网闸WEB环境的防护原理

  网闸提供不同的安全机制，作为传统防火墙在安全领域的补充，已经被越来越多政企场合接受，那么网闸有什么特别之处呢。

防火墙很多人比较熟悉，一般作为边缘网关部署，通过访问控制，限制或开放网络中某些协议和端口保证网络安全，如果数据包能通过防火墙包过滤，状态检测等方法的检测，那么防火墙就认为连接申请是合法安全的，允许两边数据进行连接通讯。防火墙在使用中存在以下问题：防火墙侧重网络层至应用层的策略隔离，依赖于TCP/IP协议，在网络层对数据包进行安全检查，通过网络攻击特征规则库进行动态防护，多数防火墙是基于路由器的数据包分组过滤，防护能力差。

网闸不是基于OSI的TCP/IP的工作模型，通过隔离硬件将内外网在数据链层断开。我们以一个外网访问内网WEB服务器为例，基于OSI的数据连接到网闸外网主机，因为外网主机也支持TCP/IP协议栈，外网主机将原始数据之外的TCP/IP协议包剥离，只留原始数据，这一步时其实能阻止基于OSI协议的攻击，因为很多攻击都是在各层网络协议做手脚的。外网机和隔离存储发起非TCP/IP协议的数据连接，当数据全部写入隔离存储后，外网机和隔离存储连接中断。隔离存储和内网机也进行连接，将数据发送内网机，内网机收到元数据后，需要转发给WEB服务器，但WEB服务器并不能识别发来的元数据，因此网闸内网机需要将收到的元数据再进行TCP/IP封装，打包成WEB服务器可以识别的网络包，这样就完成了一个完整的WEB数据传输。

可以用个通俗的比喻来说明，A国总统收到B国总统的礼物，A国内务办能证明礼物确是由B国外交人员转交的，但无法排除在运输过程中是否有人做过手脚，防火墙的方法是将包裹放安检仪上，类似过地铁安检，检查包装是否含尖锐金属，是否内夹违禁器物，如果没告警就允许通过，转交总统亲自开启。网闸直接把外包装扒掉(外网机协议剥离)，取出礼物（元数据），按原来木箱还是塑料的同等规格再换一个包装（内网机协议封装），然后再送到总统手中。这样就不用担心非法包装的隐患，更换后的包装当然也要符合两国外交约定俗成的礼仪包装规范。

这样简单的描述了一下网闸不同于防火墙的访问传输原理，当然网闸不是防火墙的替换，而是安全的补充。