物理隔离网闸与隔离卡的对比

物理隔离
物理隔离包含四个方面内容：VIGAP隔离网闸技术 、水线 、物理隔离 、 物理隔离卡 。

1、ViGap隔离网闸，它创建一个这样的环境，内、外网物理断开，但逻辑地相连。

对于有连接的PC，黑客可以使用各种方法，通过网络连接来对它进行控制，然而物理隔断却能杜绝这种情况发生。

ViGap就是在这两个网络之间创建了一个物理隔断，这意味着网络数据包不能从一个网络流向另外一个网络，并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。

2、所谓“物理隔离”是指内部网不得直接或间接地连接公共网。

物理隔离的目的是保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。

3、在每台电脑中通过主板插槽安装物理隔离卡，把一台普通计算机分成两台虚拟计算机，实现真正的物理隔离。

4、在单相电源系统中，水线的功能为传导回馈的电流，与插座端与接地分配在同一个区域。

而在台湾地区，只有水线与火线之分。

也就是说，只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。

此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

所谓“物理隔离”是指内部网不直接或间接地连接公共网。

物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。

只有使内部网和公共网物理隔离，才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。

此外，物理隔离也为政府内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

隔离网闸的分析与应用计算机网络已经成为企业、政府和其它各种组织的重要信息平台和传输渠道。

由网络带来的信息数字化使得各领域的工作效率有了大幅提高，并使海量的信息存储和处理成为了现实。

但是，因为网络安全问题带来的损失也是非常巨大的，国家的利益、人民的财产都因网络安全问题而面临严重的威胁。

因此，全方位、多层次的发展信息安全技术，有针对性的开发信息安全产品，才能确保网络信息的安全。

网络之间始终要面临两个问题：信任和安全。

有如人与人之间的关系一样，我们希望多交朋友的时候，就需要给予他人足够的信任，可是如果一味的信任他人，遇到小人时，就容易被小人欺骗，如果遇到不法之徒，自己的生命、财产都面临威胁。

人在面对不同面孔时会做出自己的判断，然而因为对方的伪装和自己经验的局限，这种判断是不准确的，网络间的关系与此类似，因此，要维护网络的安全，就要预先根据网络的性质，来建设网络安全防护体系，分而治之，才能使网络在安全的前提下有条不紊的运行。

对于许多涉密网络，因为含有大量机密信息，通常会被要求与互联网或其他网络隔离，但是在现实中，大多数涉密网络都有与其他网络的通讯需求，由此，“安全隔离，适度交换”就成了涉密网络的基本要求。

为了实现这一要求，通常可以有以下两种办法：1）物理隔离，人工拷贝数据。

将要保护的网络与其他网络完全断开，物理上没有任何连接，甚至保持一定距离，避免电磁辐射，这就是物理隔离。

在需要交换数据时，用人工拷盘的方法，先将数据拷贝到U盘等存储介质上，再拷到其他网络上去。

这是最古老的隔离办法，显然效率非常低下，而且中间存储介质交叉使用，容易感染病毒。

为了达到物理隔离的效果，除了使用独立的两套终端以外，还可以使用物理隔离卡。

物理隔离卡是一个网络电子开关，它可以让两个硬盘分别对应两个网络，其上的数据完全独立，不能交叉使用，新型的TIPTOP隔离卡还能够控制终端计算机的USB等外设，解决了USB交叉使用可能感染病毒的问题。

从零开始学布线：物理隔离的方法
物理隔离的方法可分为以下几种。

1
客户端的物理隔离
客户端的物理隔离用于解决网络客户端的信息安全问题，把网络分为内部涉密网和外部公共网，内部涉密网用于安全的涉密环境，不与外部网络有任何连接；外部公共网则是开放的，可以连接Internet发布信息。

网络客户端应用物理隔离卡产品可以使一台计算机既可以连接内部网又可连接外部网。

2
集线器级的物理隔离
集线器级的物理隔离产品需要与客户端的物理隔离产品结合起来应用，以在客户端的内外双网的布线上使用一条网络线通过远端切换器连接内外双网，实现一台工作站连接内外两个网络的目的，并在网络布线上避免客户端计算机要用两条网络线连接网络。

