啟明網閘證書

A. 網閘在資料庫交換安全通信的作用

一、Web數據交換存在的安全問題及其需求
基於XML的Web數據交換是採用應用層協議作為其傳輸協議。因此,我們主要考慮傳輸中的安全問題。目前,XML傳輸過程中存在的安全威脅主要表現在以下幾個方面:非法授權訪問,數據泄露,數據丟失,數據篡改,拒絕服務攻擊和數據原發者的抵賴。根據上述的表現形式,我們可以將web數據交換存在的安全需求歸納為一致性,機密性,身份鑒別和驗證,授權和訪問控制,信任,繪畫和策略。
二、基於PKI/PMI的安全Web數據交換總體框架
對於傳統的Web數據交換,認證和授權功能都嵌在應用(應用是提供特定功能的程序集合)的內部,這樣還增加了應用的復雜性。對於管理者而言,很難使用通用的安全策略。
為了部分解決以上問題,引入了公共密鑰基礎設施。PKI可以提供認證、完整性和機密性等核心服務,還可支撐安全通信、安全時間戳、公正、不可否認等服務。對於用戶只需要設定和記憶單個用戶名和單個口令。因此仍然需要多個管理者來專門管理接入控制列表和PKI中的公鑰證書等相關內容。
在應用了PKI技術後,雖然管理量較傳統模型減少了,讓然存在很多弊端。為了繼續優化系統模型,在引入PKI的基礎之上進一步引入許可權管理基礎設施。對於管理者來說,只需要管理PKI的公鑰證書和PMI中的屬性證書AC(Attribute Certificate)等相關內容。屬性證書包含了一些終端實體和其它信息的屬性,並由屬性機構AA(Attribute Authority)的私鑰進行信息的數字簽名。大大地減少了管理者的工作量。基於PKI/PMI的安全Web數據交換總體框架包括安全基礎設施層、安全應用支撐層和應用層三個部分組成。
安全基礎設施層是整個安全框架的基礎,包括PKI和PMI兩個部分,提供身份證書和屬性證書的發放、維護、撤銷等管理,以及實現具體的許可權驗證。
三、基於PKI/PMI的Web數據交換流程的安全性
該公司財務系統的Web數據交換的核心是大量的數據訪問Web應用,利用PKI/PMI可以為XML安全技術提供PKC數字身份證書,對相關Web應用實現基於角色的安全訪問控制。
用戶以數字身份證書進行用戶身份認證。認證合法,則進入訪問控制流程,驗證該合法用戶的有關信息和他所擁有的訪問許可權,訪問控制流程的功能在於根據瀏覽器請求執行的URL信息和經認證合法的用戶相關信息在訪問控制資料庫中查找該用戶對他所請求的URL頁面是否有權執行。如下圖所示。

針對Web數據交換的安全問題,各相關組織和公司正在努力研究,制訂一系列的標准,開發相應的技術和解決方案。
(一)目前在基於PKI/PMI的安全Web數據交換框架下可以採用的技術
1.XML身份認證。XML身份認證有六種方法:基於身份驗證、SSL身份驗證、摘要身份驗證、集成窗口式驗證、客戶證書驗證和XML簽名語法與處理。
2.XML數據加密。XML加密語法與處理是W3C的一個工作組開發出來的規范。這個規范描述了對數據的加密過程以及加密結果的XML表示。
3.XML安全聲明和標記語言。定義了對驗證、屬性和授權信息進行XML編碼的語法和語義以及這些安全信息的傳輸協議。
4.XML可擴展訪問控制標記語言。是一種可擴展的訪問控制策略語言,用於以XML表示訪問對象的授權策略。
5.XML可擴展權利標記語言。它提供了一個指定和管理與數字資源和服務相關的權利和條件的方法。
6.XML密鑰管理規范。包括兩部分:XML密鑰信息服務規范和XML密鑰注冊服務規范。
7.Web服務安全會話語言。Web服務安全會話語言提供了安全會話上下文的建立和共享以及派生會話密鑰的機制。
四、結語
企業Web信息系統建設發展的趨勢是從單個的信息系統應用向企業應用集成,在企業應用集成中,以XML為核心的跨平台的數據交換處於核心和樞紐地位。如何保證基於XML的Web數據交換能夠高效而安全的運轉,這就要求在復雜的網路環境下,能夠提供一個基於應用層整體的安全解決方案。本文就此著手進行理論和技術研究,並應用於企業信息系統中,該研究在現代企業Web數據交換的安全領域有著廣泛的應用價值。

