什么是网闸?网闸(GAP)全称为安全隔离网闸(Security Gap),主要作用是在不同网络之间提供安全隔离的环境,防止潜在的网络攻击以及数据泄露和非必要的服务不给予访问权限,为避免传输协议的漏洞网闸内部传输数据通常是使用自定义的私有协议来进行传输数据。网闸中又分双向网闸,单向网闸。这两种网闸的区别就在业务的需求是怎么样的,单向就只能左方发送东西,右方方接收东西,要是右方想发东西给左方那就不行(一些正常的确认包是可以的,如果夹杂着其他东西就不行),双向网闸就能建立双方互发数据的规则。主要起到隔离作用的是他内部的构造,一台网闸的内外网接口是分开的,其连接方式是由内部两块主板通过中间的一块隔离卡所建策略以及安全厂商的加密算法来交换流量,具体构造如下:
应用场景拿小编的接触过的来说吧,生产环境中都会分区,一区,二区,三区等等等,这些区之间有业务互联,但是我又想把这些区给物理隔离掉,此时网闸的作用就体现出来了。以上图为例,内外网都各自有各自的一块主板,需要配置业务通讯规则的情况下(拿双向业务来举例),我要在内网配置口配置一遍,再到外网配置口再配一遍(单向传输业务则不需要)。特鸡肋,配置规则的时候也要配置好几样东西(通道,规则,处理单元),但是相应来说也安全。上面所说的配置方法是大部分厂商的网闸配置步骤,有一些网闸是通过应用连上去不用web,有一些则是用web,个人认为以安全的角度来看的话还是用应用为好,用应用的话他还有固定版本的程序去连接,你要换其他版本还可能显示不全、配置不了等等小问题。web也有web的优点,他就比应用好操作,更容易看懂不会乱。
说到这个分区隔离为什么用这个不能用防火墙呢这两玩意在安全中扮演的角色是不一样的,虽然防火墙也能提供防护,但是在某些情况下,网闸提供的物理隔离更为彻底更为安全。1,前面也说到,网闸双主机双网卡再加一个隔离卡,这种架构不管怎么说都比防火墙的单主板单网卡好。2,网闸工作在应用层,能对数据内容审查更彻底。而防火墙在网络层,数据直接转发,对内容审查级别较低。网闸能支持更多控制应用类型:数据库、文件、定制接口。3,网闸数据交换需要数据落地在做转换传输,连接在内外网主板上终止,就意味着不会有长连接,内部网络信息完全屏蔽。防火墙是路由或者直接透明存在被劫持利用风险。4,防火墙的设计是联通为主其次是安全,网闸是主要安全才到数据转换