由于職能和業(yè)務(wù)的不同，用戶(hù)的應(yīng)用系統(tǒng)及其數(shù)據(jù)交換方式也多種多樣：各種審批系統(tǒng)、各種數(shù)據(jù)查詢(xún)系統(tǒng)需要在網(wǎng)絡(luò)間傳輸和交換指定數(shù)據(jù)庫(kù)記錄；各種匯總系統(tǒng)、各種數(shù)據(jù)采集系統(tǒng)需要在網(wǎng)絡(luò)間傳輸和交換指定文件；各種復(fù)雜的應(yīng)用系統(tǒng)需要傳輸和交換定制數(shù)據(jù)；內(nèi)外網(wǎng)之間的郵件互通和網(wǎng)頁(yè)瀏覽需求要求網(wǎng)絡(luò)之間能夠進(jìn)行郵件轉(zhuǎn)發(fā)和網(wǎng)頁(yè)轉(zhuǎn)發(fā)。

故主流的安全隔離網(wǎng)閘一般具有如下功能模塊：數(shù)據(jù)庫(kù)模塊、文件模塊、消息模塊、郵件模塊和瀏覽模塊。

安全隔離網(wǎng)閘的組成：

安全隔離網(wǎng)閘是實(shí)現(xiàn)兩個(gè)相互業(yè)務(wù)隔離的網(wǎng)絡(luò)之間的數(shù)據(jù)交換，通用的網(wǎng)閘模型設(shè)計(jì)一般分三個(gè)基本部分：

a. 內(nèi)網(wǎng)處理單元

b. 外網(wǎng)處理單元

c. 隔離與交換控制單元（隔離硬件）

其中，三個(gè)單元都要求其軟件的操作系統(tǒng)是安全的，也就是采用非通用的操作系統(tǒng)，或改造后的專(zhuān)用操作系統(tǒng)。一般為Unix BSD或Linux的經(jīng)安全精簡(jiǎn)版本，或者其他是嵌入式操作系統(tǒng)VxWorks等，但都要對(duì)底層不需要的協(xié)議、服務(wù)刪除，使用的協(xié)議優(yōu)化改造，增加安全特性，同時(shí)提高效率。

下面分別介紹三個(gè)基本部分的功能：

內(nèi)網(wǎng)處理單元：包括內(nèi)網(wǎng)接口單元與內(nèi)網(wǎng)數(shù)據(jù)緩沖區(qū)。接口部分負(fù)責(zé)與內(nèi)網(wǎng)的連接，并終止內(nèi)網(wǎng)用戶(hù)的網(wǎng)絡(luò)連接，對(duì)數(shù)據(jù)進(jìn)行病毒檢測(cè)、防火墻、入侵防護(hù)等安全檢測(cè)后剝離出“純數(shù)據(jù)”，作好交換的準(zhǔn)備，也完成來(lái)自?xún)?nèi)網(wǎng)對(duì)用戶(hù)身份的確認(rèn)，確保數(shù)據(jù)的安全通道；數(shù)據(jù)緩沖區(qū)是存放并調(diào)度剝離后的數(shù)據(jù)，負(fù)責(zé)與隔離交換單元的數(shù)據(jù)交換。

外網(wǎng)處理單元：與內(nèi)網(wǎng)處理單元功能相同，但處理的是外網(wǎng)連接。

隔離與交換控制單元：是網(wǎng)閘隔離控制的擺渡控制，控制交換通道的開(kāi)啟與關(guān)閉。控制單元中包含一個(gè)數(shù)據(jù)交換區(qū)，就是數(shù)據(jù)交換中的擺渡船。對(duì)交換通道的控制的方式目前有兩種技術(shù)，擺渡開(kāi)關(guān)與通道控制。擺渡開(kāi)關(guān)是電子倒換開(kāi)關(guān)，讓數(shù)據(jù)交換區(qū)與內(nèi)外網(wǎng)在任意時(shí)刻的不同時(shí)連接，形成空間間隔GAP，實(shí)現(xiàn)物理隔離。通道方式是在內(nèi)外網(wǎng)之間改變通訊模式，中斷了內(nèi)外網(wǎng)的直接連接，采用私密的通訊手段形成內(nèi)外網(wǎng)的物理隔離。該單元中有一個(gè)數(shù)據(jù)交換區(qū)，作為交換數(shù)據(jù)的中轉(zhuǎn)。