B. 網閘的安全性到底如何哪些廠家的網閘比較好

請問你是哪裡?網閘都是政府部門或安全性要求很高的單位才會用到.不過我倒是知道.現在市面上的網閘設備有好多種,要看你是注重應用性還是安全性.真不好說,因為你都沒說你具體運用的環境.幫你看看吧。
1、京泰物理隔離網閘
京泰物理隔離網閘採用高速固態開關，在內外網路之間切換，開關的物理特性決定了任意一個時刻，系統在物理鏈路上只能處於內網或者外網的一側；當連入外網時，與內網斷開，從外網獲取需要交換的數據；斷開外網連接，連接內網，交換數據到內網。往復不斷，從而完成內外網路信息的交換；連接建立後，採用自定義信息交換報文和協議進行信息傳遞和交換，防止黑客利用標准網路協議的各種漏洞進行攻擊；由於採用自定義安全傳輸協議，系統在底層自行完成對文件的分片、傳遞工作，在另一端負責對其進行重組、檢測；系統提供應用介面，對應用系統的表單內容進行嚴格的信息檢測和過濾，防止利用各種非法的查詢來獲取信息或者破壞信息；由於通過高速固態開關交換信息，時間延遲極短，為毫秒級，為用戶應用系統提供實時的在線訪問提供了堅實的基礎。安全網閘不但提供標準的信息交流服務，如文件交流、資料庫交流和郵件交流等。還提供其他具體應用系統的二次開發介面，幫助用戶更快、更好的建立自己的安全信息交流平台。支持第三方安全軟體，如對傳遞和交換的數據進行殺毒等，採用Linux操作系統設計，通過公安部、保密局、國家信息安全測評認證中心等權威部門的安全認證，使得自身系統的安全性大為提高。

京泰王閘
產品點評：京泰網路是業內最早從事物理隔離技術的安全公司，其產品以設計新穎、安全程度高，智能化程度高，可靠性好而在業內獲得一致好評。經過幾年的發展，京泰網路已經形成了完整的產品線，售後服務體系不斷完善，產品質量不斷提高，產品已經在國內形成自己的市場，贏得了廣大用戶的信賴。京泰網路物理隔離產品已經通過了公安部、國家保密局、軍隊保密委等所有國家權威部門的檢驗，京泰網路科技獲得了涉密網安全集成商資質認證。
2、蓋特佳物理隔離網閘
蓋特佳物理隔離網閘採用全透明工作模式，動態實時數據交換技術，防範針對操作系統的已知及未知漏洞攻擊，防範基於TCP/IP網路協議弱點的攻擊，使用應用層數據提取技術，徹底阻斷內外網之間的TCP/IP連接。它採用內外處理單元均採用優化的安全操作系統，系統中不存在TCP/IP網路協議棧，內外部網卡均沒有網路地址，無需驅動的Direct I/O技術訪問專用硬體通信設備， 網卡僅監聽數據，對外不提供任何服務，管理控制台完全獨立於內外部網路； 內置自動反入侵功能， 精細的安全訪問控制功能，支持路由和透明橋工作模式，支持主機，網路和網段等多種網路對象，支持HTTP，FTP，MAIL等標准網路協議，支持IP和MAC地址綁定，支持HTTP的URL和內容的關鍵字過濾， 支持日誌，審計和報警，強大的應用層攻擊防護功能，內置高性能安全過濾引擎，能夠防止Dos和DDos攻擊，緩沖區溢出攻擊，惡意編碼攻擊以及應用層洪水攻擊等等。

