從安全原理上來(lái)講，無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)做 更深入的安全防護(hù)。隔離網(wǎng)閘重點(diǎn)是保護(hù)內(nèi)部網(wǎng)絡(luò)，如果用戶對(duì)內(nèi)部 網(wǎng)絡(luò)的安全非常在意，那么防火墻和IDS再加上隔離網(wǎng)閘將會(huì)形成一 個(gè)很好的防御體系。問(wèn)題：隔離網(wǎng)閘適用于什么樣的場(chǎng)合？解答：第1種場(chǎng)合：涉密網(wǎng)與非涉密網(wǎng)之間。第2種場(chǎng)合：局域網(wǎng)與互聯(lián)網(wǎng)之間。有些局域網(wǎng)絡(luò)，特別是政府辦公 網(wǎng)絡(luò)，涉及敏感信息，有時(shí)需要與互聯(lián)網(wǎng)在物理上斷開(kāi)，用物理隔離 網(wǎng)閘是一個(gè)常用的辦法。第3種場(chǎng)合：辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間由于辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的信息敏感程度不同，例如，銀行的辦公網(wǎng) 絡(luò)和銀行業(yè)務(wù)網(wǎng)絡(luò)就是很典型的信息敏感程度不同的兩類網(wǎng)絡(luò)。為了 提高工作效率，辦公網(wǎng)絡(luò)有時(shí)需要與業(yè)務(wù)網(wǎng)絡(luò)交換信息。為解決業(yè)務(wù) 網(wǎng)絡(luò)的安全，比較好的辦法就是在辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間使用物理隔離 網(wǎng)閘，實(shí)現(xiàn)兩類網(wǎng)絡(luò)的物理隔離。第4種場(chǎng)合：電子政務(wù)的內(nèi)網(wǎng)與專網(wǎng)之間在電子政務(wù)系統(tǒng)建設(shè)中，要求政府內(nèi)網(wǎng)與外網(wǎng)之間用邏輯隔離，