网闸常见问题解答

1、问题

：网闸是什么设备
？

解答

：网闸是一种由专用硬件在电路上切断网络之间的链路层连接
，能够在物理隔离的网络之间进行适度的安全数据交换的网络安全设备
。

2、问题：网闸是硬件设备还是软件设备？

解答
：网闸是由软件和硬件组成的设备
。

3、问题
：网闸硬件设备是由几部分组成

？

解答
：离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元
、隔离硬件。

4、问题：单向传输用单主机网闸可以吗
？

解答：网闸的组成必须是由物理的三部分组成，所以单主机（包括多处理器）的安全产品并不是网闸产品
，无法完成物理隔离任务
。其所谓的单向传输只是基于数据包的过滤，类似防火墙产品，并不是物理隔离产品。

5
、问题：为什么要使用网闸？

解答

：当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，信息交换的需求将无法满足
；如果采用防火墙
，则无法防止内部信息泄漏和外部病毒、黑客程序的渗入
，安全性无法保证。在这种情况下，网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是物理隔离网络之间数据交换的最佳选择。

6、问题
：政府机关上网计算机为什么必须内外网物理隔离？

解答：在政府建立内部网的工程中

，安全保密问题一直是工程建设的重点内容，这是因为内部网中的信息常常是涉密或内部信息
。为此，国家明确规定涉及国家秘密的计算机信息系统
，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离，以确保国家秘密的安全
。

7、问题
：为什么说网闸能够防止未知和已知木马攻击？

解答
：通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接
，而网闸从原理实现上就切断所有的TCP连接，包括UDP
、ICMP等其他各种协议，使各种木马无法通过网闸进行通讯。从而可以防止未知和已知的木马攻击。

8、问题
：网闸能取代防火墙吗
？

解答：无论从功能还是实现原理上讲，网闸和防火墙是完全不同的两个产品
，防火墙是保证网络层安全的边界安全工具（如通常的非军事化区），而网闸重点是保护内部网络的安全

。因此两种产品由于定位的不同，因此不能相互取代。

9、问题
：网闸通常布置在什么位置？  

解答：网闸通常布置在两个安全级别不同的两个网络之间，如信任网络和非信任网络，管理员可以从信任网络一方对网闸进行管理
。

10、问题
：网闸是否可以在网络内部使用？

解答：可以，网络内部安全级别不同的两个网络之间也可以安装网闸进行隔离。

11、问题
：如果对应网络七层协议，网闸是在哪一层断开
？

解答
：如果针对网络七层协议
，网闸是在硬件链路层上断开。

12、问题：有了防火墙和IDS
，还需要网闸吗？

解答
：防火墙是网络层边界检查工具，可以设置规则对内部网络进行安全防护，而IDS一般是对已知攻击行为进行检测，这两种产品的结合可以很好的保护用户的网络
，但是从安全原理上来讲
，无法对内部网络做更深入的安全防护。网闸重点是保护内部网络，如果用户对内部网络的安全非常在意，那么防火墙和IDS再加上网闸将会形成一个很好的防御体系。

13
、问题：网闸适用于什么样的场合

？

解答
：第①种场合：涉密网与非涉密网之间
。

第②种场合

：局域网与互联网之间。有些局域网络，特别是政府办公网络
，涉及敏感信息，有时需要与互联网在物理上断开，用物理网闸是一个常用的办法
。

第③种场合
：办公网与业务网之间

由于办公网络与业务网络的信息敏感程度不同，例如
，银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率
，办公网络有时需要与业务网络交换信息。为解决业务网络的安全，比较好的办法就是在办公网与业务网之间使用物理网闸
，实现两类网络的物理隔离。

第④种场合：电子政务的内网与专网之间

在电子政务系统建设中，要求政府内网与外网之间用逻辑隔离，在政府专网与内网之间用物理隔离。现常用的方法是用物理网闸来实现。

第⑤种场合：业务网与互联网之间

电子商务网络一边连接着业务网络服务器，一边通过互联网连接着广大民众。为了保障业务网络服务器的安全，在业务网络与互联网之间应实现物理隔离。