由兩套各自獨立的系統(tǒng)分別連接和非的網(wǎng)絡(luò)，兩套系統(tǒng)之間通過網(wǎng)閘進(jìn)行信息擺渡，保證兩套系統(tǒng)之間沒有直接的物理通路。在通信過程中，當(dāng)存儲介質(zhì)與的網(wǎng)絡(luò)連通時，斷開與非網(wǎng)絡(luò)連接；當(dāng)與非網(wǎng)絡(luò)連通時，斷開與網(wǎng)絡(luò)的連接；通過分時地使用兩套系統(tǒng)中的數(shù)據(jù)通路進(jìn)行數(shù)據(jù)交換，以達(dá)到隔離與交換的目的。此外，在數(shù)據(jù)交換過程中，需同時進(jìn)行防病毒、防惡意代碼等信息過濾，以保證信息的。

根據(jù)國家保密局公開的文獻(xiàn)資料，我國目前流行的網(wǎng)絡(luò)隔離技術(shù)的產(chǎn)品和方案如下：

（1）獨立網(wǎng)絡(luò)方案

根據(jù)信息保密需求的不同，將信息存放到兩個獨立的網(wǎng)絡(luò)中。其一是內(nèi)部網(wǎng)絡(luò)，用于存儲、處理、傳輸涉密信息；另一個是外部網(wǎng)絡(luò)，與互聯(lián)網(wǎng)相連。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)物理斷開。兩個網(wǎng)絡(luò)之間如果有數(shù)據(jù)交換需要，則采用人工操作（如通過軟盤、磁帶等）的方式。

（2）終端級解決方案

用戶使用一臺客戶端設(shè)備排他性選擇連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，主要類型可分為以下幾種。

（1）雙主板，雙硬盤型：通過設(shè)置兩套獨立計算機的設(shè)備實現(xiàn)，使用時，通過客戶端開關(guān)分別選擇兩套計算機系統(tǒng)。

（2）單主板，雙硬盤型：客戶端通過增加一塊隔離卡、一塊硬盤，將硬盤接口通過添加的隔離卡轉(zhuǎn)接到主板，網(wǎng)卡也通過該卡引出兩個網(wǎng)絡(luò)接口。通過該卡控制客戶端存儲設(shè)備，同時選擇相應(yīng)的網(wǎng)絡(luò)接口，達(dá)到網(wǎng)絡(luò)隔離的效果。

（3）單主板，單硬盤型：客戶端需要增加一塊隔離卡，存儲器通過隔離卡連接到主板，網(wǎng)卡也通過隔離卡引出兩個網(wǎng)絡(luò)接口。對硬盤上劃分區(qū)、非區(qū)，通過隔離卡控制客戶端存儲設(shè)備分時使用區(qū)和非區(qū)，同時對相應(yīng)的網(wǎng)絡(luò)接口進(jìn)行選擇，以實施網(wǎng)絡(luò)隔離。

代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開關(guān)使內(nèi)外網(wǎng)的處理單元分時存取共享存儲設(shè)備來完成數(shù)據(jù)交換的，實現(xiàn)了在空氣縫隙隔離（AirGap）情況下的數(shù)據(jù)交換。原理是通過應(yīng)用層數(shù)據(jù)提取與審查達(dá)到杜絕基于協(xié)議層的攻擊和增強應(yīng)用層的效果。

第二代網(wǎng)閘是在吸取了代網(wǎng)閘優(yōu)點的基礎(chǔ)上，創(chuàng)造性地利用全新理念的專用交換通道PET（Private Exchange Tunnel）技術(shù)，在不降低性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，有效地克服了代網(wǎng)閘的弊端。第二代網(wǎng)閘的數(shù)據(jù)交換過程是通過專用硬件通信卡、私有通信協(xié)議和加密簽名機制來實現(xiàn)的。雖然仍是通過應(yīng)用層數(shù)據(jù)提取與審查達(dá)到杜絕基于協(xié)議層的攻擊和增強應(yīng)用層效果的，但卻提供了比代網(wǎng)閘更多的網(wǎng)絡(luò)應(yīng)用支持，并且由于其采用的是專用高速硬件通信卡，使得處理能力大大提高，達(dá)到代網(wǎng)閘的幾十倍之多。而私有通信協(xié)議和加密簽名機制保證了內(nèi)外處理單元之間數(shù)據(jù)交換的機密性、完整性和可信性，從而在保證性的同時，提供更好的處理性能，能夠適應(yīng)復(fù)雜網(wǎng)絡(luò)對隔離應(yīng)用的需求。

