定義

防火墻指的是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。

主要功能

1、過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)

2、防止不安全的協(xié)議和服務(wù)

3、管理進、出網(wǎng)絡(luò)的訪問行為

4、記錄通過防火墻的信息內(nèi)容

5、對網(wǎng)絡(luò)攻擊進行檢測與警告

6、防止外部對內(nèi)部網(wǎng)絡(luò)信息的獲取

7、提供與外部連接的集中管理

主要類型

1、網(wǎng)絡(luò)層防火墻

一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包，其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2、應(yīng)用層防火墻

針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。

主動被動

傳統(tǒng)防火墻是主動安全的概念；

因為默認(rèn)情況下是關(guān)閉所有的訪問，然后再通過定制策略去開放允許開放的訪問。

下一代防火墻

（NGFW）

主要是一款全面應(yīng)對應(yīng)用層威脅的高性能防火墻。可以做到智能化主動防御、應(yīng)用層數(shù)據(jù)防泄漏、應(yīng)用層洞察與控制、威脅防護等特性。
下一代防火墻在一臺設(shè)備里面集成了傳統(tǒng)防火墻、IPS、應(yīng)用識別、內(nèi)容過濾等功能既降低了整體網(wǎng)絡(luò)安全系統(tǒng)的采購?fù)度?/span>，又減去了多臺設(shè)備接入網(wǎng)絡(luò)帶來的部署成本，還通過應(yīng)用識別和用戶管理等技術(shù)降低了管理人員的維護和管理成本。

使用方式

防火墻部署于單位或企業(yè)內(nèi)部網(wǎng)絡(luò)的出口位置。

局限性

1、不能防止源于內(nèi)部的攻擊，不提供對內(nèi)部的保護

2、不能防病毒

3、不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動態(tài)調(diào)整自己的策略

本身的防攻擊能力不夠，容易成為被攻擊的首要目標(biāo)

定義

入侵檢測即通過從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點收集并分析信息，監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為。入侵檢測系統(tǒng)通常包含3個必要的功能組件：信息來源、分析引擎和響應(yīng)組件。

工作原理

1、信息收集
信息收集包括收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測利用的信息一般來自：系統(tǒng)和網(wǎng)絡(luò)日志文件、非正常的目錄和文件改變、非正常的程序執(zhí)行這三個方面。
2、信號分析
對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，是通過模式匹配、統(tǒng)計分析和完整性分析這三種手段進行分析的。前兩種用于實時入侵檢測，完整性分析用于事后分析。

3、告警與響應(yīng)

根據(jù)入侵性質(zhì)和類型，做出相應(yīng)的告警與響應(yīng)。

主要功能

它能夠提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，對內(nèi)部攻擊、外部攻擊和誤操作進行實時監(jiān)控，在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用。

1、實時監(jiān)測：實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文，發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文；

2、安全審計：對系統(tǒng)記錄的網(wǎng)絡(luò)事件進行統(tǒng)計分析，發(fā)現(xiàn)異常現(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)

3、主動響應(yīng)：主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理。

主要類型

1、基于主機的入侵檢測系統(tǒng)(HIDS)：基于主機的入侵檢測系統(tǒng)是早期的入侵檢測系統(tǒng)結(jié)構(gòu)，通常是軟件型的，直接安裝在需要保護的主機上。其檢測的目標(biāo)主要是主機系統(tǒng)和系統(tǒng)本地用戶，檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。
這種檢測方式的優(yōu)點主要有：信息更詳細(xì)、誤報率要低、部署靈活。這種方式的缺點主要有：會降低應(yīng)用系統(tǒng)的性能；依賴于服務(wù)器原有的日志與監(jiān)視能力；代價較大；不能對網(wǎng)絡(luò)進行監(jiān)測；需安裝多個針對不同系統(tǒng)的檢測系統(tǒng)。

2、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)：基于網(wǎng)絡(luò)的入侵檢測方式是目前一種比較主流的監(jiān)測方式，這類檢測系統(tǒng)需要有一臺專門的檢測設(shè)備。檢測設(shè)備放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，而不再是只監(jiān)測單一主機。它對所監(jiān)測的網(wǎng)絡(luò)上每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析，如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報，甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測產(chǎn)品是基于網(wǎng)絡(luò)的。
這種檢測技術(shù)的優(yōu)點主要有：能夠檢測那些來自網(wǎng)絡(luò)的攻擊和超過授權(quán)的非法訪問；不需要改變服務(wù)器等主機的配置，也不會影響主機性能；風(fēng)險低；配置簡單。其缺點主要是：成本高、檢測范圍受局限；大量計算，影響系統(tǒng)性能；大量分析數(shù)據(jù)流，影響系統(tǒng)性能；對加密的會話過程處理較難；網(wǎng)絡(luò)流速高時可能會丟失許多封包，容易讓入侵者有機可乘；無法檢測加密的封包；對于直接對主機的入侵無法檢測出。

