深网的企业新闻,资质,联系方式...您都可以在这找到
做等保、密评整改的从业者几乎都听过一个关键词:网闸 2+1 物理隔离架构。 很多采购只知道选型要看 2+1 架构,却不清楚这套硬件结构的安全逻辑,更不懂为什么测评专家只认可该架构,简易隔离设备直接不予通过。 市面上不少低价隔离网关简化硬件结构,看似能实现数据传输,一到测评现场就被判定不合规,项目返工、追加预算得不偿失。 今天拆解 2+1 架构底层原理、安全优势、合规依据,一次性讲清它不可替代的核心价值。
标准安全隔离网闸的 2+1 架构,由外网处理单元、内网处理单元、单向隔离交换单元三部分构成,两套主机 + 一套隔离通道,简称 2+1:
1. 外网主机单元 对接低安全区域(互联网、办公外网、非核心业务区),仅负责接收外网数据、初步过滤,无法直接访问内网;
2. 内网主机单元 对接高安全区域(业务专网、涉密内网、工控核心网),仅接收隔离单元转发后的可信数据,不主动向外建立连接;
3. 隔离交换单元(核心隔断) 整套设备唯一的数据中转通道,内外两台主机之间无网线、无路由、无 TCP/IP 网络直连,依靠私有硬件通道摆渡数据。
关键核心:内外两套主机完全独立供电、独立操作系统、独立存储,不存在任何共享网络链路,硬件层面彻底断开互通条件。 普通防火墙、简易单向网关只有单主机架构,内外流量在同一系统处理,天然存在穿透漏洞,这也是二者最大区别。
防火墙属于逻辑隔离,内外网处于同一网络链路,只是依靠策略拦截流量。一旦出现策略配置失误、系统漏洞、木马隧道,攻击者可横向渗透进入核心内网。 而 2+1 架构内外主机无网络通路,没有 IP 互通、路由转发、握手连接的基础条件。 就算外网主机被黑客完全攻陷,攻击者也无法越过隔离单元触达内网服务器,从根源切断跨网入侵路径。
数据流转完整流程:外网接收→外网单元初步查杀→剥离全部 TCP/IP 网络协议→隔离单元中转→内网单元二次内容校验→传入内网。 两层主机分别做安全检测,先洗掉所有可用于攻击的协议报文、隧道封装,再对文件、数据库、报文内容深度查杀,病毒、恶意脚本、隐藏后门两层拦截,双重防护大幅降低风险。 单主机简易网关仅一层检测,极易出现恶意数据漏检问题。
2+1 隔离通道支持按需配置单向 / 双向传输模式:
· 政企互通场景:开启可控双向摆渡,满足文件、数据库同步需求;
· 高安全涉密、工控场景:限制仅单向传输,禁止内网数据向外回流。 所有传输行为单独记录在两套主机日志中,操作留痕、不可篡改,满足长期审计留存要求。
外网主机遭遇病毒、攻击瘫痪时,内网单元不受任何影响,核心业务系统持续稳定运行;内网主机维护、升级,也不会暴露内部资源给外网。 两套独立硬件互相隔离故障风险,不会出现一网中毒、全域瘫痪的情况,适配 7×24 小时不间断运行的核心业务场景。
1、等保 2.0 三级明确物理隔离要求 规范规定:重要业务网络与不可信网络交互,需采用硬件物理隔离设备,设备内部不能存在直达网络通道。 2+1 双主机隔离架构完全匹配条款,单主机网关、软件隔离、VPN 专线均被认定为逻辑隔离,无法达标。
2、密评、工控安全标准提高隔离硬件门槛 涉密系统、工业生产网络测评中,专家会现场核验设备硬件结构,无独立内外主机的隔离产品,直接判定存在重大安全隐患,要求全部更换整改。
3、日志审计满足溯源核查标准 内外双主机分别独立存储操作日志,完整记录每一次文件传输、数据库同步、策略变更,日志留存时长可满足 180 天以上要求,测评抽查可完整调取追溯。
1. 单主机虚拟分区网关:一台主机通过软件划分内外区域,底层网络互通,只是虚拟隔离,测评不认可;
2. 软件摆渡工具、服务器中转方案:依靠服务器转发数据,网络全程连通,存在大量渗透漏洞;
3. 简化版隔离设备:删减独立内网主机,仅保留单通道传输,缺少双层检测,安全能力大幅缩水。 这类设备采购成本更低,但验收阶段全部需要替换,综合改造成本远高于合规 2+1 网闸。
1、政企单位、事业单位等保三级整改 边界防火墙 + 标准 2+1 架构双向网闸 兼顾外网边界防护与内外网安全互通,完美通过年度测评。
2、工控生产、能源调度场景 工业防火墙 + 2+1 架构单向光闸 / 单向网闸 限制数据仅能从生产网向外上报,杜绝反向入侵篡改设备参数。
3、涉密高密级业务系统 多层纵深防护,外网防火墙 + 2+1 网闸 + 单向光闸,层层隔离守住核心涉密数据。
2+1 架构不只是厂商宣传的参数标签,是网络物理隔离设备的标准化安全底座,也是测评机构判定设备是否合规的核心依据。 它通过双主机物理隔断、双层安全检测、故障独立隔离,解决了 “业务互通” 和 “网络隔离” 长期冲突的行业难题。 选型时不要只看吞吐量、端口数量,优先核验设备是否为完整 2+1 硬件架构,避免低价简化设备导致测评返工。
江苏深网科技是一家专门从事跨域安全产品开发、销售,提供网络攻防技术服务的网络安全公司,并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景,重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业,依托核心团队多年的网络安全攻防技术研究,目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品,并拥有了细分领域领先的网络攻防技术研发能力,目前已广泛应用于政府、金融、能源、医疗、教育、交通、传媒等行业。