蓋特佳物理隔離網閘
產品點評：蓋特佳物理隔離網閘通過專用通信設備，專有安全協議和加密驗證機制及應用層數據提取和鑒別認證技術進行不同安全級別網路之間的數據交換，徹底阻斷了網路間的之間TCP/IP連接，同時對網間通信的雙方，內容，過程施以嚴格的身份認證，內容過濾，安全審計等多種安全防護機制，從而保證了網間數據交換的安全可控性，杜絕了由於操作系統和網路協議自身的漏洞帶來的安全風險。
它主要應用在隔離內部網和互聯網，隔離業務網和工作網，隔離內部網和關聯網，隔離保護主機伺服器，隔離保護資料庫伺服器等環境場合。
3、天行安全隔離網閘(Topwalk-GAP)
2000年我國北京天行網安公司率先從物理隔離技術發展出GAP概念，並與公安部通信局密切合作聯合研製完成國內首款GAP（安全隔離與信息交換）產品，即天行安全隔離網閘（Topwalk-GAP），成為重點領域網路安全防護的最佳方案。Topwalk-GAP作為國內基於GAP技術的新一代安全隔離與信息交換產品，能夠實現隔離網路間異構資料庫交換，該產品是經過國家保密局鑒定的安全隔離與信息交換產品，並入選國家火炬計劃，實現了基於消息的傳遞機制。該產品的基本模塊作為整個安全隔離網閘的核心部件，是其他應用模塊的安全平台，資料庫交換模塊支持多種主流資料庫平台在網路間的可控方向的安全數據交換，文件交換模塊提供網路間的基於文件形式的可控方向的安全文件傳輸，消息模塊為上層應用平台提供了基於API的開發介面，為彼此隔離的網路上層程序提供快速可靠的消息傳送。
「以我為主、積極防禦」的技術理念使GAP技術成功地開創了新的安全技術門類。GAP技術是一種通過專用硬體使兩個或者兩個以上的網路在不連通的情況下實現安全數據傳輸和資源共享的技術。GAP又叫安全隔離網閘（安全隔離與信息交換），是在保證兩個網路安全隔離的基礎上實現安全信息交換和資源共享的技術。它採用獨特的硬體設計並集成多種軟體防護策略，能夠抵禦各種已知和未知的攻擊，顯著提高內網的安全強度，為用戶創造無憂的網路應用環境。GAP技術是在物理隔離的基礎上，基於目前國內的信息安全技術現狀，提出的一種適合於電子政務網路安全的「積極防禦」技術。GAP技術隔斷了從物理層到應用層所有網路層次的協議通信，因此，我們可以把GAP理解成「the Gap of All Protocol」的縮寫。只要能夠有效保證對應用數據進行「白名單」方式傳輸和交換，實現的方法可以多種多樣。但是，GAP概念與防火牆、IDS/IPS等概念還是有明確區分的。

Topwalk-GAP

產品點評：天行安全隔離網閘(Topwalk-GAP)通常部署於信任網路與非信任網路之間，通過獨創軟硬體體系結構，採用了協議轉換、安全操作系統內核、基於加密和證書的身份驗證機制、病毒及惡意代碼過濾、安全審計管理等安全技術，根據用戶定義的應用數據「白名單」策略進行數據傳輸和交換，並徹底杜絕有害信息，構築起各種網路威脅（黑客、蠕蟲病毒等）不可逾越的安全網閘。作為國內GAP領域的倡導者和領先者，天行安全隔離網閘（Topwalk-GAP）一直以其創新實用性、安全可靠性得到了廣大用戶的青睞。
4、聯想網御SIS-3000安全隔離網閘
聯想網御SIS-3000安全隔離網閘是在兩個相互物理隔離的網路間安全、高速、可靠地進行數據交換的網路安全設備。系統採用專有隔離硬體和協議，並採用國際上最新的信息輪渡機制，集成了安全操作系統、內容過濾、數字簽名、病毒查殺、訪問控制和安全審計等多種安全技術，對傳輸數據的類型、內容等進行檢查和過濾，提供可信任的專用信息交換服務，有效克服了由於物理隔離引起的電子政務、電子商務的數據交換瓶頸，保持了多個網路間物理隔離的特性，提供了一種安全、有效的數據交換途徑。
該產品使用高速安全隔離電子開關，只支持單向網路連接，保證內外網在物理鏈路層上的完全斷開，並可以支持毫秒級的高速切換，以配合後台高速響應設備；同時，SIS-3000為指定應用提供數據交換，通過與具體應用的結合，極大地提高了系統的安全系數，避免了開放TCP/IP通用服務造成的安全隱患。聯想網御SIS-3000具有高速電子開關和專有協議，確保內外網在任意時刻物理隔離，通過領先的信息擺渡機制，提高數據傳輸的安全性；採用多種安全技術，支持可信的專用信息交換服務；具有自主的嵌入式安全操作系統，有效保證了系統自身安全性；支持包括文件交換、郵件交換和資料庫同步在內的多種應用。