主動被動

入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。絕大多數(shù) IDS 系統(tǒng)都是被動的。也就是說，在攻擊實際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報。

使用方式

作為防火墻后的第二道防線，適于以旁路接入方式部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高的網(wǎng)絡(luò)出口處。

局限性

1、誤報率高：主要表現(xiàn)為把良性流量誤認(rèn)為惡性流量進行誤報。還有些IDS產(chǎn)品會對用戶不關(guān)心事件的進行誤報。

2、產(chǎn)品適應(yīng)能力差：傳統(tǒng)的IDS產(chǎn)品在開發(fā)時沒有考慮特定網(wǎng)絡(luò)環(huán)境下的需求，適應(yīng)能力差。入侵檢測產(chǎn)品要能適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)和設(shè)備的發(fā)展進行動態(tài)調(diào)整，以適應(yīng)不同環(huán)境的需求。

3、大型網(wǎng)絡(luò)管理能力差：首先，要確保新的產(chǎn)品體系結(jié)構(gòu)能夠支持?jǐn)?shù)以百計的IDS傳感器；其次，要能夠處理傳感器產(chǎn)生的告警事件；最后還要解決攻擊特征庫的建立，配置以及更新問題。

4、缺少防御功能：大多數(shù)IDS產(chǎn)品缺乏主動防御功能。

5、處理性能差：目前的百兆、千兆IDS產(chǎn)品性能指標(biāo)與實際要求還存在很大的差距。

定義

入侵防御系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。

產(chǎn)生背景

1、串行部署的防火墻可以攔截低層攻擊行為，但對應(yīng)用層的深層攻擊行為無能為力。

2、旁路部署的IDS可以及時發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，作為防火墻的有益補充，但很可惜的是無法實時的阻斷。

3、IDS和防火墻聯(lián)動：通過IDS來發(fā)現(xiàn)，通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范，加上越來越頻發(fā)的“瞬間攻擊”（一個會話就可以達(dá)成攻擊效果，如SQL注入、溢出攻擊等），使得IDS與防火墻聯(lián)動在實際應(yīng)用中的效果不顯著。

入侵檢測系統(tǒng)（IDS）對那些異常的、可能是入侵行為的數(shù)據(jù)進行檢測和報警，告知使用者網(wǎng)絡(luò)中的實時狀況，并提供相應(yīng)的解決、處理方法，是一種側(cè)重于風(fēng)險管理的安全產(chǎn)品。

入侵防御系統(tǒng)（IPS）對那些被明確判斷為攻擊行為，會對網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進行檢測和防御，降低或是減免使用者對異常狀況的處理資源開銷，是一種側(cè)重于風(fēng)險控制的安全產(chǎn)品。

IDS和IPS的關(guān)系，并非取代和互斥，而是相互協(xié)作：沒有部署IDS的時候，只能是憑感覺判斷，應(yīng)該在什么地方部署什么樣的安全產(chǎn)品，通過IDS的廣泛部署，了解了網(wǎng)絡(luò)的當(dāng)前實時狀況，據(jù)此狀況可進一步判斷應(yīng)該在何處部署何類安全產(chǎn)品（IPS等）。

功能

1、入侵防護：實時、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、Dos等惡意流量，保護企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機。

2、Web安全：基于互聯(lián)網(wǎng)Web站點的掛馬檢測結(jié)果，結(jié)合URL信譽評價技術(shù)，保護用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時不受侵害，及時、有效地第一時間攔截Web威脅。

3、流量控制：阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無阻，通過保護關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT產(chǎn)出率和收益率。

4、上網(wǎng)監(jiān)管：全面監(jiān)測和管理IM即時通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行企業(yè)的安全策略。

技術(shù)特征

嵌入式運行：只有以嵌入模式運行的 IPS 設(shè)備才能夠?qū)崿F(xiàn)實時的安全防護，實時阻攔所有可疑的數(shù)據(jù)包，并對該數(shù)據(jù)流的剩余部分進行攔截。

深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經(jīng)被攔截，根據(jù)攻擊類型、策略等來確定哪些流量應(yīng)該被攔截。

