物理隔离网闸主要由内网处理单元、外网处理单元、安全隔离与信息交换处理单元三部分组成。外网处理单元与外网（如Internet）相连，内网处理单元与内网（如军队网）相连；安全隔离与信息交换处理单元通过专用硬件断开内、外网的物理连接，并在任何时刻只与其中一个网络连接，读取等待发送的数据，然后"推送"到另一个网络上。在切换速度非常快的情况下，可以实现信息的实时交换。

物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，甚至只可能在Windows环境下工作，每次切换都需要开关机一次。物理隔离网闸是物理隔离的高级实现形式，网闸可以管理整个网络，不需要开关机。网闸实现后，原则上不再需要物理隔离卡。安全隔离是一种逻辑隔离，防火墙就是一种逻辑隔离，因此防火墙也是一种安全隔离。有些厂商对安全隔离增加了一些特点，如采用了双主机结构，但双主机之间却是通过包来转发的。

无论双主机之间采用了多么严格的安全检查，但只要是包转发，就存在基于包的安全漏洞，存在对包的攻击。这在本质上同两个防火墙串联并无本质的差别。

从目前已经存在的安全隔离网闸，包括以下类型：通过串口或并口来实现双主机之间的包转发，通过USB或1394或firewire（火线）等方式来实现双主机之间的包转发，甚至是直接通过以太线来实现双主机之间的包转发，以及其他任何形式的通信方式来实现双主机之间的包转发如专用ASIC开关电路，ATM，Myrinet卡等，都是安全隔离网闸，但都不是物理隔离网闸。

                                                                                                                                                                          [转载] 金融界