聯想網御SIS-3000
產品點評：聯想網御SIS-3000系列安全隔離網閘作為網路鏈路層物理隔離設備，具有比防火牆更高的安全性能。可在涉密網路之間、涉密網路不同安全域之間、涉密網路與內部網之間、內部網與互聯網之間信任的進行信息交換。適用於政府、軍隊、金融等單位的網間非實時信息交換環境。
5、中網隔離網閘X-gap
由中網公司研製開發的安全隔離和信息交換系統（X-Gap），能夠較好的解決隔離斷開和數據交換的難題，中網物理隔離網閘真正實現了兩個網路之間的物理隔離。X-Gap 中斷了兩個網路之間的鏈路連接、通信連接、網路連接和應用連接，在保證兩個網路完全斷開和協議中止的情況下，以非網路方式實現了數據交換。沒有任何包、命令和TCP/IP協議（包括UDP和ICMP）可以穿透X-Gap, 它具有高安全、高帶寬、高速度、高可用性的優點。此外，由於採用了SCSI技術, 背板速率高達5G，開關效率達到納秒級，徹底解決了速度慢、效率低的問題。除此之外，SCSI控制系統本身具有不可編程的特性和沖突機制，形成簡單的開關原理，從而徹底解決了網閘開關的安全性問題。
物理隔離是通過開關來實現的。目前常見的物理隔離開關技術有三種：實時開關（Real-Time Switch），單向連接 （One-Way Link），和網路開關（Network Switch）。 實時開關和單向連接的速度要快一些，網路開關的速度要慢一些。人們普遍存在對開關速度的擔憂，擔心開關速度直接影響網路的性能。如果開關的速度低，網路的性能肯定受到影響。即使開關的速度高，網閘的性能也受主機性能的限制。不管開關速度的高低，網閘的性能的上限都不會超過主機的上限。中網物理隔離網閘通過採用主機的CPU時鍾作為開關，將開關功能在系統的內核中實現，成功的達到網閘的最高性能，優於常見的三種開關技術。內核的效率要遠遠高於外設的效率。

中網物理隔離網閘
產品點評：在用戶要求進行物理隔離，同時又需要實時地交換數據，解決物理隔離和信息交流的問題時，採用中網X-GAP系列產品則可以實現兩網之間必要的「擺渡」，又保證不會有相互入侵的安全問題。X-GAP可以輕松的集成到政府、電力、工商、稅務、公安、交通、能源、金融和大型企業等的網路和業務環境中，完善地保護核心安全，滿足客戶對高安全、高性能、高可靠性的應用需要。
6、偉思物理隔離網閘copgap200
偉思網閘CopGap是兩個嵌入式單板計算機和安全電路板組成。其中兩個嵌入式單板計算機分別連接可信網路和不可信網路，通過安全電路板把兩個嵌入式單板計算機連接在一起。安全電路板是針對物理隔離技術而專門設計的純硬體設備，它包含獨有高速LVDS匯流排，系統內部數據流量達到1056M位/秒，超過了1G位/秒。 CopGap操作系統採用經保密局鑒定的安全Linux操作系統內核，具有極高的安全性。
通過專用高速安全晶元開關和先進的協議終止/協議分析技術，使得可信和不可信網路在CopGap上物理鏈路隔斷和協議隔離，杜絕黑客對可信網路的惡意攻擊。通過先進的GAP反射系統，不依賴任何通信協議和操作系統，利用獨立的硬體邏輯電路，獨立的匯流排技術，保證內外網路可控、高速、安全的數據交換。通過復雜的數學變換，可以打亂原裸數據的格式，改變數據結構，使惡意代碼在傳輸過程中無法執行，從根本上保證數據傳輸安全。安全決策體系位於內部可信安全伺服器端，與不可信網路之間物理斷開，可以保證安全決策體系的完整性和安全決策體系決策過程的完整性。從而保障整體安全架構的完整性。它採用協議終止技術，防止基於網路協議漏洞的已知和未知攻擊； 抵禦基於操作系統漏洞的攻擊；抵禦緩沖區溢出攻擊、過載攻擊、拒絕服務攻擊（DOS）、分布式拒絕服務攻擊（DDOS）； 對數據進行內容審查、對網路協議進行分析和審查；具有審計功能，可對網路用戶的行為作詳盡的記錄；身份認證和訪問控制功能：支持用戶端的數字證書認證（CA）；雙重代理功能，隱藏內網結構信息。