入侵特征庫：高質(zhì)量的入侵特征庫是IPS高效運行的必要條件，IPS還應(yīng)該定期升級入侵特征庫，并快速應(yīng)用到所有傳感器。

高效處理能力：IPS必須具有高效處理數(shù)據(jù)包的能力，對整個網(wǎng)絡(luò)性能的影響保持在最低水平。

主要類型

1．基于特征的IPS

這是許多IPS解決方案中最常用的方法。把特征添加到設(shè)備中，可識別當(dāng)前最常見的攻擊。也被稱為模式匹配IPS。特征庫可以添加、調(diào)整和更新，以應(yīng)對新的攻擊。

2. 基于異常的IPS

也被稱為基于行規(guī)的IPS。基于異常的方法可以用統(tǒng)計異常檢測和非統(tǒng)計異常檢測。

3、基于策略的IPS：

它更關(guān)心的是是否執(zhí)行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發(fā)報警。使用這種方法的IPS，要把安全策略寫入設(shè)備之中。

4.基于協(xié)議分析的IPS

它與基于特征的方法類似。大多數(shù)情況檢查常見的特征，但基于協(xié)議分析的方法可以做更深入的數(shù)據(jù)包檢查，能更靈活地發(fā)現(xiàn)某些類型的攻擊。

主動被動

IPS傾向于提供主動防護，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。

使用方式

串聯(lián)部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高的網(wǎng)絡(luò)出口處。

定義

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠(yuǎn)程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為。

主要功能

可以對網(wǎng)站、系統(tǒng)、數(shù)據(jù)庫、端口、應(yīng)用軟件等一些網(wǎng)絡(luò)設(shè)備應(yīng)用進行智能識別掃描檢測，并對其檢測出的漏洞進行報警提示管理人員進行修復(fù)。同時可以對漏洞修復(fù)情況進行監(jiān)督并自動定時對漏洞進行審計提高漏洞修復(fù)效率。

1、定期的網(wǎng)絡(luò)安全自我檢測、評估

安全檢測可幫助客戶最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進行修補，有效的利用已有系統(tǒng)，提高網(wǎng)絡(luò)的運行效率。

2、安裝新軟件、啟動新服務(wù)后的檢查

由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動新服務(wù)都有可能使原來隱藏的漏洞暴露出來，因此進行這些操作之后應(yīng)該重新掃描系統(tǒng)，才能使安全得到保障。

3、網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全性測試

4、網(wǎng)絡(luò)安全事故后的分析調(diào)查

網(wǎng)絡(luò)安全事故后可以通過網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評估系統(tǒng)分析確定網(wǎng)絡(luò)被攻擊的漏洞所在，幫助彌補漏洞，盡可能多得提供資料方便調(diào)查攻擊的來源。

5、重大網(wǎng)絡(luò)安全事件前的準(zhǔn)備

重大網(wǎng)絡(luò)安全事件前網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評估系統(tǒng)能夠幫助用戶及時的找出網(wǎng)絡(luò)中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。

主要技術(shù)

1. 主機掃描：

確定在目標(biāo)網(wǎng)絡(luò)上的主機是否在線。

2. 端口掃描：

發(fā)現(xiàn)遠(yuǎn)程主機開放的端口以及服務(wù)。

3. OS識別技術(shù):

根據(jù)信息和協(xié)議棧判別操作系統(tǒng)。

4. 漏洞檢測數(shù)據(jù)采集技術(shù)：

按照網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫進行掃描。

5.智能端口識別、多重服務(wù)檢測、安全優(yōu)化掃描、系統(tǒng)滲透掃描

6.多種數(shù)據(jù)庫自動化檢查技術(shù)，數(shù)據(jù)庫實例發(fā)現(xiàn)技術(shù)；

主要類型

1.針對網(wǎng)絡(luò)的掃描器：基于網(wǎng)絡(luò)的掃描器就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計算機中的漏洞。價格相對來說比較便宜；在操作過程中，不需要涉及到目標(biāo)系統(tǒng)的管理員，在檢測過程中不需要在目標(biāo)系統(tǒng)上安裝任何東西；維護簡便。

2.針對主機的掃描器：基于主機的掃描器則是在目標(biāo)系統(tǒng)上安裝了一個代理或者是服務(wù)，以便能夠訪問所有的文件與進程，這也使得基于主機的掃描器能夠掃描到更多的漏洞。

