作为保证不同安全级别网络间的高安全隔离与实时数据交换的安全设备，安全隔离网闸已经在公安、税务等政府行业得到广泛应用，另外，在电力、煤炭、钢铁等能源行业和一些制造型企业也开始大量应用。鉴于广大用户对网闸安全隔离功能的信赖，之前不敢连的网络也通过安全隔离网闸连接起来了，同时，用户还寄希望于安全隔离网闸能对数据内容进行高安全的检查控制。

在保证安全的前提下，安全隔离网闸厂商也在尽力地满足着用户对安全隔离网闸支持更多网络应用的需求，且已经取得了显著的成效。当前，安全隔离网闸已由最初只支持文件交换功能（工作原理是模拟人工拷盘），发展到具有数据库同步、数据库访问、邮件访问、安全Web访问、FTP访问等多种功能，能对HTTP、FTP、SMTP、POP3等通用协议进行内容检查，但是目前绝大部分用户的应用采用的都是自定义格式的私有协议，如果没有对安全隔离网闸实施二次开发，就无法对交换的数据内容进行过滤。这是因为私有协议的数据格式、数据内容等都没有公开，导致安全隔离网闸厂商无法定义出相应的数据内容检查规则，也就无法实现高安全的隔离交换控制。

为了应对通用安全隔离网闸无法对私有协议进行数据内容检查的问题，安全隔离网闸厂商、用户以及相关的主管部门都在积极寻找相应对策，目前，主要有以下两种技术路线。

其一，重点实现电路级数据单向传输，并强化用户认证功能。如通过国家电力调度通信中心的检测认证，在电力行业广泛应用的“单向横向安全隔离装置”，以及国家保密局正在认证，可以部署在电子政务中的“安全隔离与信息单向导入系统”等，但部署这些单向安全隔离网闸时，也需要将应用系统进行改造，另外，这些单向安全隔离网闸应用扩展能力差，只适合在特定行业内强制推行，无法应用于双向数据交换、应用复杂的网络环境。

技术路线之二则是与用户的具体应用相结合，在双向数据交换的网络环境下实现对交换数据内容的检查，在这方面，广大安全隔离网闸厂商也在不断进行研发投入。

当前，由于绝大部分用户的应用都需要进行双向数据传输，因此第二种技术路线将是安全隔离网闸发展的必由之路，按照第一种技术路线发展的单向安全隔离网闸，则会发展成为一类独立的安全产品。

下面，我们就以联想网御在第二种技术路线方面的研发探索为例，通过联想网御对私有协议的数据内容检查解决方案，具体说明安全隔离网闸与用户的具体应用相结合是如何方便灵活地实现的。

a) 科学的系统架构

联想网御安全隔离网闸的系统硬件平台由内网主机系统、外网主机系统、隔离交换矩阵三部分组成：内网/外网主机系统分别具有独立的运算单元和存储单元，并以联想网御自主知识产权的VSP （Versatile Security Platform，通用安全平台）作为操作系统；隔离交换矩阵基于LeadASIC专用芯片技术及相应的时分多路隔离交换逻辑电路，不受主机系统控制，能独立完成应用数据的封包、摆渡、拆包，从而实现内外网之间的数据隔离交换。主机系统对交换数据的检查流程如图一所示。安全隔离网闸在完成常规的IP地址、协议类型、协议分析等检查后，还能在数据通过隔离交换矩阵封包之前进行数据内容的检查。

 

图一  联想网御安全隔离网闸数据检查流程图

b) 检查框架

VSP操作系统中集成的USE（Uniform Security Engine，统一安全引擎）完成了协议终结、应用内容的还原和检查。联想网御安全隔离网闸以自定义的、开放的ACI（Application Checking Interface，应用检查接口）为基础，不但支持内置的、面向通用应用协议（如HTTP、FTP等）的多种检查模块，还支持内容检查模块的扩展。用户可以根据需要来自行开发内容检查模块，并通过安全隔离网闸的WEB管理界面上传至VSP操作系统，通过使用内容检查模块，用户可实现对基于私有协议的应用内容的数据格式、完整性、关键字、内容安全的检查。内容检查框架如图二所示。

  

图二  联想网御安全隔离网闸内容检查框架图

清晰的分工合作

在研发上，考虑到只有用户对私有协议的数据格式、数据内容等信息最清楚，联想网御因此提出“分工负责，合作开发”的研发思路。

“分工负责”指的是用户（或用户指定的软件开发商）负责内容检查模块的开发，联想网御则负责在安全隔离网闸上提供ACI应用检查接口和丰富的开发支撑文档。

“合作开发”指的是联想网御将积极配合用户进行相应的检查模块调试，使用户开发的检查模块能在安全隔离网闸上发挥效用。

方便的调用方式

对于加载的多个内容检查模块，联想网御安全隔离网闸可以有选择性地在安全规则中调用，并且可以对具体内容检查模块进行检查内容的启用或禁止，如图三和图四所示。

  

图三  联想网御安全隔离网闸管理界面的安全规则截图

  

图四  联想网御安全隔离网闸管理界面的检查内容定义截图

丰富的文档支撑

为了方便用户进行内容检查模块的开发，联想网御提供了ACI软件开发包。此开发包中的内容包括：模块与安全隔离网闸之间的非标准统一接口开发说明文档，包括应用编程接口的库、头、帮助、例子等；生成检查模块的说明文档，包括模块开发工具的库、头、帮助、例子；强认证、加密开发说明文档，基于此文档开发可实现主机与安全隔离网闸间的用户身份验证、用户访问权限控制和数据传输加密功能。

在安全隔离网闸产品与用户具体应用相结合方面，以成熟的理论体系为前提，联想网御已经与某气象局、某广播电台、某煤矿等多个行业客户共同进行了成功的实践。