北京銳安科技有限公司

——RUN-NetGap100

安全隔離與信息交換系統(tǒng)

（簡(jiǎn)稱“網(wǎng)閘”）產(chǎn)品簡(jiǎn)介RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品簡(jiǎn)介RUN-NetGap100安全隔離與信息交換系統(tǒng)（簡(jiǎn)稱“網(wǎng)閘”）是北京銳安科技有限公司研制的新一代安全隔離產(chǎn)品。它通過(guò)對(duì)網(wǎng)絡(luò)通信進(jìn)行完整采集、深層解析、應(yīng)用重建，實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)在相互隔離的基礎(chǔ)上進(jìn)行數(shù)據(jù)交換，確?？煽堪踩耐ㄐ?。RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品功能安全隔離：本系統(tǒng)在網(wǎng)絡(luò)通信中的協(xié)議、應(yīng)用、內(nèi)容等各個(gè)層面真正做到隔離，確保用戶信息系統(tǒng)安全。信息交換：本系統(tǒng)實(shí)現(xiàn)HTTP、FTP、郵件、數(shù)據(jù)庫(kù)等內(nèi)外網(wǎng)之間的安全交換。網(wǎng)絡(luò)訪問(wèn)控制：可通過(guò)訂制訪問(wèn)策略，精細(xì)地控制誰(shuí)（網(wǎng)絡(luò)對(duì)象）在什么情況下（場(chǎng)景）能夠（允許或禁止）以何種方式訪問(wèn)（應(yīng)用）誰(shuí)（被訪問(wèn)對(duì)象）。應(yīng)用內(nèi)容控制：本系統(tǒng)可控制HTTP、FTP、郵件、數(shù)據(jù)庫(kù)等應(yīng)用內(nèi)容的控制，并可自定義應(yīng)用控制。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品優(yōu)勢(shì)高安全性：采用專有安全操作系統(tǒng)，沒有TCP/IP協(xié)議棧，所有功能由專有硬件及軟件實(shí)現(xiàn)，系統(tǒng)剝離了易受攻擊的TCP/IP協(xié)議，保證系統(tǒng)的高安全性。高吞吐率：采用專用的流處理芯片（FPU）進(jìn)行網(wǎng)絡(luò)流的解析與重建，提升系統(tǒng)的吞吐能力。高便利性：完全在透明模式下工作，用戶無(wú)需更改任何網(wǎng)絡(luò)設(shè)置即可將安全隔離器與現(xiàn)有軟硬件系統(tǒng)迅速集成。管理簡(jiǎn)便：管理后臺(tái)與安全隔離器的通信采用底層私有網(wǎng)絡(luò)協(xié)議，在不依賴IP地址的前提下實(shí)現(xiàn)設(shè)備自動(dòng)發(fā)現(xiàn)。靈活定制：對(duì)于用戶自己研發(fā)的、非標(biāo)準(zhǔn)通信，可借助我公司協(xié)議分析產(chǎn)品，從而輕松支持非標(biāo)準(zhǔn)協(xié)議。

RUN-NetGap100安全隔離與信息交換系統(tǒng)應(yīng)用方案（安全隔離與信息交換系統(tǒng)應(yīng)用方案圖）

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品特性項(xiàng)目描述名稱產(chǎn)品名稱：安全隔離與信息交換系統(tǒng)產(chǎn)品型號(hào)：RUN-NETGAP100版本號(hào)信息：Build1.702形態(tài)雙主機(jī)構(gòu)架，專有安全通道進(jìn)行數(shù)據(jù)通信接口外網(wǎng)接口*110M/100MbpsRJ-45內(nèi)網(wǎng)接口*210M/100MbpsRJ-45Console接口*110M/100MbpsRJ-45OS類型、版本自主研發(fā)的安全操作系統(tǒng)，無(wú)網(wǎng)絡(luò)通信功能，無(wú)法從外界寫入信息升級(jí)方式依據(jù)產(chǎn)品特性進(jìn)行升級(jí)服務(wù)，具體升級(jí)周期與方式不限通過(guò)的測(cè)評(píng)通過(guò)公安部檢測(cè)，編號(hào)為：RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品功能產(chǎn)品通過(guò)公安部檢測(cè)；具有自主知識(shí)產(chǎn)權(quán)；采用自主、安全可靠的專有操作系統(tǒng)；純透明處理，不影響網(wǎng)絡(luò)拓?fù)?；在確保安全隔離的情況下進(jìn)行適度信息交換；內(nèi)外網(wǎng)無(wú)法進(jìn)行通暢的TCP/IP會(huì)話；嚴(yán)格控制內(nèi)外網(wǎng)的信息交換，強(qiáng)大的信息過(guò)濾功能；支持HTTP、FTP、POP3、SMTP通訊；支持常見數(shù)據(jù)庫(kù)通訊；對(duì)支持的應(yīng)用進(jìn)行深度內(nèi)容解析，可控制協(xié)議版本、命令、參數(shù)、內(nèi)容等信息；

