盧方建

（陽江市婦幼保健院，廣東 陽江 529500）

一、網(wǎng)閘

（一）網(wǎng)閘是什么

網(wǎng)閘，英文縮寫GAP，是通過具有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)，連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。當兩個獨立的主機系統(tǒng)通過網(wǎng)閘實行隔離，系統(tǒng)間就不存在通信的物理連接、邏輯連接和信息傳輸協(xié)議，不存在依據(jù)協(xié)議實現(xiàn)的信息交換，僅有以數(shù)據(jù)文件形式進行的無協(xié)議擺渡。所以，網(wǎng)閘從邏輯上阻斷了對內(nèi)網(wǎng)具有潛在攻擊可能的一切網(wǎng)絡(luò)連接，讓外部攻擊者不能直接入侵、攻擊和破壞內(nèi)網(wǎng)，從而保障內(nèi)部主機的安全。

（二）網(wǎng)閘的工作原理

通過網(wǎng)閘可讓內(nèi)外網(wǎng)進行隔離，具體來說就是網(wǎng)絡(luò)模型各層上都可實現(xiàn)斷開。

1.物理層斷開。網(wǎng)閘使用的網(wǎng)絡(luò)隔離技術(shù)，就為了能保證完全斷開網(wǎng)閘的外部主機和內(nèi)部主機之間的連接。外部主機和固態(tài)存儲介質(zhì)之間，以及內(nèi)部主機和固態(tài)存儲介質(zhì)之間，都設(shè)計有一個開關(guān)電路，在進行數(shù)據(jù)信息傳遞時，有條件地進行單個聯(lián)通，不可同時聯(lián)通，以此達到非直通擺道效果，以此保證物理層的斷開機制。

2.鏈路層斷開。如果上述兩個開關(guān)電路同時閉合，就能形成一個完整的數(shù)據(jù)通信鏈路，基于鏈路層通信協(xié)議的數(shù)據(jù)交換技術(shù)，都不算是網(wǎng)絡(luò)隔離技術(shù)，所以兩開關(guān)不能同時關(guān)閉，這就實現(xiàn)了鏈路層斷開。

3.TCP/IP 協(xié)議隔離。因為TCP/IP 協(xié)議存在能讓病毒和攻擊者利用的缺陷，所以網(wǎng)閘在數(shù)據(jù)通過時，要先剝離TCP/IP 協(xié)議，擺渡完成后，再重建TCP/IP 協(xié)議，以此提高安全性。

4.應(yīng)用協(xié)議隔離。因為應(yīng)用層協(xié)議存在能讓病毒和攻擊者利用的缺陷，所以網(wǎng)閘在數(shù)據(jù)通過時，要先剝離應(yīng)用層協(xié)議，擺渡完成后，再重建應(yīng)用層協(xié)議，以此提高安全性。

（三）網(wǎng)閘的關(guān)鍵技術(shù)

1.安全性高。相比于防火墻，網(wǎng)閘的安全級別更高。防火墻原則是在保證網(wǎng)絡(luò)通暢數(shù)據(jù)正常傳輸?shù)那疤嵯?，盡可能地保證網(wǎng)絡(luò)安全；網(wǎng)閘原則是在保證網(wǎng)絡(luò)數(shù)據(jù)安全的前提下，盡可能正常高效通暢傳輸。從結(jié)構(gòu)上來看，防火墻是一套主機系統(tǒng)，而網(wǎng)閘是兩套獨立的主機系統(tǒng)，一套對內(nèi)網(wǎng)（安全網(wǎng)絡(luò)），一套對外網(wǎng)（非安全網(wǎng)絡(luò)），有些高配置的網(wǎng)閘還有仲裁設(shè)備，處于中立，專門用來對數(shù)據(jù)進行檢測和殺毒，兩套主機系統(tǒng)與仲裁設(shè)備間的連接通過特殊的不可路由的協(xié)議進行數(shù)據(jù)交換。

2.內(nèi)外網(wǎng)完全隔離。網(wǎng)絡(luò)數(shù)據(jù)包不能通過任何的轉(zhuǎn)換方式，或者轉(zhuǎn)換成文本，都無法直接從一個網(wǎng)絡(luò)轉(zhuǎn)換到另一個網(wǎng)絡(luò)，這種完全隔離的效果，是網(wǎng)閘的關(guān)鍵價值。