偉思copgap200
產品點評：偉思科博安全隔離與信息交換系統CopGap是在國家863計劃支持下，由北京偉思科博網路安全技術研究所經過數年物理隔離技術的研究，研製生產的具有自主知識產權的網路安全產品。CopGap安全隔離與信息交換系統能從物理鏈路上斷開內外網路，並且在安全可控的條件下進行適度數據交換。它通過基於硬體設計的反射GAP系統，保證可信網路和不可信網路不會有實際的網路協議連接，可防止各種基於網路層和操作系統層的攻擊，實現高速安全的數據交換。CopGap具有雙向及單向通訊控制能力，可根據用戶實際的安全需求嚴格限定信息流向，保護涉密信息的安全。
二、推薦小結
我國物理隔離網閘的產品研製是近幾年的事，參與研製的單位不多，產品種類也較少，產品的性能指標、質量指標、技術水平處於第一代。我們上面介紹的6種網閘產品，它們都通過了公安部計算機信息系統安全產品質量檢驗中心檢測，其中，北京天行網安信息技術有限責任公司研發的天行安全隔離網閘(Topwalk-GAP)於2002年9月通過了國家保密局的技術鑒定。由於物理隔離網閘處於涉密網與非涉密網的網關的特殊位置，而且，又是網路安全的最後一道防線，用戶對產品研發人員的背景和研發單位的背景也是選擇產品的重要條件。有些有外資背景公司的產品銷售不能不受影響。所以，在市場上能站住腳的產品是極為有限的幾種。因此我們在選購物理隔離網閘時，要特別注意它的兩個主要指標即數據交換速率----支持百兆網路和千兆網路的數據交換速率；切換時間----使用高速安全隔離電子開關，支持毫秒級的高速切換。
最後我們再強調一下物理隔離網閘應用在下面的5種場合環境中：
1）涉密網與非涉密網之間；
2）區域網與互聯網之間（內網與外網之間）；
有些區域網絡，特別是政府辦公網路，涉及政府敏感信息，有時需要與互聯網在物理上斷開，用物理隔離網閘是一個常用的辦法。
3）辦公網與業務網之間；
由於辦公網路與業務網路的信息敏感程度不同，例如，銀行的辦公網路和銀行業務網路就是很典型的信息敏感程度不同的兩類網路。為了提高工作效率，辦公網路有時需要與業務網路交換信息。為解決業務網路的安全，比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘，實現兩類網路的物理隔離。
4）電子政務的內網與專網之間；
在電子政務系統建設中要求政府內望與外網之間用邏輯隔離，在政府專網與內網之間用物理隔離。現常用的方法是用物理隔離網閘來實現。
5）業務網與互聯網之間；
電子商務網路一邊連接著業務網路伺服器，一邊通過互聯網連接著廣大民眾。為了保障業務網路伺服器的安全，在業務網路與互聯網之間應實現物理隔離。
報價就要你自己去和他們聯系了,個人觀點:天行網安的好一些.因為一般買網閘都是為了安全,他們的GAP3000安全性很高.

C. 數據交換策略或方法有幾種，分別是什麼

得一提的是防火牆中的NAT技術，地址翻譯可以隱藏內網的IP地址，很多人把它當作一種安全的防護，認為沒有路由就是足夠安全的。地址翻譯其實是代理伺服器技術的一種，不讓業務訪問直接通過是在安全上前進了一步，但目前應用層的繞過NAT技術很普遍，隱藏地址只是相對的。目前很多攻擊技術是針對防火牆的，尤其防火牆對於應用層沒有控制，方便了木馬的進入，進入到內網的木馬看到的是內網地址，直接報告給外網的攻擊者