GUI方式管理；安全的用戶角色劃分；完善的日志記錄及查詢審計(jì)功能；強(qiáng)大的擴(kuò)展能力；RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)業(yè)務(wù)功能內(nèi)外網(wǎng)間不建立TCP/IP會(huì)話安全隔離與信息交換系統(tǒng)采用雙主機(jī)構(gòu)架，內(nèi)外網(wǎng)主機(jī)間采用專有安全通道進(jìn)行純數(shù)據(jù)傳輸，內(nèi)外網(wǎng)間無(wú)法建立通暢的TCP/IP會(huì)話純透明處理安全隔離與信息交換系統(tǒng)對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行純透明處理，以透明方式介入，無(wú)需更改用戶網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)訪問(wèn)控制用戶可定制不同的訪問(wèn)策略，以控制內(nèi)外網(wǎng)絡(luò)間的訪問(wèn)，可依據(jù)多種元素如MAC、IP、協(xié)議、端口等信息進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制單向訪問(wèn)控制安全隔離與信息交換系統(tǒng)允許用戶控制訪問(wèn)的方向RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)應(yīng)用層深度解析安全隔離與信息交換系統(tǒng)對(duì)所支持的應(yīng)用進(jìn)行應(yīng)用層的深度內(nèi)容解析應(yīng)用協(xié)議命令控制安全隔離與信息交換系統(tǒng)可對(duì)所應(yīng)用支持的協(xié)議進(jìn)行協(xié)議命令的控制協(xié)議命令參數(shù)控制安全隔離與信息交換系統(tǒng)可對(duì)所應(yīng)用支持的協(xié)議進(jìn)行命令參數(shù)的控制應(yīng)用協(xié)議版本控制安全隔離與信息交換系統(tǒng)可對(duì)所應(yīng)用支持的協(xié)議進(jìn)行協(xié)議版本的控制應(yīng)用內(nèi)容過(guò)濾安全隔離與信息交換系統(tǒng)能夠進(jìn)行應(yīng)用層的內(nèi)容過(guò)濾RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)域名解析與控制安全隔離與信息交換系統(tǒng)能夠進(jìn)行域名解析與控制HTTP控制支持HTTP應(yīng)用安全隔離與信息交換系統(tǒng)支持HTTP協(xié)議，允許用戶通過(guò)安全隔離與信息交換系統(tǒng)進(jìn)行HTTP訪問(wèn)HTTP版本控制安全隔離與信息交換系統(tǒng)允許用戶控制HTTP協(xié)議版本HTTP命令控制安全隔離與信息交換系統(tǒng)允許用戶控制HTTP協(xié)議命令URL控制安全隔離與信息交換系統(tǒng)允許用戶控制URL文件類型過(guò)濾安全隔離與信息交換系統(tǒng)允許用戶控制通過(guò)HTTP協(xié)議傳輸?shù)奈募愋完P(guān)鍵字過(guò)濾安全隔離與信息交換系統(tǒng)允許用戶過(guò)濾HTTP通信的特定關(guān)鍵字RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)FTP控制支持FTP應(yīng)用安全隔離與信息交換系統(tǒng)支持FTP協(xié)議，允許用戶通過(guò)安全隔離與信息交換系統(tǒng)進(jìn)行FTP訪問(wèn)。FTP動(dòng)態(tài)端口安全隔離與信息交換系統(tǒng)支持主被動(dòng)FTP傳輸，支持動(dòng)態(tài)端口FTP命令控制安全隔離與信息交換系統(tǒng)允許用戶控制FTP協(xié)議命令命令參數(shù)控制安全隔離與信息交換系統(tǒng)允許用戶控制FTP協(xié)議命令的參數(shù)文件類型過(guò)濾安全隔離與信息交換系統(tǒng)允許用戶控制通過(guò)FTP協(xié)議傳輸?shù)奈募愋完P(guān)鍵字過(guò)濾安全隔離與信息交換系統(tǒng)允許用戶過(guò)濾FTP通信的特定關(guān)鍵字RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)郵件控制支持郵件應(yīng)用安全隔離與信息交換系統(tǒng)支持POP3、SMTP協(xié)議，允許用戶通過(guò)安全隔離與信息交換系統(tǒng)收發(fā)郵件郵件命令控制安全隔離與信息交換系統(tǒng)允許用戶控制POP3、SMTP協(xié)議命令命令參數(shù)控制安全隔離與信息交換系統(tǒng)允許用戶控制POP3、SMTP協(xié)議命令的參數(shù)數(shù)據(jù)庫(kù)控制支持?jǐn)?shù)據(jù)庫(kù)應(yīng)用支持常見的基于結(jié)構(gòu)化查詢語(yǔ)言的數(shù)據(jù)庫(kù)，如ORACLE、MSSQL等動(dòng)態(tài)端口支持ORACLE的動(dòng)態(tài)端口通信數(shù)據(jù)庫(kù)命令控制安全隔離與信息交換系統(tǒng)允許用戶控制各種數(shù)據(jù)庫(kù)協(xié)議命令命令參數(shù)控制安全隔離與信息交換系統(tǒng)允許用戶控制數(shù)據(jù)庫(kù)協(xié)議命令的參數(shù)RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)管理功能設(shè)備工作狀態(tài)可定制用戶可定制不同的訪問(wèn)策略圖形化管理用戶可以圖形化界面管理隔離設(shè)備多用戶管理系統(tǒng)采用多用戶的管理方式，管理者可創(chuàng)建不同的帳戶并設(shè)定帳戶的權(quán)限及有效期權(quán)限分立安全隔離與信息交換系統(tǒng)可設(shè)置不同的用戶具備不同的權(quán)限網(wǎng)絡(luò)對(duì)象及分組管理安全隔離與信息交換系統(tǒng)可管理網(wǎng)絡(luò)對(duì)象并進(jìn)行分組化管理業(yè)務(wù)通信定制安全隔離與信息交換系統(tǒng)定制網(wǎng)絡(luò)業(yè)務(wù)通信安全通道管理安全隔離與信息交換系統(tǒng)可管理內(nèi)外網(wǎng)交換數(shù)據(jù)的安全通道RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)場(chǎng)景化的策略應(yīng)用安全隔離與信息交換系統(tǒng)采用時(shí)間化的規(guī)則應(yīng)用方式日志記錄/查詢安全隔離與信息交換系統(tǒng)可記錄/查詢多種日志信息，如系統(tǒng)日志、成功日志、報(bào)警日志等報(bào)表與審計(jì)具備日志審計(jì)功能并可生成報(bào)表日志轉(zhuǎn)存可將日志轉(zhuǎn)存至別處擴(kuò)展功能擴(kuò)展至千兆可通過(guò)硬件升級(jí)實(shí)現(xiàn)帶寬的增長(zhǎng)多機(jī)熱備可擴(kuò)展多機(jī)熱備負(fù)載均衡可擴(kuò)展多機(jī)負(fù)載均衡RUN-NetGap100安全隔離與信息交換系統(tǒng)技術(shù)指標(biāo)類別技術(shù)指標(biāo)吞吐量安全隔離與信息交換系統(tǒng)的內(nèi)部數(shù)據(jù)交換率達(dá)到360Mbps，百兆帶寬的網(wǎng)絡(luò)出口的吞吐量為86Mbps。最大并發(fā)連接數(shù)安全隔離與信息交換系統(tǒng)建立的最大TCP并發(fā)虛擬連接數(shù)不少于15000。系統(tǒng)延遲安全隔離與信息交換系統(tǒng)正常情況下數(shù)據(jù)延遲小于1毫秒。工作環(huán)境工作溫度：0～45攝氏度（32～113華氏度）存儲(chǔ)溫度：-40～65攝氏度（-40～149華氏度）工作濕度：8～85％，非冷凝存儲(chǔ)濕度：5～95％，非冷凝RUN-NetGap100安全隔離與信息交換系統(tǒng)技術(shù)指標(biāo)類別技術(shù)指標(biāo)電源指標(biāo)輸入電壓：100/240VAC輸入頻率：50/60Hz電源功耗：400W平均無(wú)故障時(shí)間安全隔離與信息交換系統(tǒng)的平均無(wú)故障時(shí)間大于45000小時(shí)電磁屏蔽IEC－1000－4－2(ESD)IEC－1000－4－3(輻射敏感性)IEC－1000－4－4(點(diǎn)快速瞬變)IEC－1000－4－5(電涌)IEC－1000－3－2(諧波)RUN-NetGap100安全隔離與信息交換系統(tǒng)參考的安全規(guī)范及標(biāo)準(zhǔn)UL1950EN41003AS/NZS3260AS/NZS3548ClassACSAClassAFCCClassAEN60555-2