3.訪問可控性。網(wǎng)閘作為內(nèi)外網(wǎng)的數(shù)據(jù)交換核心設(shè)備，都設(shè)置有一套功能強大，設(shè)置細粒度的管理系統(tǒng)，對內(nèi)外網(wǎng)的通路創(chuàng)建和關(guān)閉、指定點對點的通路開啟和關(guān)閉、數(shù)據(jù)通過的量和類型等，都可做個性化部署，設(shè)備還有白名單和黑名單功能，讓非法設(shè)備無法訪問內(nèi)網(wǎng)。

二、我院的網(wǎng)閘

（一）網(wǎng)閘的具體功能。

1.網(wǎng)閘采用權(quán)限分立設(shè)計，分別為系統(tǒng)管理員，安全保密員和安全設(shè)計院，還設(shè)置了身份認證機制，只有聽過身份認證的設(shè)備，才能通過網(wǎng)閘通信。

2.網(wǎng)閘主要通過策略來管理設(shè)備間的網(wǎng)絡(luò)通信，首先要設(shè)立對象，對象可以是服務(wù)器，也可以是終端PC 機，還可以是防火墻等安全設(shè)備。如果對象時零碎的或者是一個網(wǎng)段的設(shè)備，可以把這些對象納入到一個對象組中。有了對象后，可設(shè)立規(guī)則，規(guī)則就是針對具體的對象和對象之間的通信設(shè)定，可設(shè)置單向，可雙向，還可在時間維度上進行限制。

3.設(shè)備提供設(shè)備狀態(tài)查看功能，還有診斷工具和備份升級功能，都是管理上的使用功能。

4.設(shè)備提供強大的審計功能，包括管理日志攻擊防護日志，審計管理日志、系統(tǒng)日志、訪問日志、內(nèi)容過濾日志、文件交換日志和數(shù)據(jù)庫同步日志等，通過日志能了解所有網(wǎng)絡(luò)上的設(shè)備的所有交換信息和狀態(tài)。

（二）網(wǎng)閘對醫(yī)院信息化的影響

1.網(wǎng)閘的加入，在終端使用上透明化，網(wǎng)絡(luò)安全性提高了，但各種操作使用和原來一樣。服務(wù)器上，以前的微信預(yù)約前置機需要雙網(wǎng)卡接內(nèi)外雙網(wǎng)線，現(xiàn)在只需一個網(wǎng)卡一條網(wǎng)線即可，在網(wǎng)閘上把該設(shè)備設(shè)為一個對象，外網(wǎng)專線防火墻設(shè)為一個對象，然后把這兩個對象建立一個雙向通信的規(guī)格，就可以實現(xiàn)內(nèi)外網(wǎng)同時聯(lián)通。

2.網(wǎng)閘的加入，對機房管理人員提出了更高的要求。網(wǎng)閘的功能強大，設(shè)置項非常多，要精細化管理和合理化運用，需要膽大心細。例如新生兒篩查系統(tǒng)（外網(wǎng)）需要與婦幼保健系統(tǒng)（內(nèi)網(wǎng)）雙向訪問數(shù)據(jù)，就需要把這兩個設(shè)備設(shè)立為兩個對象，然后建立一個規(guī)則，是新生兒篩查系統(tǒng)（外網(wǎng)）能單向訪問婦幼保健系統(tǒng)（內(nèi)網(wǎng)），再建立一個規(guī)格，是婦幼保健系統(tǒng)（內(nèi)網(wǎng)）能單向訪問新生兒篩查系統(tǒng)（外網(wǎng)），這樣一個雙向的訪問設(shè)置就完成。

三、結(jié)語

網(wǎng)閘在內(nèi)部安全和外部便捷的網(wǎng)絡(luò)連通中起到核心的作用，網(wǎng)閘的應(yīng)用越來越廣泛，合理使用好網(wǎng)閘，對整個網(wǎng)絡(luò)架構(gòu)非常重要。