网闸功能的安全实现

网闸一般位于两个独立的网络之间，不是通过建立两边的物理和逻辑协议连接去控制信息包的转发，而只是存在在介质上读和写的操作。因此安全隔离网闸阻断了物理和协议连接的攻击可能性，实现真正意义上的安全。

网闸可以具有如下功能模块：网络隔离，内部防护，协议转换，病毒检测，访问控制，身份认证，安全审计

  通过功能模块实现一些主要功能：

1  隔离卡只能同时与内外网络的一边保持连接，这样从物理上将内外网络隔离

2  阻断逻辑连接，网闸不依赖TCP/IP连接，两个网络之间的信息交换必须将TCP/IP协议封装包剥离，内外存储介质只能进行裸数据的传输，原始裸数据类似纯txt文本，不会有病毒也不会执行命令。

3  网闸也可对剥离后的原始数据进行检测，把可能的风险或病毒代码消灭。

4  根据应用数据的特征，形成应用特征库，在请求发生时，提取应用特征和已有特征库比对，实现特征的过滤。

5  用户可自定义设定数据传输方向，时间，传输数据的单位等。

6  网闸内外板之间的隔离卡介质负责和两边数据进行摆渡传输，基于私密的通讯手段，保证了数据摆渡的安全性。

网闸的命名和实现原理很像渡轮，如一批货从河东岸到西岸（类似内网到外网），没有桥梁的搭建（类似物理连接），这时就需要将货物放到渡轮上摆渡过去，因为渡轮的载荷要求，不能将岸边运送货物的马车也放上去，只能纯货物运输，并且在卸货后可能有专人（功能模块）对货品进行检查，安检过后，搬运上渡轮并说一句黑话“天王盖地虎”（私有协议），渡轮知道是自己人，就开船运到对岸，交由对岸接收人员时也说一句“宝塔镇河妖”，对岸知道这个渡轮是自己人，收货后装上马车，送往目的地。

整个网闸的使用原理基本就是这样，他应用和防火墙完全不同的工作模式，属于另个层面的安全防护。