安全隔離網(wǎng)閘的兩類(lèi)模型：

在內(nèi)外網(wǎng)處理單元中，接口處理與數(shù)據(jù)緩沖之間的通道，稱(chēng)內(nèi)部通道1，緩沖區(qū)與交換區(qū)之間的通道，稱(chēng)內(nèi)部通道2。對(duì)內(nèi)部通道的開(kāi)關(guān)控制，就可以形成內(nèi)外網(wǎng)的隔離。模型中的用中間的數(shù)據(jù)交換區(qū)擺渡數(shù)據(jù)，稱(chēng)為三區(qū)模型；擺渡時(shí)，交換區(qū)的總線(xiàn)分別與內(nèi)、外網(wǎng)緩沖區(qū)連接，也就是內(nèi)部通道2的控制，完成數(shù)據(jù)交換。

還有一種方式是取消數(shù)據(jù)交換區(qū)，分別交互控制內(nèi)部通道1與內(nèi)部通道2，形成二區(qū)模型。

二區(qū)模型的數(shù)據(jù)擺渡分兩次：先是連接內(nèi)、外網(wǎng)數(shù)據(jù)緩沖區(qū)的內(nèi)部通道2斷開(kāi)，內(nèi)部通道1連接，內(nèi)外網(wǎng)接口單元將要交換的數(shù)據(jù)接收過(guò)來(lái)，存在各自的緩沖區(qū)中，完成一次擺渡。然后內(nèi)部通道1斷開(kāi)，內(nèi)部通道2連接，內(nèi)外網(wǎng)的數(shù)據(jù)緩沖區(qū)與各自的接口單元斷開(kāi)后，兩個(gè)緩沖區(qū)連接，分別把要交換的數(shù)據(jù)交換到對(duì)方的緩沖區(qū)中，完成數(shù)據(jù)的二次擺渡。

內(nèi)部通道一般也采用非通用網(wǎng)絡(luò)的通訊連接，讓來(lái)自?xún)啥说目赡芄艚K止于接口單元，從而增強(qiáng)網(wǎng)閘的隔離效果。安全隔離網(wǎng)閘設(shè)計(jì)的目的，是隔離內(nèi)外網(wǎng)業(yè)務(wù)連接的前提下，實(shí)現(xiàn)安全的數(shù)據(jù)交換。也就是安全專(zhuān)家描述的：協(xié)議落地，數(shù)據(jù)交換。

網(wǎng)閘的產(chǎn)生，最早是出現(xiàn)在美國(guó)、以色列等國(guó)的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全問(wèn)題。

隨著電子政務(wù)在我國(guó)的蓬勃發(fā)展，政府部門(mén)的高安全網(wǎng)絡(luò)和其他低安全網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換的需求日益明顯，出于國(guó)家安全考慮，政府部門(mén)一般傾向于使用國(guó)內(nèi)安全廠商的安全產(chǎn)品，種種因素促使了網(wǎng)閘在我國(guó)的產(chǎn)生。

我國(guó)第一款安全隔離網(wǎng)閘產(chǎn)生于2000年，現(xiàn)已經(jīng)廣泛應(yīng)用于政府、金融、交通、能源等行業(yè)。

安全數(shù)據(jù)交換單元不同時(shí)與內(nèi)外網(wǎng)處理單元連接，為2 1的主機(jī)架構(gòu)。隔離網(wǎng)閘采用SU-Gap安全隔離技術(shù)，創(chuàng)建一個(gè)內(nèi)、外網(wǎng)物理斷開(kāi)的環(huán)境。

安全隔離網(wǎng)閘和防火墻有著本質(zhì)的不同，以下表進(jìn)行簡(jiǎn)單的對(duì)比：

基于IP網(wǎng)絡(luò)的視頻監(jiān)控已經(jīng)逐漸發(fā)展成為安防業(yè)的主流方案，成功應(yīng)用于平安工程、高速公路、公安網(wǎng)、園區(qū)等大型項(xiàng)目。IP的標(biāo)準(zhǔn)性和開(kāi)放性也使得各個(gè)網(wǎng)絡(luò)孤島的整合變得容易，使網(wǎng)絡(luò)規(guī)模的擴(kuò)展變得輕松。考慮到IPv4地址資源緊張和2012年2月前各區(qū)域網(wǎng)絡(luò)地址段相互重疊的現(xiàn)實(shí)，以及各種網(wǎng)絡(luò)安全的需要，NAT、防火墻、安全隔離網(wǎng)閘等設(shè)備被大量的應(yīng)用于大型網(wǎng)絡(luò)中。這就使得基于IP的視頻監(jiān)控系統(tǒng)的信令和業(yè)務(wù)流程變得非常復(fù)雜，甚至導(dǎo)致某些業(yè)務(wù)在某些特定的組網(wǎng)中無(wú)法開(kāi)展。下面簡(jiǎn)單闡述下在視頻監(jiān)控網(wǎng)絡(luò)存在NAT、防火墻、安全隔離網(wǎng)閘時(shí)，視頻監(jiān)控網(wǎng)絡(luò)通信變得復(fù)雜困難的緣由。