D. 各大網路安全廠商（天融信、啟明、綠盟、網域、深信服等）的硬體設備優劣之處是

這幾個網路安全廠商都是比較著名，而且市面上覆蓋率比較多的了，口碑評價方面也都還比較好，下面來具體說說這幾家的優勢劣勢在哪。

因為列舉出來的比較多，所以有些廠商會有不少共同之處，有相同之處就放在一塊說了。綠盟、天融信、網御、啟明這四家廠商是比較傳統並且比較綜合的。主要的服務對象是政府以及軍工業，因為是對國家服務。資質水平是一定夠的，並且安全性也比較高且穩定，不然國家哪裡敢用。並且在全國各地都有自己的辦事點，可以在出現問題的時候及時作出反應，售後的保障還是比較強的。

以上就是對於這個問題我個人的一些看法，僅供參考。

E. 啟明星辰網閘支持透明模式嗎

TDS是測試水礦物質點擊看詳細的TDS的總溶解固體中的英文縮寫，中國翻譯的總溶解固體，也稱為總鹽含量，以毫克/升計（mg / L的），這表明多少升水溶解毫克的總溶解固體，總共1升的水或離子。一般可用公式：TDS = [鈣+鎂+的Na + K] + [HCO3 + SO4 +氯]

F. 網閘的其它問題

（一）安全隔離網閘通常布置在什麼位置？
安全隔離網閘通常布置在兩個安全級別不同的兩個網路之間，如信任網路和非信任網路，管理員可以從信任網路一方對安全隔離網閘進行管理。
（二）安全隔離網閘的部署是否需要對網路架構作調整？
採用透明方式的網閘只需要在兩個網路各提供一個有效的IP地址即可。採用路由模式的網閘要求一定的改動。有的網閘支持兩種連接方式。有的只支持一種。只支持路由模式的網閘就會要求對網路結構有改動。
（三）安全隔離網閘是否可以在網路內部使用？
可以，網路內部安全級別不同的兩個網路之間也可以安裝安全隔離網閘進行隔離。
（四）安全隔離網閘支持互動式訪問嗎？
鑒於安全隔離網閘保護的主要是內部網路，一旦支持互動式訪問如支持建立會話，那麼無法防止信息的泄漏以及內部系統遭受攻擊，因此，安全隔離網閘不支持互動式訪問.
（五）支持反向代理的安全隔離網閘安全嗎？
支持反向代理意味著可以從非信任網路間接授權訪問信任網路上的資源，一旦代理軟體在安全檢查或者軟體實現上出現問題，那麼很有可能會被黑客利用並非法存取內部資源。因此從安全性上講，支持反向代理的安全隔離網閘不安全。
（六）如果對應網路七層協議，安全隔離網閘是在哪一層斷開？
如果針對網路七層協議，安全隔離網閘是在硬體鏈路層上斷開。
（七）安全隔離網閘支持百兆網路嗎？千兆網路如何支持？
安全隔離網閘支持百兆網路，目前國內最快的可以達到120MBps。對於千兆網路，可以採用多台安全隔離網閘進行負載均衡。
（八）安全隔離網閘自身的安全性如何？
安全隔離網閘雙處理單元上都採用了安全加固的操作系統，包括強制訪問控制、基於內核的入侵檢測等安全功能，並且該系統得到國家權威部門的認證。
（九）安全隔離網閘有身份認證機制嗎？
有。安全隔離網閘在用於郵件轉發和網頁瀏覽的時候，對用戶進行用戶名/口令、證書認證等多種形式的身份認證。
（十）有了防火牆和IDS，還需要安全隔離網閘嗎？
防火牆是網路層邊界檢查工具，可以設置規則對內部網路進行安全防護，而IDS一般是對已知攻擊行為進行檢測，這兩種產品的結合可以很好的保護用戶的網路，但是從安全原理上來講，無法對內部網路做更深入的安全防護。安全隔離網閘重點是保護內部網路，如果用戶對內部網路的安全非常在意，那麼防火牆和IDS再加上安全隔離網閘將會形成一個很好的防禦體系。
（十一）受安全隔離網閘保護的內部網路需要不斷升級嗎？