VCCI(ClassII)RUN-NetGap100安全隔離與信息交換系統(tǒng)系統(tǒng)硬件指標(biāo)網(wǎng)絡(luò)接口：三個(gè)10/100M自適應(yīng)網(wǎng)卡接口。外設(shè)接口：終端接口規(guī)格：（長(zhǎng)×寬×高）：481.2×449.5×88毫米（19×17.7×4英寸）。材料：重負(fù)荷鋼。指示器：LED電源指示燈，HDD硬盤指示燈，網(wǎng)卡狀態(tài)指示燈。重量：9.8千克（21.8磅）。工作溫度：0~60°C。工作濕度：最大相對(duì)濕度5%-95%，不結(jié)露。機(jī)箱使用的電源：220V交流電。RUN-NetGap100安全隔離與信息交換系統(tǒng)硬件安裝圖1RUN-Net-GAP背面板示意圖RUN-NetGap100安全隔離與信息交換系統(tǒng)硬件安裝圖2網(wǎng)間隔離安裝示意圖RUN-NetGap100安全隔離與信息交換系統(tǒng)硬件安裝圖3服務(wù)器保護(hù)安裝示意圖RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)技術(shù)參數(shù)參數(shù)項(xiàng)目標(biāo)準(zhǔn)型備注性能指標(biāo)1.1吞吐量95單位:Mbps1.2網(wǎng)絡(luò)用戶數(shù)量1024