3
网闸物理隔离
物理隔离网闸与外网、内网之间是完全断开的，网闸、外网、内网之间不存在物理连接和逻辑连接。

网闸主要是用以解决内、外网之间的数据交换问题，网闸就是要保证网闸的外部主机和内部主机在任何时候都是完全断开的。

4
服务器端的物理隔离
服务器端的物理隔离产品通过复杂的软硬件技术实现了在服务器端的数据过滤和传输任务，其技术关键还是在同一时刻内外网络没有物理上的数据连通，但又可以快速分时地处理并传递数据。

从零开始学布线：为什么要建设屏蔽局域网
2022-02-15
从零开始学布线：选择屏蔽与非屏蔽系统
2022-02-15
从零开始学布线：屏蔽局域网的施工建设
2022-02-15
从零开始学布线：屏蔽局域网系统的施工安装要
求
2022-02-16
从零开始学布线：电磁屏蔽室的施工建设
2022-02-16
从零开始学布线：屏蔽机房重要设备
2022-02-16。

实行物理隔离须把握的几个问题2002年8月，中央办公厅、国务院办公厅下发了《关于我国电子政务建设指导意见》。

《意见》明确要求，电子政务网络由政务内网和政务外网组成，政务内网是政务部门的办公网，政务外网主要运行面向社会的专业性服务业务和不需要在内网上运行的业务，两网之间物理隔离，政务外网与互联网之间逻辑隔离。

在目前高技术窃密频发的情况下，实行政务内网与公共信息网络的物理隔离，建立封闭的电子政务内网办公环境，是确保各级党政机关及其他涉密单位内部办公网络不受来自外网、特别是境外网络非法攻击的有效举措。

它为涉密信息系统划定了明确的安全边界，增强了网络的可控性，有利于内部管理和防范。

问题物理隔离技术作为保障政务内网安全的一个重要手段，越来越受到各部门、各单位的高度重视。

然而，在实践中，政务内网建设仍存在种种违反物理隔离要求的现象。

在网络建设方面：1、利用防火墙或网闸代替物理隔离。

尽管防火墙技术已经得到广泛应用，但还没有达到对计算机病毒进行有效识别、阻止已通过身份鉴别用户的远程控制等效能。

因此，利用防火墙技术进行所谓的内外网隔离，难以保障内网信息安全。

同时，国家保密标准明确规定，严禁将“网闸”用于涉密信息系统和互联网之间。

虽然目前有些单位在研制“网络安全隔离与信息交换技术”方面取得了一些进展，但技术水平还没有达到作为内外网物理隔离设备的标准。

2、在政务内网中使用无线网络设备。

目前，有些单位将无线路由器、无线交换机等装置安装于政务内网，将带有无线网络功能的终端接入政务内网。

这些无线设备如果与外界的无线网络连通，就会造成整个内网物理隔离的失效。

由于无线网络的信息是通过电磁波进行传输的，所以在无线网络覆盖的区域内，所有的无线设备都有可能收到网络信息，而无线网络节点也无法确保信息只向特定设备传送。

因此，如果政务内网中安装了无线设备，内网信息的安全将无法得到保证。

3、内外网共用一条线路。

内外网共用一条线路，不符合物理隔离的规定。

隔离网闸的选择与对比物理隔离网闸是使用带有多种控制功能的通道开关连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，所以，从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

但由于目前国内隔离网闸市场鱼龙混杂，在选择的时候确实让人大伤脑筋。

结合网闸的原理和用户的评价，本人认为在选择网闸时应注意以下几点：一、操作系统网闸作为物理隔离网络间的唯一交换手段，其自身安全性能极其重要，虽然国内大部分网闸厂商都做到了内外端的物理隔离，但对内外端的操作系统区没有做到足够的重视，LIUNX系统成为了很多网闸的标配系统，现在国家大力普及LINUX系统，相关的安全问题也慢慢显现出来，内核的漏洞接连被纰漏，对于涉密网络等对安全要求其极高的部门，显然这种应用是极其不负责任的。

二、连接方式内外网之间的连接方式直接影响到网闸的性能，传统的USB，串口线连接，1394卡连接的速度受其标准的限制，远远达不到应用标准，存储介质读写控制无论是SCSI方式还是双端口RAM方式以及DMA存取方式都是拷盘技术，受到总线标准的限制，速度达不到要求，严重制约了网闸的性能的发挥。