由兩套各自獨立的系統(tǒng)分別連接和非的網(wǎng)絡(luò)，兩套系統(tǒng)之間通過網(wǎng)閘進(jìn)行信息擺渡，保證兩套系統(tǒng)之間沒有直接的物理通路。在通信過程中，當(dāng)存儲介質(zhì)與的網(wǎng)絡(luò)連通時，斷開與非網(wǎng)絡(luò)連接；當(dāng)與非網(wǎng)絡(luò)連通時，斷開與網(wǎng)絡(luò)的連接；通過分時地使用兩套系統(tǒng)中的數(shù)據(jù)通路進(jìn)行數(shù)據(jù)交換，以達(dá)到隔離與交換的目的。此外，在數(shù)據(jù)交換過程中，需同時進(jìn)行防病毒、防惡意代碼等信息過濾，以保證信息的。

根據(jù)國家保密局公開的文獻(xiàn)資料，我國目前流行的網(wǎng)絡(luò)隔離技術(shù)的產(chǎn)品和方案如下：

（1）獨立網(wǎng)絡(luò)方案

根據(jù)信息保密需求的不同，將信息存放到兩個獨立的網(wǎng)絡(luò)中。其一是內(nèi)部網(wǎng)絡(luò)，用于存儲、處理、傳輸涉密信息；另一個是外部網(wǎng)絡(luò)，與互聯(lián)網(wǎng)相連。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)物理斷開。兩個網(wǎng)絡(luò)之間如果有數(shù)據(jù)交換需要，則采用人工操作（如通過軟盤、磁帶等）的方式。

（2）終端級解決方案

用戶使用一臺客戶端設(shè)備排他性選擇連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，主要類型可分為以下幾種。

（1）雙主板，雙硬盤型：通過設(shè)置兩套獨立計算機的設(shè)備實現(xiàn)，使用時，通過客戶端開關(guān)分別選擇兩套計算機系統(tǒng)。

（2）單主板，雙硬盤型：客戶端通過增加一塊隔離卡、一塊硬盤，將硬盤接口通過添加的隔離卡轉(zhuǎn)接到主板，網(wǎng)卡也通過該卡引出兩個網(wǎng)絡(luò)接口。通過該卡控制客戶端存儲設(shè)備，同時選擇相應(yīng)的網(wǎng)絡(luò)接口，達(dá)到網(wǎng)絡(luò)隔離的效果。

（3）單主板，單硬盤型：客戶端需要增加一塊隔離卡，存儲器通過隔離卡連接到主板，網(wǎng)卡也通過隔離卡引出兩個網(wǎng)絡(luò)接口。對硬盤上劃分區(qū)、非區(qū)，通過隔離卡控制客戶端存儲設(shè)備分時使用區(qū)和非區(qū)，同時對相應(yīng)的網(wǎng)絡(luò)接口進(jìn)行選擇，以實施網(wǎng)絡(luò)隔離。

網(wǎng)閘實現(xiàn)了內(nèi)外網(wǎng)的邏輯隔離，在技術(shù)特征上，主要表現(xiàn)在網(wǎng)絡(luò)模型各層的斷開。

（1）物理層斷開

網(wǎng)閘采用的網(wǎng)絡(luò)隔離技術(shù)，就是要保證網(wǎng)閘的外部主機和內(nèi)部主機在任何時候是完全斷開的。但外部主機與固態(tài)存儲介質(zhì)，內(nèi)部主機與固態(tài)存儲介質(zhì)，在進(jìn)行數(shù)據(jù)傳遞的時候，有條件地進(jìn)行單個連通，但不能同時相連。在實現(xiàn)上，外部主機與固態(tài)存儲介質(zhì)之間、內(nèi)部主機與固態(tài)存儲介質(zhì)之間均存在一個開關(guān)電路。網(wǎng)絡(luò)隔離必須保證這兩個開關(guān)不會同時閉合，從而保證OSI模型上的物理層的斷開機制。

（2）鏈路層斷開

由于開關(guān)的同時閉合可以建立一個完整的數(shù)據(jù)通信鏈路，因此必須消除數(shù)據(jù)鏈路的建立，這就是鏈路層斷開技術(shù)。任何基于鏈路通信協(xié)議的數(shù)據(jù)交換技術(shù)，都無法消除數(shù)據(jù)鏈路的連接，因此不是網(wǎng)絡(luò)隔離技術(shù)，如基于以太網(wǎng)的交換技術(shù)、串口通信或高速串口通信協(xié)議的USB等。

（3）TCP/IP協(xié)議隔離

為了消除TCP/IP協(xié)議（OSI的3~4層）的漏洞，必須剝離TCP/IP協(xié)議。在經(jīng)過網(wǎng)閘進(jìn)行數(shù)據(jù)擺渡時，必須再重建TCP/IP協(xié)議。

（4）應(yīng)用協(xié)議隔離

為了消除應(yīng)用協(xié)議（OSI的5~7層）的漏洞，必須剝離應(yīng)用協(xié)議。剝離應(yīng)用協(xié)議后的原始數(shù)據(jù)，在經(jīng)過網(wǎng)閘進(jìn)行數(shù)據(jù)擺渡時，必須重建應(yīng)用協(xié)議。