安全隔离网闸的组成：

安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换，通用的网闸模型设计一般分三个基本部分：

a. 内网处理单元

b. 外网处理单元

c. 隔离与交换控制单元（隔离硬件）

其中，三个单元都要求其软件的操作系统是安全的，也就是采用非通用的操作系统，或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本，或者其他是嵌入式操作系统VxWorks等，但都要对底层不需要的协议、服务删除，使用的协议优化改造，增加安全特性，同时提高效率。

下面分别介绍三个基本部分的功能：

内网处理单元：包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接，并终止内网用户的网络连接，对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”，作好交换的准备，也完成来自内网对用户身份的确认，确保数据的安全通道；数据缓冲区是存放并调度剥离后的数据，负责与隔离交换单元的数据交换。

外网处理单元：与内网处理单元功能相同，但处理的是外网连接。

隔离与交换控制单元：是网闸隔离控制的摆渡控制，控制交换通道的开启与关闭。控制单元中包含一个数据交换区，就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术，摆渡开关与通道控制。摆渡开关是电子倒换开关，让数据交换区与内外网在任意时刻的不同时连接，形成空间间隔GAP，实现物理隔离。通道方式是在内外网之间改变通讯模式，中断了内外网的直接连接，采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区，作为交换数据的中转。

安全隔离网闸的两类模型：

在内外网处理单元中，接口处理与数据缓冲之间的通道，称内部通道1，缓冲区与交换区之间的通道，称内部通道2。对内部通道的开关控制，就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据，称为三区模型；摆渡时，交换区的总线分别与内、外网缓冲区连接，也就是内部通道2的控制，完成数据交换。

还有一种方式是取消数据交换区，分别交互控制内部通道1与内部通道2，形成二区模型。

二区模型的数据摆渡分两次：先是连接内、外网数据缓冲区的内部通道2断开，内部通道1连接，内外网接口单元将要交换的数据接收过来，存在各自的缓冲区中，完成一次摆渡。然后内部通道1断开，内部通道2连接，内外网的数据缓冲区与各自的接口单元断开后，两个缓冲区连接，分别把要交换的数据交换到对方的缓冲区中，完成数据的二次摆渡。

内部通道一般也采用非通用网络的通讯连接，让来自两端的可能攻击终止于接口单元，从而增强网闸的隔离效果。安全隔离网闸设计的目的，是隔离内外网业务连接的前提下，实现安全的数据交换。也就是安全专家描述的：协议落地，数据交换。

由于职能和业务的不同，用户的应用系统及其数据交换方式也多种多样：各种审批系统、各种数据查询系统需要在网络间传输和交换指定数据库记录；各种汇总系统、各种数据采集系统需要在网络间传输和交换指定文件；各种复杂的应用系统需要传输和交换定制数据；内外网之间的邮件互通和网页浏览需求要求网络之间能够进行邮件转发和网页转发。

故主流的安全隔离网闸一般具有如下功能模块：数据库模块、文件模块、消息模块、邮件模块和浏览模块。

安全数据交换单元不同时与内外网处理单元连接，为2 1的主机架构。隔离网闸采用SU-Gap安全隔离技术，创建一个内、外网物理断开的环境。

网闸的产生，最早是出现在美国、以色列等国的军方，用以解决涉密网络与公共网络连接时的安全问题。

随着电子政务在我国的蓬勃发展，政府部门的高安全网络和其他低安全网络之间进行数据交换的需求日益明显，出于国家安全考虑，政府部门一般倾向于使用国内安全厂商的安全产品，种种因素促使了网闸在我国的产生。

我国第一款安全隔离网闸产生于2000年，现已经广泛应用于政府、金融、交通、能源等行业。

安全隔离网闸和防火墙有着本质的不同，以下表进行简单的对比：

基于IP网络的视频监控已经逐渐发展成为安防业的主流方案，成功应用于平安工程、高速公路、公安网、园区等大型项目。IP的标准性和开放性也使得各个网络孤岛的整合变得容易，使网络规模的扩展变得轻松。考虑到IPv4地址资源紧张和2012年2月前各区域网络地址段相互重叠的现实，以及各种网络安全的需要，NAT、防火墙、安全隔离网闸等设备被大量的应用于大型网络中。这就使得基于IP的视频监控系统的信令和业务流程变得非常复杂，甚至导致某些业务在某些特定的组网中无法开展。下面简单阐述下在视频监控网络存在NAT、防火墙、安全隔离网闸时，视频监控网络通信变得复杂困难的缘由。

在存在NAT设备的时候，由于IP报文穿过NAT设备之后其源IP地址或目的IP地址会发生改变，而一个业务信令内部通常也包含有源IP地址和目的IP地址，由此造成内、外部地址的不统一，这在很多时候会对视频监控业务流程造成困扰。另外，如果NAT外网存在设备要首先发起通向内网的TCP/UDP连接，就必须先在NAT设备上为内网的那些设备分别配置内部服务器的地址/端口映射，这样显然会浪费大量公网地址，很多时候也是不允许的。当然，在控制服务器可以判断出交互的两台设备谁处于NAT内网谁处于外网时，可以通知内网的设备主动向外网设备发起连接。但是这要求每个会话连接都实现两种或甚至两种以上的处理流程，对于一个包含了多个会话行为的业务流程这种组合会变得非常复杂。况且某些标准业务也不允许交互的双方颠倒C/S的角色。

在存在防火墙时，需要防火墙开放相当数量的UDP/TCP端口以便防火墙外的终端，如视频监控客户端，能主动访问防火墙内的服务器，如视频管理服务器(VM)。这样就给企业内网带来了安全隐患。

在存在安全隔离网闸时，大量以IP代理方式实现的网闸(即来自外部的流量先发送到网闸的一个代理IP，网闸修改目的IP后再往内网转发)，通常会要求网闸协助对业务信令的内部信息做出相应的修改，因为其中可能包含有IP地址信息。于是监控系统厂家每开发一个新特性可能都会要求网闸公司配合做出相应的特性开发。

另外，一些特殊用户还有特殊的视频监控网络需求。比如说公安网络等安全性要求较高的网络需要：所有的会话连接都要求由内网发起，否则外部流量就进入不了内网。在一个典型的集中控制架构中，终端，如编码设备，首先得向服务器，如视频管理服务器，发起注册信令，点播业务也是点播主机先向服务器发起申请，当终端和主机处于外网而服务器处于内网时业务就会遭遇困境。