2 網閘技術
2. 1 網閘工作原理
網閘是一種由具有多種控制功能的專用硬件在電路上切斷網絡之間的鏈路層連接，能夠在網絡之間進行適度安全數據交換的網絡安全設備。網閘系統主要由內網處理、外網處理和安全檢測與控制處理3個模塊組成，如圖1所示。其中，內網處理模塊負責內、外網信息獲取和協議分析；而安全檢測與控制處理模塊則根據安全策略完成信息的安全檢測、內外網絡隔離和安全交換。其主要性能指標有：系統數據交換速率(120 Mb／s)和硬件切換時間(5 ms)。其安全功能模塊具有安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證等功能。

由于互聯網是基于TCP／IP協議實現連接，因此入侵攻擊是依賴于OSI 7層數據通信模型的一層或多層，如果斷開OSI數據模型的所有層，則可消除來自網絡的潛在攻擊。網閘正是依照該原理實現信息安全傳遞的，而不是依靠網絡協議的數據包轉發，只有數據的無協議“擺渡”，阻斷了基于OSI協議的潛在攻擊，從而保證系統安全。因此，網閘真正實現網絡隔離，在阻斷各種網絡攻擊的基礎上，為用戶提供安全的網絡操作、郵件訪問以及基于文件和數據庫的數據交換。第二代網閘通過專用交換通道、高速硬件通信卡、私有通信協議和加密簽名機制可實現高速、安全的內外網數據交換，使得處理能力大大提高，能夠適應復雜網絡對隔離應用的需求：而私有通信協議和加密簽名機制保證內外處理單元間數據交換的機密性、完整性和可信性。因此，網閘具有更高的安全性和可靠性，通過內部控制系統連接兩個獨立網絡，利用內嵌軟件完成切換操作，并增加安全審查程序。作為數據傳遞“中介”，網閘在保證重要網絡與其他網絡隔離的同時能夠安全交換數據。
2．2 網閘主要功能
針對內外網信息共享的類型和共享速度的需求，網閘主要包括以下功能：
(1)數據庫訪問提供客戶端安全訪問數據庫服務器功能；
(2)文件交換文件交換模塊在內、外網服務器指定目錄或指定盤問進行單向或雙向的文件隔離交換，包括格式檢查、內容過濾、簽名校驗等；
(3)安全瀏覽提供內網用戶安全上網功能。支持透明模式和非透明模式，即把網閘配置成網關設備和配置客戶端代理；
(4)郵件交換在內、外網郵件服務器之間隔離交換郵件，內網用戶安全收發外網郵件；
(5)數據庫同步在內外網數據庫之間進行數據同步。數據庫同步代理根據用戶設置定時啟動同步任務，并按一定周期重復執行。如果周期設置為秒級，則可實現實時同步；
(6)ftp訪問客戶端可直接安全訪問FTP服務器；
(7)郵件訪問 用戶直接安全訪問郵件服務器。

3 網閘在公路客戶信息服務系統的應用
公路客戶信息服務系統應具備開放性、全方位的信息服務功能，同時采用網閘技術保證系統的安全性。
3．1 系統功能
該公路客戶信息服務系統的功能包括：(1)客車開行查詢，包括始發、通過以及主要中轉站客車車次、始發和終點到站名以及時刻；(2)客車運行查詢，包括當前位置、進停站位置及時間；(3)客票信息查詢，包括客票余額、票價、預售天數及售票地點；(4)客車開行公告查詢，新開行客車、臨時開行客車、專線旅游客車等內容；(5)重要信息通知；(6)客車車票預訂；(7)狀態檢測；(8)異常處理。
當客戶系統正常工作時，安全物理隔離網閘通過狀態檢測技術動態記錄、維護各個連接狀態，并且在客戶信息服務系統和外部訪問機制之間插入檢查模塊，分析檢測外部訪問機制信息，以決定是否允許通過網閘。網閘的狀態檢測過程根據通信信息和其他應用程序獲得的狀態信息，動態生成過濾規則，根據新生成的過濾規則過濾新的通信。當新通信結束時，新生成的過濾規則將自動從規則表中刪除。當檢測到不安全數據訪問時，網閘根據異常檢測觀察主體活動，然后產生描述這些活動的行為記錄。每個行為記錄均記錄用戶當前行為，并不定時地合并用戶當前行為記錄和存儲行為記錄。通過比較這兩者記錄判斷異常行為。當網閘判斷當前行為記錄為異常時，則通過硬件隔離實現外部訪問中斷，系統及時恢復到檢測異常之前的狀態，并不斷定位跟蹤。
3．2 系統網絡結構
該公路客運服務信息系統通過網閘隔離系統實現內部OA系統和直屬單位聯網協同管理平臺的信息交互。通過門戶網站、呼叫中心等技術實現對客戶的信息服務。圖2為系統網絡結構。