“如果把网络攻击比作一场瘟疫，那么防火墙是口罩，杀毒软件是疫苗，而网闸则是‘物理隔离’的方舱。”

在网络安全圈，有一个共识：只要物理链路连通，世界上就没有攻不破的堡垒。

无论是价值千万的下一代防火墙（NGFW），还是看似无懈可击的零信任架构，只要基于 TCP/IP 协议栈运行，就必然存在被绕过的可能。

今天，我们将抛开营销话术，深入硬件底层，拆解网闸（GAP）与光闸（FGAP）的内部架构，看看它们是如何通过“暴力”的物理手段，实现对 APT（高级持续性威胁）攻击的降维打击。

一、 溯源：TCP/IP 协议原生的“阿喀琉斯之踵”

要理解网闸为什么有效，首先要理解传统网络安全设备的软肋。

防火墙、IPS、WAF 这些设备，本质上都是工作在 OSI 模型的 L3L7 层。它们的工作逻辑是：“连接、解析、匹配、放行或阻断”。

问题在于：“连接”本身就是最大的风险。

TCP/IP 协议在设计之初，追求的是连通性而非安全性。只要两端建立了会话（Session），就意味着双方之间存在一条逻辑通路。黑客可以利用缓冲区溢出、0day 漏洞等手段，绕过安全策略，顺着这根“网线”直接爬进你的内网。

结论： 逻辑隔离解决不了“通路”问题，只要有路，就会有人进来。

二、 核心架构：揭秘“2+1”模块设计

网闸之所以被称为网络安全领域的“硬骨头”，核心在于其独特的 “2+1”模块架构。这与防火墙的单机架构有着本质区别。

1. 三个独立体

内端机（Internal Host）： 完全部署在内网侧，仅与内网服务器通信，不与外网有任何 IP 路由层面的连接。

外端机（External Host）： 部署在外网侧，负责接收互联网或外网的数据请求。

隔离硬件交换单元（Gap Hardware）： 位于中间的“1”，通常由 FPGA（现场可编程门阵列） 或 专用 ASIC 芯片 构成，而非通用的 x86 CPU。

2. 关键的“断连”

在网闸内部，内端机与隔离硬件之间、外端机与隔离硬件之间，不存在任何 TCP/IP 协议的直接连通。

数据不是“流”过去的，而是被“搬”过去的。

三、 深度解析：数据是如何“摆渡”的？

网闸的工作原理可以用四个字概括：“协议剥离”。我们用一个通俗的流程来拆解数据是如何通过网闸的：

第一步：拆解（Strip）

假设外网有一份文件要传入内网。

文件到达网闸的外端机。此时，外端机像剥洋葱一样，将数据包的所有头部（Header）剥离，拆掉 Ethernet 帧头、IP 包头、TCP/UDP 包头。

结果： 网络层面的连接在此终止。外端机只拿到了纯粹的、没有地址的“裸数据”。

第二步：清洗（Clean）

“裸数据”被放入隔离交换区的缓存中。

网闸会对这些数据进行深度内容检测（DPI/DFI）：查杀病毒、过滤恶意代码、识别文件类型、甚至进行敏感词审计。这就像海关检查行李，确认没有任何违禁品。

第三步：重组（Reassemble）

确认数据干净后，隔离硬件开关瞬间闭合（毫秒级），将数据传输给内端机。

内端机拿到数据后，重新封装全新的 TCP/IP 协议头，发送给内网的目标服务器。

第四步：断开

传输完成后，隔离硬件开关再次断开。

核心逻辑： “数据不落地，协议不直通”。

由于内网服务器从未与外网建立过任何 TCP 会话，黑客无法通过 TCP 协议发起攻击，因为那条“路”在物理上是时断时续的。

四、 进阶形态：光闸（FGAP）的“单向无反馈”黑科技

如果说网闸是“物理隔离”，那么光闸（Fiber Gap）则是“物理隔离 Plus”。

在很多高密级场景（如军工、情报、央行核心交易），即便是网闸的微秒级连通也可能被视为风险。

1. 光的特性：单向传输

光闸利用了光纤的物理特性——光信号只能沿光纤单向传播，无法反向反馈。

光闸设备内部没有电信号收发器，只有发光器和受光器。数据只能通过光纤从一端“发射”到另一端，中间没有任何回路。

2. 彻底消灭“回连”

在传统的网络攻击中，木马植入后会尝试“回连”（Call Back）到控制端。

但在光闸环境下，高密级内网只收不发（或只发不收）。

即便内网主机中了病毒，它发出的任何数据包都会被光闸物理阻断，无法传出内网，彻底实现了“信息孤岛”的绝对安全。

五、 性能与安全的博弈：硬件加速技术

长期以来，网闸给用户留下的印象是：“安全但慢”。

早期基于通用服务器改造的网闸，由于需要频繁进行协议拆解和重组，吞吐量往往只有几百兆，成为业务瓶颈。

现代网闸如何解决这一矛盾？

答案是 FPGA 硬件加速。

我们将协议剥离、内容过滤、数据摆渡的逻辑直接写入 FPGA 芯片的固件中。数据处理不再经过操作系统的 TCP/IP 协议栈，而是由硬件电路直接运算。

效果： 延迟降低至微秒级，吞吐量提升至万兆甚至 40G。

体验： 用户在传输大文件或进行数据库同步时，几乎感觉不到网闸的存在，但底层却享受着物理隔离的保护。

六、 实战推演：防御 APT 攻击

让我们模拟一次针对电网调度系统的 APT 攻击，看看为什么只有光闸能防住。

攻击路径：

黑客控制了运维人员的办公电脑（位于办公网） → 试图通过边界设备跳转到生产调度网（SCADA） → 植入勒索病毒，企图关停电网。

防御结果：

防火墙： 黑客利用 0day 漏洞绕过策略，成功进入内网。❌

网闸： 黑客无法建立 TCP 连接，攻击流量在到达外端机时被“协议剥离”，由于无法重组会话，攻击失效。✅

光闸： 即便黑客控制了外端机，由于光纤单向传输，无法向内网发送任何控制指令。✅✅

七、 结语：回归安全的本质

网络安全技术层出不穷，AI 检测、量子加密、零信任……这些都很重要。

但在核心边界防护上，我们需要回归最朴素的安全哲学：“如果不需要连接，就不要连接。”

网闸与光闸，正是这一哲学的极致体现。它们用最“笨”的物理手段，解决了最复杂的逻辑漏洞。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景，重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力，目前已广泛应用于政府、金融、能源、医疗、教育、交通、传媒等行业。