在存在NAT設(shè)備的時(shí)候，由于IP報(bào)文穿過(guò)NAT設(shè)備之后其源IP地址或目的IP地址會(huì)發(fā)生改變，而一個(gè)業(yè)務(wù)信令內(nèi)部通常也包含有源IP地址和目的IP地址，由此造成內(nèi)、外部地址的不統(tǒng)一，這在很多時(shí)候會(huì)對(duì)視頻監(jiān)控業(yè)務(wù)流程造成困擾。另外，如果NAT外網(wǎng)存在設(shè)備要首先發(fā)起通向內(nèi)網(wǎng)的TCP/UDP連接，就必須先在NAT設(shè)備上為內(nèi)網(wǎng)的那些設(shè)備分別配置內(nèi)部服務(wù)器的地址/端口映射，這樣顯然會(huì)浪費(fèi)大量公網(wǎng)地址，很多時(shí)候也是不允許的。當(dāng)然，在控制服務(wù)器可以判斷出交互的兩臺(tái)設(shè)備誰(shuí)處于NAT內(nèi)網(wǎng)誰(shuí)處于外網(wǎng)時(shí)，可以通知內(nèi)網(wǎng)的設(shè)備主動(dòng)向外網(wǎng)設(shè)備發(fā)起連接。但是這要求每個(gè)會(huì)話(huà)連接都實(shí)現(xiàn)兩種或甚至兩種以上的處理流程，對(duì)于一個(gè)包含了多個(gè)會(huì)話(huà)行為的業(yè)務(wù)流程這種組合會(huì)變得非常復(fù)雜。況且某些標(biāo)準(zhǔn)業(yè)務(wù)也不允許交互的雙方顛倒C/S的角色。

在存在防火墻時(shí)，需要防火墻開(kāi)放相當(dāng)數(shù)量的UDP/TCP端口以便防火墻外的終端，如視頻監(jiān)控客戶(hù)端，能主動(dòng)訪(fǎng)問(wèn)防火墻內(nèi)的服務(wù)器，如視頻管理服務(wù)器(VM)。這樣就給企業(yè)內(nèi)網(wǎng)帶來(lái)了安全隱患。

在存在安全隔離網(wǎng)閘時(shí)，大量以IP代理方式實(shí)現(xiàn)的網(wǎng)閘(即來(lái)自外部的流量先發(fā)送到網(wǎng)閘的一個(gè)代理IP，網(wǎng)閘修改目的IP后再往內(nèi)網(wǎng)轉(zhuǎn)發(fā))，通常會(huì)要求網(wǎng)閘協(xié)助對(duì)業(yè)務(wù)信令的內(nèi)部信息做出相應(yīng)的修改，因?yàn)槠渲锌赡馨蠭P地址信息。于是監(jiān)控系統(tǒng)廠家每開(kāi)發(fā)一個(gè)新特性可能都會(huì)要求網(wǎng)閘公司配合做出相應(yīng)的特性開(kāi)發(fā)。

另外，一些特殊用戶(hù)還有特殊的視頻監(jiān)控網(wǎng)絡(luò)需求。比如說(shuō)公安網(wǎng)絡(luò)等安全性要求較高的網(wǎng)絡(luò)需要：所有的會(huì)話(huà)連接都要求由內(nèi)網(wǎng)發(fā)起，否則外部流量就進(jìn)入不了內(nèi)網(wǎng)。在一個(gè)典型的集中控制架構(gòu)中，終端，如編碼設(shè)備，首先得向服務(wù)器，如視頻管理服務(wù)器，發(fā)起注冊(cè)信令，點(diǎn)播業(yè)務(wù)也是點(diǎn)播主機(jī)先向服務(wù)器發(fā)起申請(qǐng)，當(dāng)終端和主機(jī)處于外網(wǎng)而服務(wù)器處于內(nèi)網(wǎng)時(shí)業(yè)務(wù)就會(huì)遭遇困境。