3.針對數(shù)據(jù)庫的掃描器：數(shù)據(jù)庫漏掃可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補丁未升級等自身漏洞。

使用方式

1、獨立式部署：

在網(wǎng)絡(luò)中只部署一臺漏掃設(shè)備，接入網(wǎng)絡(luò)并進行正確的配置即可正常使用，其工作范圍通常包含用戶企業(yè)的整個網(wǎng)絡(luò)地址。用戶可以從任意地址登錄漏掃系統(tǒng)并下達(dá)掃描評估任務(wù)，檢查任務(wù)的地址必須在產(chǎn)品和分配給此用戶的授權(quán)范圍內(nèi)。

2、多級式部署：

對于一些大規(guī)模和分布式網(wǎng)絡(luò)用戶，建議使用分布式部署方式。在大型網(wǎng)絡(luò)中采用多臺漏掃系統(tǒng)共同工作，可對各系統(tǒng)間的數(shù)據(jù)共享并匯總，方便用戶對分布式網(wǎng)絡(luò)進行集中管理。

優(yōu)缺點

1、優(yōu)點

有利于及早發(fā)現(xiàn)問題，并從根本上解決安全隱患。

2、不足

只能針對已知安全問題進行掃描；準(zhǔn)確性和指導(dǎo)性有待改善。

定義

安全隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立網(wǎng)絡(luò)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨立網(wǎng)絡(luò)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。

功能模塊

安全隔離閘門的功能模塊有：

安全隔離、內(nèi)核防護、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計、身份認(rèn)證

主要功能

1、阻斷網(wǎng)絡(luò)的直接物理連接：物理隔離網(wǎng)閘在任何時刻都只能與非可信網(wǎng)絡(luò)和可信網(wǎng)絡(luò)上之一相連接，而不能同時與兩個網(wǎng)絡(luò)連接；

2、阻斷網(wǎng)絡(luò)的邏輯連接：物理隔離網(wǎng)閘不依賴操作系統(tǒng)、不支持TCP/IP協(xié)議。兩個網(wǎng)絡(luò)之間的信息交換必須將TCP/IP協(xié)議剝離，將原始數(shù)據(jù)通過P2P的非TCP/IP連接方式，通過存儲介質(zhì)的“寫入”與“讀出”完成數(shù)據(jù)轉(zhuǎn)發(fā)；

3、安全審查：物理隔離網(wǎng)閘具有安全審查功能，即網(wǎng)絡(luò)在將原始數(shù)據(jù)“寫入”物理隔離網(wǎng)閘前，根據(jù)需要對原始數(shù)據(jù)的安全性進行檢查，把可能的病毒代碼、惡意攻擊代碼消滅干凈等；

4、原始數(shù)據(jù)無危害性：物理隔離網(wǎng)閘轉(zhuǎn)發(fā)的原始數(shù)據(jù)，不具有攻擊或?qū)W(wǎng)絡(luò)安全有害的特性。就像txt文本不會有病毒一樣，也不會執(zhí)行命令等。

5、管理和控制功能：建立完善的日志系統(tǒng)。

6、根據(jù)需要建立數(shù)據(jù)特征庫：在應(yīng)用初始化階段，結(jié)合應(yīng)用要求，提取應(yīng)用數(shù)據(jù)的特征，形成用戶特有的數(shù)據(jù)特征庫，作為運行過程中數(shù)據(jù)校驗的基礎(chǔ)。當(dāng)用戶請求時，提取用戶的應(yīng)用數(shù)據(jù)，抽取數(shù)據(jù)特征和原始數(shù)據(jù)特征庫比較，符合原始特征庫的數(shù)據(jù)請求進入請求隊列，不符合的返回用戶，實現(xiàn)對數(shù)據(jù)的過濾。

7、根據(jù)需要提供定制安全策略和傳輸策略的功能：用戶可以自行設(shè)定數(shù)據(jù)的傳輸策略，如：傳輸單位（基于數(shù)據(jù)還是基于任務(wù)）、傳輸間隔、傳輸方向、傳輸時間、啟動時間等。

8、支持定時/實時文件交換；支持支持單向/雙向文件交換；支持?jǐn)?shù)字簽名、內(nèi)容過濾、病毒檢查等功能。

工作原理

安全隔離網(wǎng)閘的組成：

安全隔離網(wǎng)閘是實現(xiàn)兩個相互業(yè)務(wù)隔離的網(wǎng)絡(luò)之間的數(shù)據(jù)交換，通用的網(wǎng)閘模型設(shè)計一般分三個基本部分：

