網絡隔離中的數據交換方式

　　3、網閘

　　網閘的設計是代理+擺渡。不在河上架橋，可以設擺渡船，擺渡船不直接連接兩岸，安全性當然要比橋好，即使是攻擊，也不可能一下就進入，在船上總要受到管理者的各種控制。另外，網閘的功能有代理，這個代理不只是協議代理，而是數據的拆卸，把數據還原成原始的面貌，拆除各種通訊協議添加的包頭包尾，很多攻擊是通過對數據的拆裝來隱藏自己的，沒有了這些通訊外衣，攻擊者就很難藏身了。

　　網閘的安全理念是：

　　網絡隔離---過河用船不用橋：用擺渡方式來隔離網絡

　　協議隔離---禁止采用集裝箱運輸：通訊協議落地，用專用協議或存儲等方式阻斷通訊協議的連接，用代理方式支持上層業務

　　按國家安全要求是需要涉密網絡與非涉密網絡互聯的時候，要采用網閘隔離，若非涉密網絡與互聯網連通時，采用單向網閘，若非涉密網絡與互聯網不連通時，采用雙向網閘。

　　4、交換網絡

　　交換網絡的模型來源于銀行系統的Clark-WilsON模型，主要是通過業務代理與雙人審計的思路保護數據的完整性。交換網絡是在兩個隔離的網絡之間建立一個數據交換區域，負責業務數據交換(單向或雙向)。交換網絡的兩端可以采用多重網關，也可以采用網閘。在交換網絡內部采用監控、審計等安全技術，整體上形成一個立體的交換網安全防護體系。

　　交換網絡的核心也是業務代理，客戶業務要經過接入緩沖區的申請代理，到業務緩沖區的業務代理，才能進入生產網絡。

　　網閘與交換網絡技術都是采用渡船策略，延長數據通訊里程，增加安全保障措施。

　　三、數據交換技術的比較

　　不同的業務網絡根據自己的安全需求，選擇不同的數據交換技術，主要是看數據交換的量大小、實時性要求、業務服務方式的要求。