作為保證不同安全級別網絡間的高安全隔離與實時數據交換的安全設備，安全隔離網閘已經在公安、稅務等政府行業得到廣泛應用，另外，在電力、煤炭、鋼鐵等能源行業和一些制造型企業也開始大量應用。鑒于廣大用戶對網閘安全隔離功能的信賴，之前不敢連的網絡也通過安全隔離網閘連接起來了，同時，用戶還寄希望于安全隔離網閘能對數據內容進行高安全的檢查控制。

在保證安全的前提下，安全隔離網閘廠商也在盡力地滿足著用戶對安全隔離網閘支持更多網絡應用的需求，且已經取得了顯著的成效。當前，安全隔離網閘已由最初只支持文件交換功能（工作原理是模擬人工拷盤），發展到具有數據庫同步、數據庫訪問、郵件訪問、安全Web訪問、FTP訪問等多種功能，能對HTTP、FTP、SMTP、POP3等通用協議進行內容檢查，但是目前絕大部分用戶的應用采用的都是自定義格式的私有協議，如果沒有對安全隔離網閘實施二次開發，就無法對交換的數據內容進行過濾。這是因為私有協議的數據格式、數據內容等都沒有公開，導致安全隔離網閘廠商無法定義出相應的數據內容檢查規則，也就無法實現高安全的隔離交換控制。

為了應對通用安全隔離網閘無法對私有協議進行數據內容檢查的問題，安全隔離網閘廠商、用戶以及相關的主管部門都在積極尋找相應對策，目前，主要有以下兩種技術路線。

其一，重點實現電路級數據單向傳輸，并強化用戶認證功能。如通過國家電力調度通信中心的檢測認證，在電力行業廣泛應用的“單向橫向安全隔離裝置”，以及國家保密局正在認證，可以部署在電子政務中的“安全隔離與信息單向導入系統”等，但部署這些單向安全隔離網閘時，也需要將應用系統進行改造，另外，這些單向安全隔離網閘應用擴展能力差，只適合在特定行業內強制推行，無法應用于雙向數據交換、應用復雜的網絡環境。

技術路線之二則是與用戶的具體應用相結合，在雙向數據交換的網絡環境下實現對交換數據內容的檢查，在這方面，廣大安全隔離網閘廠商也在不斷進行研發投入。

當前，由于絕大部分用戶的應用都需要進行雙向數據傳輸，因此第二種技術路線將是安全隔離網閘發展的必由之路，按照第一種技術路線發展的單向安全隔離網閘，則會發展成為一類獨立的安全產品。

下面，我們就以聯想網御在第二種技術路線方面的研發探索為例，通過聯想網御對私有協議的數據內容檢查解決方案，具體說明安全隔離網閘與用戶的具體應用相結合是如何方便靈活地實現的。

科學的體系架構

a)科學的系統架構

聯想網御安全隔離網閘的系統硬件平臺由內網主機系統、外網主機系統、隔離交換矩陣三部分組成：內網/外網主機系統分別具有獨立的運算單元和存儲單元，并以聯想網御自主知識產權的VSP （Versatile Security Platform，通用安全平臺）作為操作系統；隔離交換矩陣基于LeadASIC專用芯片技術及相應的時分多路隔離交換邏輯電路，不受主機系統控制，能獨立完成應用數據的封包、擺渡、拆包，從而實現內外網之間的數據隔離交換。主機系統對交換數據的檢查流程如圖一所示。安全隔離網閘在完成常規的IP地址、協議類型、協議分析等檢查后，還能在數據通過隔離交換矩陣封包之前進行數據內容的檢查。

b)檢查框架

VSP操作系統中集成的USE（Uniform Security Engine，統一安全引擎）完成了協議終結、應用內容的還原和檢查。聯想網御安全隔離網閘以自定義的、開放的ACI（Application Checking Interface，應用檢查接口）為基礎，不但支持內置的、面向通用應用協議（如HTTP、FTP等）的多種檢查模塊，還支持內容檢查模塊的擴展。用戶可以根據需要來自行開發內容檢查模塊，并通過安全隔離網閘的WEB管理界面上傳至VSP操作系統，通過使用內容檢查模塊，用戶可實現對基于私有協議的應用內容的數據格式、完整性、關鍵字、內容安全的檢查。內容檢查框架如圖二所示。

聯想網御安全隔離網閘內容檢查框架圖

清晰的分工合作

在研發上，考慮到只有用戶對私有協議的數據格式、數據內容等信息最清楚，聯想網御因此提出“分工負責，合作開發”的研發思路。

“分工負責”指的是用戶（或用戶指定的軟件開發商）負責內容檢查模塊的開發，聯想網御則負責在安全隔離網閘上提供ACI應用檢查接口和豐富的開發支撐文檔。

“合作開發”指的是聯想網御將積極配合用戶進行相應的檢查模塊調試，使用戶開發的檢查模塊能在安全隔離網閘上發揮效用。

方便的調用方式

對于加載的多個內容檢查模塊，聯想網御安全隔離網閘可以有選擇性地在安全規則中調用，并且可以對具體內容檢查模塊進行檢查內容的啟用或禁止，如圖三和圖四所示。

圖三  聯想網御安全隔離網閘管理界面的安全規則截圖

圖四  聯想網御安全隔離網閘管理界面的檢查內容定義截圖

豐富的文檔支撐

為了方便用戶進行內容檢查模塊的開發，聯想網御提供了ACI軟件開發包。此開發包中的內容包括：模塊與安全隔離網閘之間的非標準統一接口開發說明文檔，包括應用編程接口的庫、頭、幫助、例子等；生成檢查模塊的說明文檔，包括模塊開發工具的庫、頭、幫助、例子；強認證、加密開發說明文檔，基于此文檔開發可實現主機與安全隔離網閘間的用戶身份驗證、用戶訪問權限控制和數據傳輸加密功能。

在安全隔離網閘產品與用戶具體應用相結合方面，以成熟的理論體系為前提，聯想網御已經與某氣象局、某廣播電臺、某煤礦等多個行業客戶共同進行了成功的實踐。