三、协议支持全球几乎每天都有一个新的协议诞生，可定义的协议支持对复杂的网络应用环境更有实际意义。

四、数据吞吐量优秀的设计理念和结构、系统本身执行效率都会直接影响网闸的吞吐量，通用操作系统并非为网络数据应用所设计，运行中会提供不需要的服务，浪费系统资源，服务本身的安全性也会影响网闸整体的安全性。

五、内部连接带宽复杂的网络环境下，大量的数据对内部连接的带宽造成很大的压力，传统的SCSI、1394、USB、LVDC、DMA等连接方式受本身标准限制不能满足网闸带宽需要。

国外部分网闸技术的领导厂商提出的网络隔离通道概念巧妙的解决了此问题，网络数据隔离通道不依赖系统，芯片控制数据的流入流出，并且芯片本身不提供软件编程接口，既保证了安全也提供了足够的带宽，芯片纯数据传输做优化设计，还可以有效减少网闸的延时时间。

中网X-GAP产品简介中网X-GAP（又称物理隔离网闸，或安全隔离与信息交换系统，以下简称X-GAP）产品是当今已知的安全性最高的网络安全设备。

X-GAP在保证通信隔离（又称物理隔离）的情况下，实现信息交换服务。

X-GAP可以轻松地集成到政府、电力、工商、税务、公安、交通、能源、金融和大型企业等的网络和业务环境中。

X-GAP不仅为客户提供基于隔离的安全保障，而且还提供高速度、高稳定性的数据交换能力，能够满足客户对高安全、高性能、高可靠性的应用需要。

产品概述：★专用的隔离设备隔离是指断开的意思。

安全隔离是指X-GAP连接的内外网之间，在物理链路层是永远隔断、没有连接，因此没有通信连接，没有网络连接，没有应用连接。

安全隔离后，网络无法进行数据通信。

隔离设备引入“文件摆渡”概念，通过“读写”两个命令来实现“文件摆渡”，在保证隔离的情况下实现文件安全交换。

★明确的产品定位X-GAP适用于相互断开的两个网络间安全、高速、可靠地交换文件。

X-GAP 在两个网络断开的前提下，通过“文件摆渡”实现数据交换，解决了各行业由于政策强制要求“物理隔离”所引起的“既要网络断开，又要交换数据”的两难境地，在保持隔离特性的同时，提供一种安全、有效的信息交换途径。

★易于管理和配置X-GAP的系统设计充分考虑到用户的使用和配置，为用户提供的配置界面和管理接口简单易用，安全管理员可以直观方便地配置系统。

产品组成（八大模块）：★安全隔离（断开与摆渡）由外部主机、内部主机和开关系统组成。

外部主机连接外网，内部主机连接内网，外部主机包含外部单边代理、内部主机包含内部单边代理，内外网主机代理之间的文件交换均通过X-GAP的开关系统来摆渡。

★抗攻击内核（内核防护）X-GAP的内核是专有的裁剪加固的高安全性内核。

X-GAP系统采用了中网独有的宙斯盾抗攻击网关内核，为X-GAP本身提供了具有最高强度的抗DOS/DDOS 攻击特性。

X-GAP还支持防扫描的功能（Anti-Scan）和嵌入式的入侵检测防御功能（IDP）。

什么是网闸？求助编辑网闸网闸（GAP）全称安全隔离网闸。

安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

目录编辑本段为什么要使用安全隔离网闸呢？其意义是：（一）当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，用户必须使用开关在内外网之间来回切换，不仅管理起来非常麻烦，使用起来也非常不方便，如果采用防火墙，由于防火墙自身的安全很难保证，所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。

在这种情况下，安全隔离网闸能够同时满足这两个要求，弥补了物理隔离卡和防火墙的不足之处，是最好的选择。

（二）对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。

（三）安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。

主要性能指标和功能性能指标安全隔离网闸的主要性能指标有那些呢？其性能指标包括：系统数据交换速率：120Mbps硬件切换时间：5ms主要功能1。

有哪些功能模块：安全隔离闸门的功能模块有：安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证2。

防止未知和已知木马攻击：为什么说安全隔离网闸能够防止未知和已知木马攻击？通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接，而安全隔离网闸由于使用了自定义的私有协议（不同于通用协议）。

使得支持传统网络结构的所有协议均失效，从原理实现上就切断所有的TCP 连接，包括UDP、ICMP等其他各种协议，使各种木马无法通过安全隔离网闸进行通讯。

从而可以防止未知和已知的木马攻击。