1、什么是物理隔離網(wǎng)閘，網(wǎng)閘原理，網(wǎng)閘功能問題: 網(wǎng)閘的工作原理是什么？ 解答：網(wǎng)閘的基本原理是：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進行分 解或重組為靜態(tài)數(shù)據(jù)；對靜態(tài)數(shù)據(jù)進行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查 和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶通過嚴(yán)格 的身份認(rèn)證機制獲取所需數(shù)據(jù)。問題：什么是網(wǎng)閘？解答：網(wǎng)閘是在兩個不同安全域之間，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的 方式實現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應(yīng)用服務(wù)。注：網(wǎng)閘的“閘”字取自于船閘的意 思，在信息擺渡的過程中內(nèi)外網(wǎng)（上下游）從未發(fā)生物理連接，所以 網(wǎng)閘產(chǎn)品必須要有至少兩套主機和一個物理隔

2、離部件才可完成物理隔 離任務(wù)?，F(xiàn)在市場上出現(xiàn)的的單主機網(wǎng)閘或單主機中有兩個及多個處 理引擎的過濾產(chǎn)品不是真正的網(wǎng)閘產(chǎn)品，不符合物理隔離標(biāo)準(zhǔn)。其只 是一個包過濾的安全產(chǎn)品，類似防火墻。注：單主機網(wǎng)閘多以單向網(wǎng) 閘來掩人耳目。問題：隔離網(wǎng)閘是什么設(shè)備？解答：隔離網(wǎng)閘是一種由專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，能 夠在物理隔離的網(wǎng)絡(luò)之間進行適度的安全數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。問題：隔離網(wǎng)閘是硬件設(shè)備還是軟件設(shè)備？解答：隔離網(wǎng)閘是由軟件和硬件組成的設(shè)備。問題：隔離網(wǎng)閘硬件設(shè)備是由幾部分組成？解答：隔離網(wǎng)閘的硬件設(shè)備由三部分組成沙卜部處理單元、內(nèi)部處理單元、隔 離硬件。問題：單向傳輸用單主機網(wǎng)閘可以

3、嗎？解答：隔離網(wǎng)閘的組成必須是由物理的三部分組成，所以單主機（包括多處 理器）的安全產(chǎn)品并不是網(wǎng)閘產(chǎn)品，無法完成物理隔離任務(wù)。其所謂 的單向傳輸只是基于數(shù)據(jù)包的過濾，類似防火墻產(chǎn)品，并不是物理隔 離產(chǎn)品。問題：為什么要使用隔離網(wǎng)閘？解答：當(dāng)用戶的網(wǎng)絡(luò)需要保證高強度的安全，同時又與其它不信任網(wǎng)絡(luò)進行 信息交換的情況下，如果采用物理隔離卡，信息交換的需求將無法滿 足；如果采用防火墻，則無法防止內(nèi)部信息泄漏和外部病毒、黑客程 序的滲入，安全性無法保證。在這種情況下，隔離網(wǎng)閘能夠同時滿足 這兩個要求，又避免了物理隔離卡和防火墻的不足之處，是物理隔離 網(wǎng)絡(luò)之間數(shù)據(jù)交換的最佳選擇。問題：政府機關(guān)上網(wǎng)計算機

4、為什么必須內(nèi)外網(wǎng)物理隔離？解答：在政府建立內(nèi)部網(wǎng)的工程中，安全保密問題一直是工程建設(shè)的重點內(nèi) 容，這是因為內(nèi)部網(wǎng)中的信息常常是涉密或內(nèi)部信息。為此，國家明 確規(guī)定涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互 聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實行物理隔離，以確保國家秘 密的安全。問題：為什么說隔離網(wǎng)閘能夠防止未知和已知木馬攻擊？解答：通常見到的木馬大部分是基于TCP的，木馬的客戶端和服務(wù)器端需要 建立連接，而隔離網(wǎng)閘從原理實現(xiàn)上就切斷所有的TCP連接，包括U DP、ICMP等其他各種協(xié)議，使各種木馬無法通過隔離網(wǎng)閘進行通訊。 從而可以防止未知和已知的木馬攻擊。問題：隔離網(wǎng)閘與防火墻有