1、 內(nèi)網(wǎng)處理單元：包括內(nèi)網(wǎng)接口單元與內(nèi)網(wǎng)數(shù)據(jù)緩沖區(qū)。接口部分負(fù)責(zé)與內(nèi)網(wǎng)的連接，并終止內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)連接，對數(shù)據(jù)進行病毒檢測、防火墻、入侵防護等安全檢測后剝離出“純數(shù)據(jù)”，作好交換的準(zhǔn)備，也完成來自內(nèi)網(wǎng)對用戶身份的確認(rèn)，確保數(shù)據(jù)的安全通道；數(shù)據(jù)緩沖區(qū)是存放并調(diào)度剝離后的數(shù)據(jù)，負(fù)責(zé)與隔離交換單元的數(shù)據(jù)交換。

2、 外網(wǎng)處理單元：與內(nèi)網(wǎng)處理單元功能相同，但處理的是外網(wǎng)連接。

3、 隔離與交換控制單元（隔離硬件）：是網(wǎng)閘隔離控制的擺渡控制，控制交換通道的開啟與關(guān)閉。控制單元中包含一個數(shù)據(jù)交換區(qū)，就是數(shù)據(jù)交換中的擺渡船。對交換通道的控制的方式目前有兩種技術(shù)，擺渡開關(guān)與通道控制。擺渡開關(guān)是電子倒換開關(guān)，讓數(shù)據(jù)交換區(qū)與內(nèi)外網(wǎng)在任意時刻的不同時連接，形成空間間隔GAP，實現(xiàn)物理隔離。通道方式是在內(nèi)外網(wǎng)之間改變通訊模式，中斷了內(nèi)外網(wǎng)的直接連接，采用私密的通訊手段形成內(nèi)外網(wǎng)的物理隔離。該單元中有一個數(shù)據(jù)交換區(qū)，作為交換數(shù)據(jù)的中轉(zhuǎn)。

其中，三個單元都要求其軟件的操作系統(tǒng)是安全的，也就是采用非通用的操作系統(tǒng)，或改造后的專用操作系統(tǒng)。一般為Unix BSD或Linux的經(jīng)安全精簡版本，或者其他是嵌入式操作系統(tǒng)等，但都要對底層不需要的協(xié)議、服務(wù)刪除，使用的協(xié)議優(yōu)化改造，增加安全特性，同時提高效率。

如果針對網(wǎng)絡(luò)七層協(xié)議，安全隔離網(wǎng)閘是在硬件鏈路層上斷開。

區(qū)別比較

1、與物理隔離卡的區(qū)別

安全隔離網(wǎng)閘與物理隔離卡最主要的區(qū)別是，安全隔離網(wǎng)閘能夠?qū)崿F(xiàn)兩個網(wǎng)絡(luò)間的自動的安全適度的信息交換，而物理隔離卡只能提供一臺計算機在兩個網(wǎng)之間切換，并且需要手動操作，大部分的隔離卡還要求系統(tǒng)重新啟動以便切換硬盤。

2、網(wǎng)絡(luò)交換信息的區(qū)別

安全隔離網(wǎng)閘在網(wǎng)絡(luò)間進行的安全適度的信息交換是在網(wǎng)絡(luò)之間不存在鏈路層連接的情況下進行的。安全隔離網(wǎng)閘直接處理網(wǎng)絡(luò)間的應(yīng)用層數(shù)據(jù)，利用存儲轉(zhuǎn)發(fā)的方法進行應(yīng)用數(shù)據(jù)的交換，在交換的同時，對應(yīng)用數(shù)據(jù)進行的各種安全檢查。路由器、交換機則保持鏈路層暢通，在鏈路層之上進行IP包等網(wǎng)絡(luò)層數(shù)據(jù)的直接轉(zhuǎn)發(fā)，沒有考慮網(wǎng)絡(luò)安全和數(shù)據(jù)安全的問題。

3、與防火墻的區(qū)別

防火墻一般在進行IP包轉(zhuǎn)發(fā)的同時，通過對IP包的處理，實現(xiàn)對TCP會話的控制，但是對應(yīng)用數(shù)據(jù)的內(nèi)容不進行檢查。這種工作方式無法防止泄密，也無法防止病毒和黑客程序的攻擊。

使用方式

1、涉密網(wǎng)與非涉密網(wǎng)之間

2、局域網(wǎng)與互聯(lián)網(wǎng)之間（內(nèi)網(wǎng)與外網(wǎng)之間）

3、辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間

4、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間