1.3并發(fā)連接數(shù)10萬(wàn)

1.4策略數(shù)量1024

1.5MTBF≥10平均無(wú)故障時(shí)間(單位:萬(wàn)小時(shí))產(chǎn)品規(guī)格2.1外形尺寸50X43X9單位：cm2.2重量16Kg

接口指標(biāo)3.1網(wǎng)絡(luò)接口410/100MB3.2控制接口2RS232(115200)環(huán)境要求4.1溫度0℃-60℃

4.2相對(duì)濕度10-90%

4.3沖擊300m/S2

電源要求5.1電流2-4A

5.2電壓220V

5.3頻率50-60Hz

5.4功率250W

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品功能參數(shù)功能項(xiàng)目

說(shuō)明應(yīng)用模塊1.1WEB瀏覽WEB網(wǎng)頁(yè)，可防止無(wú)界瀏覽1.2MAIL收發(fā)電子郵件1.3FTP接收電子郵件1.4FileExchange私有文件交換服務(wù)1.5MySQL支持所有版本，可控制SQL語(yǔ)句動(dòng)作1.6SQLServer6.5版本以上，可控制SQL語(yǔ)句動(dòng)作1.7OracleOracle8i以上版本，可控制SQL語(yǔ)句動(dòng)作1.8MMSMicrosoft媒體格式身份鑒別2.1OTP用戶名+口令認(rèn)證方式2.2數(shù)字證書X.509證書文件RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品功能參數(shù)功能項(xiàng)目

說(shuō)明管理方式3.1GUI人性化圖形化管理界面內(nèi)容檢查4.1URL過(guò)濾URL地址過(guò)濾4.2HTTP過(guò)濾腳本、控件、關(guān)鍵字過(guò)濾4.3郵件內(nèi)容過(guò)濾主題、正文關(guān)鍵字過(guò)濾4.4郵件附件過(guò)濾禁止附件、附件內(nèi)容過(guò)濾4.5病毒檢查支持第三方病毒服務(wù)器4.6文件類型過(guò)濾過(guò)濾指定的文件類型主機(jī)安全5.1DDos支持內(nèi)外網(wǎng)抗DDOS攻擊RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問(wèn)解答物理隔離網(wǎng)閘需要哪些“許可證”？

