网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能


专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适


度的应用数据交换的网络安全设备。
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的


信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在


通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协


议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"


读"和"写"两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在


攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真


正的安全。
安全隔离与信息交换系统，即网闸，是新一代高安全度的企业级信息安全防


护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，


不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件


的发生。
第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取


共享存储设备来完成数据交换的，实现了在空气缝隙隔离(Air Gap)情况下


的数据交换，安全原理是通过应用层数据提取与安全审查达到杜绝基于协议


层的攻击和增强应用层安全的效果。
第二代网闸正是在吸取了第一代网闸优点的基础上，创造性地利用全新理念


的专用交换通道PET(Private Exchange Tunnel)技术，在不降低安全性的前


提下能够完成内外网之间高速的数据交换，有效地克服了第一代网闸的弊端


，第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和


加密签名机制来实现的，虽然仍是通过应用层数据提取与安全审查达到杜绝


基于协议层的攻击和增强应用层安全效果的，但却提供了比第一代网闸更多


的网络应用支持，并且由于其采用的是专用高速硬件通信卡，使得处理能力


大大提高，达到第一代网闸的几十倍之多，而私有通信协议和加密签名机制


保证了内外处理单元之间数据交换的机密性、完整性和可信性，从而在保证


安全性的同时，提供更好的处理性能，能够适应复杂网络对隔离应用的需求


。[1] 
组成
安全隔离网闸是由软件和硬件组成。 隔离网闸分为两种架构，一种为双主


机的2+1结构，另一种为三主机的三系统结构。2+1的安全隔离网闸的硬件设


备由三部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。


安全数据交换单元不同时与内外网处理单元连接，为2+1的主机架构。隔离


网闸采用SU-Gap安全隔离技术，创建一个内、外网物理断开的环境。三系统


的安全隔离网闸的硬件也由三部分组成：外部处理单元（外端机）、内部处


理单元（内端机）、仲裁处理单元（仲裁机），各单元之间采用了隔离安全


数据交换单元。