物理隔離網閘主要由內網處理單元、外網處理單元、安全隔離與信息交換處理單元三部分組成。外網處理單元與外網(如Internet)相連,內網處理單元與內網(如軍隊網)相連;安全隔離與信息交換處理單元通過專用硬件斷開內、外網的物理連接,并在任何時刻只與其中一個網絡連接,讀取等待發送的數據,然后"推送"到另一個網絡上。在切換速度非常快的情況下,可以實現信息的實時交換。
物理隔離卡是物理隔離的低級實現形式,一個物理隔離卡只能管一臺個人計算機,甚至只可能在Windows環境下工作,每次切換都需要開關機一次。物理隔離網閘是物理隔離的高級實現形式,網閘可以管理整個網絡,不需要開關機。網閘實現后,原則上不再需要物理隔離卡。安全隔離是一種邏輯隔離,防火墻就是一種邏輯隔離,因此防火墻也是一種安全隔離。有些廠商對安全隔離增加了一些特點,如采用了雙主機結構,但雙主機之間卻是通過包來轉發的。
無論雙主機之間采用了多么嚴格的安全檢查,但只要是包轉發,就存在基于包的安全漏洞,存在對包的攻擊。這在本質上同兩個防火墻串聯并無本質的差別。
從目前已經存在的安全隔離網閘,包括以下類型:通過串口或并口來實現雙主機之間的包轉發,通過USB或1394或firewire(火線)等方式來實現雙主機之間的包轉發,甚至是直接通過以太線來實現雙主機之間的包轉發,以及其他任何形式的通信方式來實現雙主機之間的包轉發如專用ASIC開關電路,ATM,Myrinet卡等,都是安全隔離網閘,但都不是物理隔離網閘。
[轉載] 金融界