安全隔離網閘首先在鏈路層斷開，徹底切斷網路連接，並僅允許僅有的四種指定靜態數據進行交換，對外不接受請求，並且在內部用戶訪問外部網路時採用靜態頁面返回（過濾ActiveX、Java、cookie等），並且木馬無法通過安全隔離網閘進行通訊，因此內部網路針對外部的攻擊根本無需升級。
（十二）為什麼受防火牆保護的內部網路需要不斷升級？
防火牆是在網路層對數據包作安全檢查，並不切斷網路連接，很多案例證明無論包過濾還是代理防火牆都很難防止木馬病毒的入侵內部網路，Nimda繞過很多防火牆的檢查並在全世界肆虐就是一個很好的例證，因此需要用戶的內部網路不斷升級自己的客戶端如瀏覽器。
（十三）安全隔離網閘能否防止內部無意信息泄漏？
由於安全隔離網閘在數據交換時採用了證書機制，對所有的信息進行證書驗證，因此對於那些病毒亂發郵件所造成的無意信息泄漏起到很好的防範作用。
（十四）使用安全隔離網閘時需要安裝客戶端嗎？
有的網閘管理員使用通用的瀏覽器即可對其進行管理配置，使用安全隔離網閘時不需安裝其他客戶端。 但是這種方式具有極大的安全風險，因為遠程連接會引入安全威脅，而這種對於控制口的攻擊更為嚴重。所以安全性要求高的網閘，不允許通過遠程進行配置，只允許通過專有的配置程序，也就是客戶端通過串口進行配置。一些重要部門均不允許對網閘具有遠程配置的功能。
（十五）安全隔離網閘接受外來請求嗎？
不接受，安全隔離網閘上的數據交換全部由管理員來進行配置，其所有的請求都由安全隔離網閘主動發起，不接受外來請求，不提供任何系統服務。 如果接受遠程配置，就會接受外來的請求，造成嚴重的安全問題。
（十六）安全隔離網閘是否支持所連接的兩個網路的網段地址相同？
支持。
（十七）安全隔離網閘的主機系統是否經過安全加固？
由於從網路架構上來講，安全隔離網閘是處在網關的位置，因此其自身安全性非常重要，兩個處理單元 加固包括硬體加固、操作系統加固以及協議的加固。詳情見擴展閱讀3.
（十八）安全隔離網閘採用什麼樣的介面？有幾個介面？
安全隔離網閘通常提供2個標准乙太網百兆介面。
（十九）安全隔離網閘如何管理，支持遠程管理嗎？
安全性高的安全隔離網閘不支持遠程管理。
（二十）安全隔離網閘適用於大規模的部署嗎？
安全隔離網閘的安全部署不需對現有網路作調整，同時支持多台冗餘
（二十一）安全隔離網閘適用於什麼樣的場合？
如果用戶的網路上存儲著重要的數據、運行著重要的應用，通過防火牆等措施不能提供足夠高的安全性保護的情況下，可以考慮使用安全隔離網閘。
（二十二）安全隔離網閘直接轉發IP包嗎？
否。安全隔離網閘從不直接或者間接地轉發IP包形式的數據。安全隔離網閘的安全性體現在鏈路層斷開，直接處理應用層數據，對應用層數據進行內容檢查和控制，在網路之間交換的數據都是應用層的數據。如果直接轉發IP的話，由於單個IP包中一般不包含完整的應用數據，所以無法進行全面的內容檢查和控制，也就無法保證應用層的安全。因此，如果直接轉發IP包，則背離了安全隔離網閘的安全性要求，不能稱為安全隔離網閘。

G. 現在市面上網閘產品很多，應該怎麼選擇

可以先看下網閘的銷售許可證的資質，最高的好像是三級。然後就是看看有沒有保密局的資質，3C的資質等等。從架構上來看的話，安全性最高的網閘肯定是三系統網閘，但價格相對來說也會比較貴一點。雙主機2+1結構的網閘就比較便宜點，但是安全性也會低點。現在有在銷售三系統網閘的廠家好像是天融信、金電網安、蓋特佳這幾個公司。2+1的廠家稍微再多幾個，除了上面三家也有2+1的網閘，利普啊，偉斯啊，網御星雲，網神什麼的也都有銷售。但是網閘行業資格比較老的公司，最早開始做網閘三個公司，好像是天行網安、金電網安和國保金泰，這三家好像從02、03年就開始銷售網閘了，應該是國內最早做網閘的公司吧。