5、何不同？解答：主要有以下幾點不同：A、隔離網(wǎng)閘采用雙主機系統(tǒng)，內(nèi)端機與需要保護的內(nèi)部網(wǎng)絡(luò)連接，夕卜 端機與外網(wǎng)連接。這種雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護起來，即使外網(wǎng)被 黑客攻擊，甚至癱瘓，也無法對內(nèi)網(wǎng)造成傷害。防火墻是單主機系統(tǒng)。B、隔離網(wǎng)閘采用自身定義的私有通訊協(xié)議，避免了通用協(xié)議存在的漏 洞。防火墻采用通用通訊協(xié)議即TCP/IP協(xié)議。C、隔離網(wǎng)閘采用專用硬件控制技術(shù)保證內(nèi)外網(wǎng)之間沒有實時連接。而 防火墻必須保證實時連接。D、隔離網(wǎng)閘對外網(wǎng)的任何響應(yīng)都保證是內(nèi)網(wǎng)合法用戶發(fā)出的請求應(yīng) 答，即被動響應(yīng)，而防火墻則不會對外網(wǎng)響應(yīng)進行判斷，也即主動響 應(yīng)。這樣，網(wǎng)閘就避免了木馬和黑客的攻擊。問題：隔離網(wǎng)閘

6、能取代防火墻嗎？解答：無論從功能還是實現(xiàn)原理上講，隔離網(wǎng)閘和防火墻是完全不同的兩個 產(chǎn)品，防火墻是保證網(wǎng)絡(luò)層安全的邊界安全工具（如通常的非軍事化 區(qū)），而隔離網(wǎng)閘重點是保護內(nèi)部網(wǎng)絡(luò)的安全。因此兩種產(chǎn)品由于定 位的不同，因此不能相互取代。問題：隔離網(wǎng)閘通常布置在什么位置？解答：隔離網(wǎng)閘通常布置在兩個安全級別不同的兩個網(wǎng)絡(luò)之間，如信任網(wǎng)絡(luò) 和非信任網(wǎng)絡(luò)，管理員可以從信任網(wǎng)絡(luò)一方對安全隔離網(wǎng)閘進行管理。問題：隔離網(wǎng)閘是否可以在網(wǎng)絡(luò)內(nèi)部使用？解答：可以，網(wǎng)絡(luò)內(nèi)部安全級別不同的兩個網(wǎng)絡(luò)之間也可以安裝隔離網(wǎng)閘進 行隔離。問題：如果對應(yīng)網(wǎng)絡(luò)七層協(xié)議，隔離網(wǎng)閘是在哪一層斷開？解答：如果針對網(wǎng)絡(luò)七層協(xié)議，隔離網(wǎng)

7、閘是在硬件鏈路層上斷開。問題：有了防火墻和IDS，還需要隔離網(wǎng)閘嗎？解答：防火墻是網(wǎng)絡(luò)層邊界檢查工具，可以設(shè)置規(guī)則對內(nèi)部網(wǎng)絡(luò)進行安全防 護，而IDS 一般是對已知攻擊行為進行檢測，這兩種產(chǎn)品的結(jié)合可以 很好的保護用戶的網(wǎng)絡(luò)，但是從安全原理上來講，無法對內(nèi)部網(wǎng)絡(luò)做 更深入的安全防護。隔離網(wǎng)閘重點是保護內(nèi)部網(wǎng)絡(luò)，如果用戶對內(nèi)部 網(wǎng)絡(luò)的安全非常在意，那么防火墻和IDS再加上隔離網(wǎng)閘將會形成一 個很好的防御體系。問題：隔離網(wǎng)閘適用于什么樣的場合？解答：第1種場合：涉密網(wǎng)與非涉密網(wǎng)之間。第2種場合：局域網(wǎng)與互聯(lián)網(wǎng)之間。有些局域網(wǎng)絡(luò)，特別是政府辦公 網(wǎng)絡(luò)，涉及敏感信息，有時需要與互聯(lián)網(wǎng)在物理上斷開，用物理隔離 網(wǎng)閘是一個常用的辦法。第3種場合：辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間由于辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的信息敏感程度不同，例如，銀行的辦公網(wǎng) 絡(luò)和銀行業(yè)務(wù)網(wǎng)絡(luò)就是很典型的信息敏感程度不同的兩類網(wǎng)絡(luò)。為了 提高工作效率，辦公網(wǎng)絡(luò)有時需要與業(yè)務(wù)網(wǎng)絡(luò)交換信息。為解決業(yè)務(wù) 網(wǎng)絡(luò)的安全，比較好的辦法就是在辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間使用物理隔離 網(wǎng)閘，實現(xiàn)兩類網(wǎng)絡(luò)的物理隔離。第4種場合：電子政務(wù)的內(nèi)網(wǎng)與專網(wǎng)之間在電子政務(wù)系統(tǒng)建設(shè)中，要求政府內(nèi)網(wǎng)與外網(wǎng)之間用邏輯隔離，