答：根據(jù)我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全管理的規(guī)定，物理隔離網(wǎng)閘需要取得公安部、國(guó)家保密局和中國(guó)信息安全測(cè)評(píng)認(rèn)證中心的安全產(chǎn)品的測(cè)評(píng)認(rèn)證證書。在此基礎(chǔ)上，進(jìn)入軍事領(lǐng)域，還需要軍隊(duì)測(cè)評(píng)認(rèn)證中心的認(rèn)證證書。

物理隔離網(wǎng)閘是硬件還是軟件解決方案？

答：物理隔離網(wǎng)閘包含兩個(gè)獨(dú)立的主機(jī)系統(tǒng)和一套固態(tài)開關(guān)讀寫介質(zhì)系統(tǒng)，屬于硬件解決方案。但是物理隔離可以通過(guò)模塊定制來(lái)滿足行業(yè)個(gè)性化的需求。

物理隔離網(wǎng)閘是不是防火墻的一種？

答：物理隔離網(wǎng)閘不是防火墻的一種。就像路由器中也帶有訪問(wèn)控制的功能一樣，但路由器不是防火墻的一種。防火墻是檢查設(shè)備；物理隔離網(wǎng)閘是隔離設(shè)備。防火墻的邏輯是在保證連接連通的情況下盡可能安全；物理隔離的邏輯則是如果不能保證安全的情況下則斷開。

物理隔離網(wǎng)閘與物理隔離卡是不是一回事？

答：不是一回事。物理隔離卡是物理隔離的低級(jí)實(shí)現(xiàn)形式，一個(gè)物理隔離卡只能管一臺(tái)個(gè)人計(jì)算機(jī)，甚至只可能在Windows環(huán)境下工作，每次切換都需要開關(guān)機(jī)一次。物理隔離網(wǎng)閘是物理隔離的高級(jí)實(shí)現(xiàn)形式，網(wǎng)閘可以管理整個(gè)網(wǎng)絡(luò)，不需要開關(guān)機(jī)。網(wǎng)閘實(shí)現(xiàn)后，原則上不再需要物理隔離卡。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問(wèn)解答物理隔離網(wǎng)閘與安全隔離網(wǎng)閘是不是一回事？

答：不是一回事。安全隔離是一種邏輯隔離，防火墻就是一種邏輯隔離，因此防火墻也是一種安全隔離。有些廠商對(duì)安全隔離增加了一些特點(diǎn)，如采用了雙主機(jī)結(jié)構(gòu)，但雙主機(jī)之間卻是通過(guò)包來(lái)轉(zhuǎn)發(fā)的。無(wú)論雙主機(jī)之間采用了多么嚴(yán)格的安全檢查，但只要是包轉(zhuǎn)發(fā)，就存在基于包的安全漏洞，存在對(duì)包的攻擊。這在本質(zhì)上同兩個(gè)防火墻串聯(lián)并無(wú)本質(zhì)的差別。

安全隔離網(wǎng)閘存在哪些形式？

答：從目前已經(jīng)發(fā)現(xiàn)的安全隔離網(wǎng)閘，包括以下類型：通過(guò)串口或并口來(lái)實(shí)現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā)，通過(guò)USB或1394或firewire（火線）等方式來(lái)實(shí)現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā)，甚至是直接通過(guò)以太線來(lái)實(shí)現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā)，以及其他任何形式的通信方式來(lái)實(shí)現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā)如專用ASIC開關(guān)電路，ATM，Myri卡等，都是安全隔離網(wǎng)閘，但都不是物理隔離網(wǎng)閘。

怎么在技術(shù)上區(qū)分物理隔離網(wǎng)閘和安全隔離網(wǎng)閘？

答：物理隔離網(wǎng)閘的主機(jī)之間，沒有包轉(zhuǎn)發(fā)，只有文件“擺渡”，沒有協(xié)議存在，對(duì)固態(tài)介質(zhì)只有讀和寫兩個(gè)命令。安全隔離網(wǎng)閘的主機(jī)之間，是采用私有協(xié)議，專用協(xié)議，有的甚至是公有協(xié)議，來(lái)實(shí)現(xiàn)包轉(zhuǎn)發(fā)，主機(jī)之間存在協(xié)議連接。怎么在技術(shù)上區(qū)分物理隔離網(wǎng)閘和安全信息交換系統(tǒng)？

