网闸数据交换的工作原理
计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。安全隔离与信息交换系统隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?网络只是信息交换的一种方式,而不是信息交换方式的全部。在互联网时代以前,信息照样进行交换,如数据文件复制(拷贝)、数据摆渡、数据镜像、数据反射等等,深信服安全隔离与信息交换系统就是使用数据“摆渡”的方式实现两个网络之间的信息交换。
安全隔离与信息交换系统在网络的第七层将数据还原为原始数据文件,然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透深信服安全隔离与信息交换系统。这同透明桥、混杂模式、IP over USB、代理主机、以及通过开关方式来转发信息包有本质的区别。下面以内网与外网之间的安全隔离与信息交换系统为例,说明通过深信服安全隔离与信息交换系统的信息交换过程。
当内网与外网之间无信息交换时,数据交换单元与内网交换单元,数据交换单元与外网处理单元,内网处理单元与外网处理单元之间是完全断开的,即三者之间不存在任何连接,如下图所示。
当内网数据需要传输到外网时,内网处理单元会主动向数据交换单元发起非TCP/IP协议的数据连接请求,并发出“写”命令,将“读”开关合上,并把所有的协议剥离,将原始数据写入高速缓存。在写入之前,根据不同的应用,还要对数据进行必要的完整性、安全性检查。
在此过程中,外网处理单元与数据交换单元始终处于断开状态,见下图所示。
一旦数据完全写入安全隔离与信息交换系统的存储介质,“读取”开关立即打开,并中断与内网的“写”开关,中断与内网的连接。转而发起对外网处理单元的非TCP/IP协议的数据连接请求,当外网处理单元收到请求后,发出“读”命令,将数据交换单元的数据读取到外网处理单元。外网处理单元重新发起TCP/IP的会话到达目标服务器,将数据上传交给应用系统,完成了内网到外网的信息交换。详见下图。
安全隔离与信息交换系统由内网处理单元、外网处理单元与安全数据交换单元(专用安全通道)组成。内、外网处理单元采用特殊安全电路设计,具有极高的稳定性与可靠性。安全数据交换单元采用专用安全传输控制硬件,通过层层搬运的方式实现信息安全交换,在数据交换的过程中通道在任何时刻都不是直接连通的。安全数据交换单元是隔离系统的内、外网单元之间的唯一数据传输安全通道,只有私有可信数据才被识别,从而杜绝了任何不被识别的数据穿透安全传输通道的可能,确保所有通过的数据包都是只被控制单元识别的合法纯数据。
安全隔离与信息交换系统的工作原理是在内、外网处理单元独立完成网络协议终止、内容检查与日志审计,将符合安全策略的数据内容提交至安全数据交换区等待数据交换。安全数据交换单元按照设定的周期分别由内、外网处理单元的安全数据交换区将数据内容提取并交换至另一端的安全数据下载区,等待用户的读取或传输至指定的计算机上。