一、物理隔離網閘的定位

   物理隔離技術，不是要替代防火墻，入侵檢測，漏洞掃描和防病毒系統(tǒng)，相反，它是用戶“深度防御”的安全策略的另外一塊基石，一般用來保護為了的“核心”。物理隔離技術，是絕對要解決互聯(lián)網的安全問題，而不是什么其它的問題。

    二、物理隔離要解決的問題

    解決目前防火墻存在的根本問題：
·防火墻對操作系統(tǒng)的依賴，因為操作系統(tǒng)也有漏洞
· TCP/IP的協(xié)議漏洞：不用TCP/IP
· 防火墻、內網和DMZ同時直接連接
· 應用協(xié)議的漏洞，因為命令和指令可能是非法的
· 文件帶有病毒和惡意代碼：不支持MIME，只支持TXT，或殺病毒軟件，或惡意代碼檢查軟件
物理隔離的指導思想與防火墻有很大的不同：（1）防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全，而（2）物理隔離的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。

    三、TCP/IP的漏洞

    TCP/IP是冷戰(zhàn)時期的產物，目標是要保證通達，保證傳輸的粗曠性。通過來回確認來保證數據的完整性，不確認則要重傳。TCP/IP沒有內在的控制機制，來支持源地址的鑒別，來證實IP從哪兒來。這就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的這個漏洞，可以使用偵聽的方式來截獲數據，能對數據進行檢查，推測TCP的系列號，修改傳輸路由，修改鑒別過程，插入黑客的數據流。莫里斯病毒就是利用這一點，給互聯(lián)網造成巨大的危害。

    防火墻的漏洞

    防火墻要保證服務，必須開放相應的端口。防火墻要準許HTTP服務，就必須開放80端口，要提供MAIL服務，就必須開放25端口等。對開放的端口進行攻擊，防火墻不能防止。利用DOS或DDOS，對開放的端口進行攻擊，防火墻無法禁止。利用開放服務流入的數據來攻擊，防火墻無法防止。利用開放服務的數據隱蔽隧道進行攻擊，防火墻無法防止。攻擊開放服務的軟件缺陷，防火墻無法防止。
防火墻不能防止對自己的攻擊，只能強制對抗。防火墻本身是一種被動防衛(wèi)機制，不是主動安全機制。防火墻不能干涉還沒有到達防火墻的包，如果這個包是攻擊防火墻的，只有已經發(fā)生了攻擊，防火墻才可以對抗，根本不能防止。
目前還沒有一種技術可以解決所有的安全問題，但是防御的深度愈深，網絡愈安全。物理隔離網閘是目前唯一能解決上述問題的安全設備。

    物理隔離的技術原理

    物理隔離的技術架構在隔離上。以下的圖組可以給我們一個清晰的概念，物理隔離是如何實現(xiàn)的。圖1，外網是安全性不高的互聯(lián)網，內網是安全性很高的內部專用網絡。正常情況下，隔離設備和外網，隔離設備和內網，外網和內網是完全斷開的。保證網絡之間是完全斷開的。隔離設備可以理解為純粹的存儲介質，和一個單純的調度和控制電路。



    當外網需要有數據到達內網的時候，以電子郵件為例，外部的服務器立即發(fā)起對隔離設備的非TCP/IP協(xié)議的數據連接，隔離設備將所有的協(xié)議剝離，將原始的數據寫入存儲介質。根據不同的應用，可能有必要對數據進行完整性和安全性檢查，如防病毒和惡意代碼等。見下圖2。



    一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與外網的連接。轉而發(fā)起對內網的非TCP/IP協(xié)議的數據連接。隔離設備將存儲介質內的數據推向內網。內網收到數據后，立即進行TCP/IP的封裝和應用協(xié)議的封裝，并交給應用系統(tǒng)。
這個時候內網電子郵件系統(tǒng)就收到了外網的電子郵件系統(tǒng)通過隔離設備轉發(fā)的電子郵件。見下圖3。



    在控制臺收到完整的交換信號之后，隔離設備立即切斷隔離設備于內網的直接連接。見下圖4。



    如果這時，內網有電子郵件要發(fā)出，隔離設備收到內網建立連接的請求之后，建立與內網之間的非TCP/IP協(xié)議的數據連接。隔離設備剝離所有的TCP/IP協(xié)議和應用協(xié)議，得到原始的數據，將數據寫入隔離設備的存儲介質。必要的化，對其進行防病毒處理和防惡意代碼檢查。然后中斷與內網的直接連接。見下圖5。



    一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與內網的連接。轉而發(fā)起對外網的非TCP/IP協(xié)議的數據連接。隔離設備將存儲介質內的數據推向外網。外網收到數據后，立即進行TCP/IP的封裝和應用協(xié)議的封裝，并交給系統(tǒng)。見下圖6。



    控制臺收到信息處理完畢后，立即中斷隔離設備與外網的連接，恢復到完全隔離狀態(tài)。見下圖7。



    每一次數據交換，隔離設備經歷了數據的接受，存儲和轉發(fā)三個過程。由于這些規(guī)則都是在內存和內核力完成的，因此速度上有保證，可以達到100%的總線處理能力。

    物理隔離的一個特征，就是內網與外網永不連接，內網和外網在同一時間最多只有一個同隔離設備建立非TCP/IP協(xié)議的數據連接。其數據傳輸機制是存儲和轉發(fā)。

    物理隔離的好處是明顯的，即使外網在最壞的情況下，內網不會有任何破壞。修復外網系統(tǒng)也非常容易。