答：安全信息交換系統(tǒng)，從物理特征上作判斷，通過(guò)以太協(xié)議將三套主機(jī)按系統(tǒng)方式連接起來(lái)，主機(jī)之間的通信可能采用了專用協(xié)議，也可能是私有協(xié)議，具有較強(qiáng)的深度檢查功能。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問(wèn)解答是不是有開關(guān)就是物理隔離網(wǎng)閘？

答：不是。開關(guān)只是離散脈沖的概念，光有離散脈沖并不是物理隔離。只要采用了TCP/IP包的形式，IP包本身就是離散的，TCP可以控制保證在離散的基礎(chǔ)上建立完整的連接。在FTP的應(yīng)用中如斷點(diǎn)續(xù)傳技術(shù)就是一個(gè)例子，撥號(hào)上網(wǎng)掉線了，重新?lián)芴?hào)，可以繼續(xù)下載文件。通過(guò)開關(guān)將線路時(shí)斷時(shí)通，并不妨礙物理的連接。如果沒有TCP/IP協(xié)議，只是讀寫文件，斷開則導(dǎo)致讀寫失敗。因此，物理隔離必須建立在無(wú)協(xié)議的文件“擺渡”的基礎(chǔ)上，這種情況下的開關(guān)才是物理隔離。

物理隔離網(wǎng)閘是指兩個(gè)主機(jī)之間物理上是完全隔開的嗎？

答：不是。有些人認(rèn)為，物理隔離是指兩個(gè)主機(jī)之間沒有物理連接，是空氣斷開的。兩個(gè)主機(jī)之間物理上隔開，并不表示是物理隔離。例如，兩個(gè)主機(jī)之間通過(guò)無(wú)線連網(wǎng)，盡管在物理上是斷開的。兩個(gè)主機(jī)是真空斷開，也可能是連接的，如衛(wèi)星通信。物理隔離網(wǎng)閘是指兩個(gè)主機(jī)之間，沒有基于物理的通信連接。

到底什么是物理隔離網(wǎng)閘？

答：物理隔離網(wǎng)閘，是利用雙主機(jī)形式，從物理上來(lái)隔離阻斷潛在攻擊的連接，其中包括一系列的阻斷特征，如沒有通信連接，沒有命令，沒有協(xié)議，沒有TCP/IP連接，沒有應(yīng)用連接，沒有包轉(zhuǎn)發(fā)，只有文件“擺渡”，對(duì)固態(tài)介質(zhì)只有讀和寫兩個(gè)命令。其結(jié)果是無(wú)法攻擊，無(wú)法入侵，無(wú)法破壞。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問(wèn)解答物理隔離網(wǎng)閘阻斷了所有的連接，怎么交換信息？

答：計(jì)算機(jī)連網(wǎng)是為了信息交換和共享，但交換信息有很多種形式，連網(wǎng)只是其中的一種。在沒有互聯(lián)網(wǎng)的時(shí)代，信息照樣交換。阻斷了連接，完全可以通過(guò)其他形式來(lái)繼續(xù)信息交換。大家比較能理解的方式，如從一臺(tái)連網(wǎng)的計(jì)算機(jī)中，將數(shù)據(jù)拷貝復(fù)制，繼續(xù)檢查后，再拷貝復(fù)制到另外一臺(tái)計(jì)算機(jī)中。其他的形式如復(fù)制（拷貝），數(shù)據(jù)擺渡，鏡像，反射等。

應(yīng)用代理也阻斷了直接連接，也是物理隔離網(wǎng)閘嗎？

答：不是。應(yīng)用代理確實(shí)阻斷了網(wǎng)絡(luò)的直接連接，但不是物理隔離。因?yàn)閼?yīng)用代理雖說(shuō)阻斷了直接連接，但兩個(gè)連接共享在一個(gè)主機(jī)上，存在入侵的威脅。當(dāng)黑客通過(guò)掃描代理主機(jī)的操作系統(tǒng)漏洞，通過(guò)入侵代理主機(jī)本身，以代理主機(jī)為跳板，就可以利用建立代理主機(jī)和內(nèi)部主機(jī)的連接來(lái)進(jìn)行攻擊。物理隔離網(wǎng)閘，采用了雙主機(jī)結(jié)構(gòu)，兩級(jí)主機(jī)之間是阻斷隔離的，即使黑客能夠攻破外部主機(jī)，也無(wú)法入侵和攻擊內(nèi)部主機(jī)。

