工业网闸介绍

工业网闸是使用带有多种控制功能的固态开关读写介质，连接两个***主机系统的信息安全设备。由于两个***的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。因此，网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接、攻击或***内网，保障了内部主机的安全。

工业网闸

（1）只支持静态数据交换，不支持交互式访问。这是安全网闸明显得一个缺陷。由于是真正的网络间物理隔离，它不支持诸如动态web页面技术中的activex、j***a甚至是客户端的cookie技术，目前安全网闸一般只支持静态web页、邮件文件等静态数据的交换。

（2）适用范围窄。由于数据链路层被忽略，安全网闸无法实现一个完整的iso/osi七层连接过程，所以安全网闸对所有交换的数据必须根据其特性开发的交换模块，灵活性差，适用范围十分狭窄。

（3）系统配置复杂，安全性很大程度上取决于网络管理员的技术水平。

在网闸传送数据过程中要实现病毒、木马过滤和安全性检查等一系列功能，这都需要网络管理员根据网络应用的具体情况加以判断和设置。如果设置不当，比如对内部人员向外部提交的数据不进行过滤而导致信息外泄等，都可能造成安全网闸的安全功能大打折扣。（结构复杂，成本较高。安全网闸的三个组件都必须为大容量存储设备，特别在支持多种应用的情况下，存储转发决定了必须采用较大的存储器来存储和缓存大量的交换数据。另外，安全网闸由于处在两个网段的结合部，具有网关的地位，一旦宕机就会使两边数据无法交换，所以往往需要配置多台网闸设备作为冗余，这就使购置和实施费用不可避免地上升了。

工业网闸配置

（1）网闸产品应有***相关安全部门的证书。

（2）网闸设置加长口令，网络管理人员调离或退出本岗位时口令应立即更换。

（3）网闸密码不得以明文形式出现在纸质材料上，密码应隐式记录，记录材料应存放于***柜中。

（4）监控配置更改，改动网闸配置时，进行监控。

（5）定期备份配置和日志。

（6）明确责任，维护人员对更改网闸配置的时间、操作方式、原因和权限需要明确，在进行任何更改之前，制定详细的逆序操作规程。