物理隔离网闸主要由内网处理单元、外网处理单元、安全隔离与信息交换处理单元三部分组成。外网处理单元与外网(如Internet)相连,内网处理单元与内网(如军队网)相连;安全隔离与信息交换处理单元通过专用硬件断开内、外网的物理连接,并在任何时刻只与其中一个网络连接,读取等待发送的数据,然后"推送"到另一个网络上。在切换速度非常快的情况下,可以实现信息的实时交换。
物理隔离卡是物理隔离的低级实现形式,一个物理隔离卡只能管一台个人计算机,甚至只可能在Windows环境下工作,每次切换都需要开关机一次。物理隔离网闸是物理隔离的高级实现形式,网闸可以管理整个网络,不需要开关机。网闸实现后,原则上不再需要物理隔离卡。安全隔离是一种逻辑隔离,防火墙就是一种逻辑隔离,因此防火墙也是一种安全隔离。有些厂商对安全隔离增加了一些特点,如采用了双主机结构,但双主机之间却是通过包来转发的。
无论双主机之间采用了多么严格的安全检查,但只要是包转发,就存在基于包的安全漏洞,存在对包的攻击。这在本质上同两个防火墙串联并无本质的差别。
从目前已经存在的安全隔离网闸,包括以下类型:通过串口或并口来实现双主机之间的包转发,通过USB或1394或firewire(火线)等方式来实现双主机之间的包转发,甚至是直接通过以太线来实现双主机之间的包转发,以及其他任何形式的通信方式来实现双主机之间的包转发如专用ASIC开关电路,ATM,Myrinet卡等,都是安全隔离网闸,但都不是物理隔离网闸。
[转载] 金融界