物理隔離網(wǎng)閘可以抵抗哪些攻擊？

答：物理隔離網(wǎng)閘可以解決以下威脅：操作系統(tǒng)漏洞，入侵，基于TCP/IP漏洞的攻擊，基于協(xié)議漏洞的攻擊，木馬，基于隧道的攻擊，基于文件的攻擊（可選）等。這些是互聯(lián)網(wǎng)目前存在的絕大部分主要威脅。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問(wèn)解答物理隔離網(wǎng)閘是如何防止操作系統(tǒng)漏洞的？

答：雙主機(jī)之間是物理阻斷的，無(wú)連接的，因此，黑客不可能掃描內(nèi)部網(wǎng)絡(luò)的所有主機(jī)的操作系統(tǒng)漏洞，無(wú)法攻擊內(nèi)部，包括物理隔離網(wǎng)閘的內(nèi)部主機(jī)。

物理隔離網(wǎng)閘是如何防止網(wǎng)絡(luò)入侵的？

答：物理隔離網(wǎng)閘的主機(jī)之間，無(wú)法建立連接，無(wú)法入侵。

物理隔離網(wǎng)閘是如何抵抗基于TCP/IP漏洞的攻擊的？

答：物理隔離網(wǎng)閘的外部主機(jī)把TCP/IP協(xié)議全部剝離，以原始數(shù)據(jù)方式進(jìn)行“擺渡”，因此，無(wú)法基于TCP/IP漏洞來(lái)進(jìn)行攻擊。同樣，也無(wú)法基于UDP，ICMP，ARP等協(xié)議來(lái)進(jìn)行攻擊。

物理隔離網(wǎng)閘是如何抵抗基于協(xié)議漏洞的攻擊的？

答：物理隔離網(wǎng)閘的外部主機(jī)，剝離了應(yīng)用協(xié)議，以原始數(shù)據(jù)方式進(jìn)行“擺渡”，因此，無(wú)法基于應(yīng)用協(xié)議的漏洞來(lái)進(jìn)行攻擊。

物理隔離網(wǎng)閘是如何防止木馬攻擊的？

答：物理隔離網(wǎng)閘阻斷了網(wǎng)絡(luò)的所有連接，因此，沒有OSI模型的link層，沒有TCP、UDP，ICMP，ARP等協(xié)議，等于把木馬變成了死馬，因此對(duì)木馬攻擊是免疫的，無(wú)論是已知的還是未知的木馬。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問(wèn)解答物理隔離網(wǎng)閘是如何防止基于隧道的攻擊？

答：因?yàn)闆]有連接，因此無(wú)法建立隧道攻擊。

物理隔離網(wǎng)閘是如何防止基于文件的攻擊？

答：物理隔離網(wǎng)閘在理論上是完全可以防止基于文件的攻擊，如病毒等。病毒一般依附在高級(jí)文件格式上，低級(jí)文件格式則不會(huì)有病毒，因此進(jìn)行文件“擺渡”的時(shí)候，可以限制文件的類型，如只有文本文件才可以通過(guò)“擺渡”，這樣就不會(huì)有病毒。但用戶有時(shí)候會(huì)不方便，因此，定義為可選。另外一種方式，是剝離重組方式。剝離高級(jí)格式，就消除了病毒的載體，重組后的文件，不會(huì)再有病毒。這種方式會(huì)導(dǎo)致效率的下降，一些潛在的危險(xiǎn)的格式可能會(huì)被禁止，導(dǎo)致一些不方便，因此是可選。物理隔離網(wǎng)閘是中國(guó)特有的嗎？

答：不是。美國(guó)，以色列，俄羅斯等國(guó)家很早就規(guī)定涉密網(wǎng)絡(luò)要采用物理隔離。俄羅斯的Ry

Jones，以色列的Buky

Carmeli，EladBaron，DanielSteiner等人都是該領(lǐng)域的先驅(qū)，后者現(xiàn)在美國(guó)開公司。目前最大的物理隔離公司當(dāng)屬美國(guó)的Whalecommunications公司，