卢方建

（阳江市妇幼保健院，广东 阳江 529500）

一、网闸

（一）网闸是什么

网闸，英文缩写GAP，是通过具有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。当两个独立的主机系统通过网闸实行隔离，系统间就不存在通信的物理连接、逻辑连接和信息传输协议，不存在依据协议实现的信息交换，仅有以数据文件形式进行的无协议摆渡。所以，网闸从逻辑上阻断了对内网具有潜在攻击可能的一切网络连接，让外部攻击者不能直接入侵、攻击和破坏内网，从而保障内部主机的安全。

（二）网闸的工作原理

通过网闸可让内外网进行隔离，具体来说就是网络模型各层上都可实现断开。

1.物理层断开。网闸使用的网络隔离技术，就为了能保证完全断开网闸的外部主机和内部主机之间的连接。外部主机和固态存储介质之间，以及内部主机和固态存储介质之间，都设计有一个开关电路，在进行数据信息传递时，有条件地进行单个联通，不可同时联通，以此达到非直通摆道效果，以此保证物理层的断开机制。

2.链路层断开。如果上述两个开关电路同时闭合，就能形成一个完整的数据通信链路，基于链路层通信协议的数据交换技术，都不算是网络隔离技术，所以两开关不能同时关闭，这就实现了链路层断开。

3.TCP/IP 协议隔离。因为TCP/IP 协议存在能让病毒和攻击者利用的缺陷，所以网闸在数据通过时，要先剥离TCP/IP 协议，摆渡完成后，再重建TCP/IP 协议，以此提高安全性。

4.应用协议隔离。因为应用层协议存在能让病毒和攻击者利用的缺陷，所以网闸在数据通过时，要先剥离应用层协议，摆渡完成后，再重建应用层协议，以此提高安全性。

（三）网闸的关键技术

1.安全性高。相比于防火墙，网闸的安全级别更高。防火墙原则是在保证网络通畅数据正常传输的前提下，尽可能地保证网络安全；网闸原则是在保证网络数据安全的前提下，尽可能正常高效通畅传输。从结构上来看，防火墙是一套主机系统，而网闸是两套独立的主机系统，一套对内网（安全网络），一套对外网（非安全网络），有些高配置的网闸还有仲裁设备，处于中立，专门用来对数据进行检测和杀毒，两套主机系统与仲裁设备间的连接通过特殊的不可路由的协议进行数据交换。

2.内外网完全隔离。网络数据包不能通过任何的转换方式，或者转换成文本，都无法直接从一个网络转换到另一个网络，这种完全隔离的效果，是网闸的关键价值。

3.访问可控性。网闸作为内外网的数据交换核心设备，都设置有一套功能强大，设置细粒度的管理系统，对内外网的通路创建和关闭、指定点对点的通路开启和关闭、数据通过的量和类型等，都可做个性化部署，设备还有白名单和黑名单功能，让非法设备无法访问内网。

二、我院的网闸

（一）网闸的具体功能。

1.网闸采用权限分立设计，分别为系统管理员，安全保密员和安全设计院，还设置了身份认证机制，只有听过身份认证的设备，才能通过网闸通信。

2.网闸主要通过策略来管理设备间的网络通信，首先要设立对象，对象可以是服务器，也可以是终端PC 机，还可以是防火墙等安全设备。如果对象时零碎的或者是一个网段的设备，可以把这些对象纳入到一个对象组中。有了对象后，可设立规则，规则就是针对具体的对象和对象之间的通信设定，可设置单向，可双向，还可在时间维度上进行限制。

3.设备提供设备状态查看功能，还有诊断工具和备份升级功能，都是管理上的使用功能。

4.设备提供强大的审计功能，包括管理日志攻击防护日志，审计管理日志、系统日志、访问日志、内容过滤日志、文件交换日志和数据库同步日志等，通过日志能了解所有网络上的设备的所有交换信息和状态。

（二）网闸对医院信息化的影响

1.网闸的加入，在终端使用上透明化，网络安全性提高了，但各种操作使用和原来一样。服务器上，以前的微信预约前置机需要双网卡接内外双网线，现在只需一个网卡一条网线即可，在网闸上把该设备设为一个对象，外网专线防火墙设为一个对象，然后把这两个对象建立一个双向通信的规格，就可以实现内外网同时联通。

2.网闸的加入，对机房管理人员提出了更高的要求。网闸的功能强大，设置项非常多，要精细化管理和合理化运用，需要胆大心细。例如新生儿筛查系统（外网）需要与妇幼保健系统（内网）双向访问数据，就需要把这两个设备设立为两个对象，然后建立一个规则，是新生儿筛查系统（外网）能单向访问妇幼保健系统（内网），再建立一个规格，是妇幼保健系统（内网）能单向访问新生儿筛查系统（外网），这样一个双向的访问设置就完成。

三、结语

网闸在内部安全和外部便捷的网络连通中起到核心的作用，网闸的应用越来越广泛，合理使用好网闸，对整个网络架构非常重要。