網閘外部訪問

『壹』 網閘的其它問題

（一）安全隔離網閘通常布置在什麼位置？
安全隔離網閘通常布置在兩個安全級別不同的兩個網路之間，如信任網路和非信任網路，管理員可以從信任網路一方對安全隔離網閘進行管理。
（二）安全隔離網閘的部署是否需要對網路架構作調整？
採用透明方式的網閘只需要在兩個網路各提供一個有效的IP地址即可。採用路由模式的網閘要求一定的改動。有的網閘支持兩種連接方式。有的只支持一種。只支持路由模式的網閘就會要求對網路結構有改動。
（三）安全隔離網閘是否可以在網路內部使用？
可以，網路內部安全級別不同的兩個網路之間也可以安裝安全隔離網閘進行隔離。
（四）安全隔離網閘支持互動式訪問嗎？
鑒於安全隔離網閘保護的主要是內部網路，一旦支持互動式訪問如支持建立會話，那麼無法防止信息的泄漏以及內部系統遭受攻擊，因此，安全隔離網閘不支持互動式訪問.
（五）支持反向代理的安全隔離網閘安全嗎？
支持反向代理意味著可以從非信任網路間接授權訪問信任網路上的資源，一旦代理軟體在安全檢查或者軟體實現上出現問題，那麼很有可能會被黑客利用並非法存取內部資源。因此從安全性上講，支持反向代理的安全隔離網閘不安全。
（六）如果對應網路七層協議，安全隔離網閘是在哪一層斷開？
如果針對網路七層協議，安全隔離網閘是在硬體鏈路層上斷開。
（七）安全隔離網閘支持百兆網路嗎？千兆網路如何支持？
安全隔離網閘支持百兆網路，目前國內最快的可以達到120MBps。對於千兆網路，可以採用多台安全隔離網閘進行負載均衡。
（八）安全隔離網閘自身的安全性如何？
安全隔離網閘雙處理單元上都採用了安全加固的操作系統，包括強制訪問控制、基於內核的入侵檢測等安全功能，並且該系統得到國家權威部門的認證。
（九）安全隔離網閘有身份認證機制嗎？
有。安全隔離網閘在用於郵件轉發和網頁瀏覽的時候，對用戶進行用戶名/口令、證書認證等多種形式的身份認證。
（十）有了防火牆和IDS，還需要安全隔離網閘嗎？
防火牆是網路層邊界檢查工具，可以設置規則對內部網路進行安全防護，而IDS一般是對已知攻擊行為進行檢測，這兩種產品的結合可以很好的保護用戶的網路，但是從安全原理上來講，無法對內部網路做更深入的安全防護。安全隔離網閘重點是保護內部網路，如果用戶對內部網路的安全非常在意，那麼防火牆和IDS再加上安全隔離網閘將會形成一個很好的防禦體系。
（十一）受安全隔離網閘保護的內部網路需要不斷升級嗎？
安全隔離網閘首先在鏈路層斷開，徹底切斷網路連接，並僅允許僅有的四種指定靜態數據進行交換，對外不接受請求，並且在內部用戶訪問外部網路時採用靜態頁面返回（過濾ActiveX、Java、cookie等），並且木馬無法通過安全隔離網閘進行通訊，因此內部網路針對外部的攻擊根本無需升級。
（十二）為什麼受防火牆保護的內部網路需要不斷升級？
防火牆是在網路層對數據包作安全檢查，並不切斷網路連接，很多案例證明無論包過濾還是代理防火牆都很難防止木馬病毒的入侵內部網路，Nimda繞過很多防火牆的檢查並在全世界肆虐就是一個很好的例證，因此需要用戶的內部網路不斷升級自己的客戶端如瀏覽器。
（十三）安全隔離網閘能否防止內部無意信息泄漏？
由於安全隔離網閘在數據交換時採用了證書機制，對所有的信息進行證書驗證，因此對於那些病毒亂發郵件所造成的無意信息泄漏起到很好的防範作用。
（十四）使用安全隔離網閘時需要安裝客戶端嗎？
有的網閘管理員使用通用的瀏覽器即可對其進行管理配置，使用安全隔離網閘時不需安裝其他客戶端。 但是這種方式具有極大的安全風險，因為遠程連接會引入安全威脅，而這種對於控制口的攻擊更為嚴重。所以安全性要求高的網閘，不允許通過遠程進行配置，只允許通過專有的配置程序，也就是客戶端通過串口進行配置。一些重要部門均不允許對網閘具有遠程配置的功能。
（十五）安全隔離網閘接受外來請求嗎？
不接受，安全隔離網閘上的數據交換全部由管理員來進行配置，其所有的請求都由安全隔離網閘主動發起，不接受外來請求，不提供任何系統服務。 如果接受遠程配置，就會接受外來的請求，造成嚴重的安全問題。
（十六）安全隔離網閘是否支持所連接的兩個網路的網段地址相同？
支持。
（十七）安全隔離網閘的主機系統是否經過安全加固？
由於從網路架構上來講，安全隔離網閘是處在網關的位置，因此其自身安全性非常重要，兩個處理單元 加固包括硬體加固、操作系統加固以及協議的加固。詳情見擴展閱讀3.
（十八）安全隔離網閘採用什麼樣的介面？有幾個介面？
安全隔離網閘通常提供2個標准乙太網百兆介面。
（十九）安全隔離網閘如何管理，支持遠程管理嗎？
安全性高的安全隔離網閘不支持遠程管理。
（二十）安全隔離網閘適用於大規模的部署嗎？
安全隔離網閘的安全部署不需對現有網路作調整，同時支持多台冗餘
（二十一）安全隔離網閘適用於什麼樣的場合？
如果用戶的網路上存儲著重要的數據、運行著重要的應用，通過防火牆等措施不能提供足夠高的安全性保護的情況下，可以考慮使用安全隔離網閘。
（二十二）安全隔離網閘直接轉發IP包嗎？
否。安全隔離網閘從不直接或者間接地轉發IP包形式的數據。安全隔離網閘的安全性體現在鏈路層斷開，直接處理應用層數據，對應用層數據進行內容檢查和控制，在網路之間交換的數據都是應用層的數據。如果直接轉發IP的話，由於單個IP包中一般不包含完整的應用數據，所以無法進行全面的內容檢查和控制，也就無法保證應用層的安全。因此，如果直接轉發IP包，則背離了安全隔離網閘的安全性要求，不能稱為安全隔離網閘。

『貳』 怎麼實現內外網的完全隔離

可以安裝物理安全隔離網閘設備進行內外網隔離。物理安全隔離網閘是一種由帶有多種控制功能專用硬體在電路上切斷網路之間的鏈路層連接，並能夠在網路間進行安全適度的應用數據交換的網路安全設備。

這個設備主要用來解決網路安全問題的，尤其是在那些需要絕對保證安全的保密網，專網和特種網路與互聯網進行連接時，用來防止來自互聯網的攻擊和保證這些高安全性網路的保密性、安全性、完整性。

(2)網閘外部訪問擴展閱讀：

安全隔離網閘的原理

網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。

由於物理隔離網閘所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議"擺渡"，且對固態存儲介質只有"讀"和"寫"兩個命令。

所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現了真正的安全。

參考資料來源：網路--網閘

參考資料來源：網路--物理隔離