联系我们

关于深网

深网的企业新闻,资质,联系方式...您都可以在这找到

网闸内幕:协议剥离与重建,如何让数据“灵魂过河”?

一句话原理:数据跨域传输不开放端口,网闸的秘诀是——把完整的网络协议包拆成“裸数据”,用私有协议摆渡过河,再重新“穿衣服”还原。 这一拆一装,正是网闸与防火墙的分水岭。

01 为什么需要“剥离协议”?

  • 传统TCP/IP通信:每个数据包都带着源IP、目的IP、端口号、序列号等协议头。只要两端能“握手”,就意味着存在一条逻辑通道,端口必然开放。

  • 安全要求:涉密网、生产控制网与被交换方不能有任何直接的网络连接。端口开放等于给了攻击者探测与入侵的入口。

防火墙可以做策略过滤,但依然允许协议通过;网闸要做的是从协议栈级别切断连接——只把数据“内容”拿过去,把协议控制信息全部扔掉。

这就是协议剥离的由来。

02 核心流程:一步拆,两步建

网闸不是一个设备,而是三个逻辑单元的协同体

text

复制下载

内网主机单元  <--私有摆渡--> 隔离交换单元  <--私有摆渡--> 外网主机单元

第一步:协议剥离(拆“包装”)

当数据从A端(如内网侧)到达网闸的内网主机时:

  1. 完整接收:内网主机与发送端完成TCP三次握手,收下完整的数据流。此时A端以为自己正在与对端通信,实际上对面只是网闸的代理。

  2. 逐层解封装:从网卡收到的以太帧开始,依次去掉MAC头、IP头、TCP/UDP头,一直解到应用层纯数据:HTTP请求体、文件二进制流、SQL语句、邮件正文……

  3. 安全检测(关键动作): 在协议剥离之后、摆渡之前,内置引擎进行内容过滤、病毒扫描、DLP检查、格式合规校验。恶意代码失去协议外壳的掩护,无处藏身。

  4. 转换为私有数据块:将干净的“裸数据”按固定块大小(如1MB)打包,加上网闸内部的控制信息(类型、来源域、目标域、序号),形成私有摆渡协议帧

此时,原始的TCP/IP特征全部消失。

第二步:数据摆渡(“裸数据”过河)

私有数据块通过隔离交换单元(通常是一块专用硬件卡或存储介质) 从内网主机“搬运”到外网主机。

  • 传输介质可以是存储芯片、USB虚拟通道、非网互联线

  • 关键机制:内外网主机从不直接通讯,而是通过读写共享存储区或分时切换电路来完成数据传递。时刻保持物理/协议隔离。

  • 方向控制:可以设置为单向(仅A→B)或双向交替,但绝不允许同时建立双向连接。

第三步:协议重建(重新“穿衣服”)

外网主机拿到私有数据块后:

  1. 解包私有帧:还原出裸数据和目标信息。

  2. 构造新协议:根据预设策略,外网主机以自己的IP、临时端口,与真正的目标服务器(B端)建立全新的TCP连接。

  3. 封装数据:将裸数据按照所需的应用层协议格式重新打包——比如加上HTTP头、封装成FTP STOR命令、组装成SQL insert语句。

  4. 发送:外网主机将新生成的协议包发给B端。

对B端而言,收到的数据看起来完全正常;只不过它的“对端”是网闸的外网主机,而不是原来的A端设备。

通俗比喻:A把一封信(带信封、邮票、邮戳)交给网闸。网闸拆出信纸,检查文字没问题后,通过内部传送带送到另一间房,再找个新信封、写上新地址寄给B。A与B从未见过对方的信封。

03 协议重建到底重建了什么?

被剥离后丢失的信息重建时如何处理安全意义
源IP、源端口用网闸外网主机的IP+随机端口代替隐藏真实内网拓扑,无法溯源扫描
TCP序列号、ACK号全新连接,重新协商禁止半连接攻击、序列号预测攻击
应用层协议特征(如HTTP方法、FTP命令)按策略重新生成合法命令序列可过滤非法命令(如“..\”路径遍历)
多包分片顺序重组后一次性摆渡,避免分片攻击消除分片重叠、微小分片绕过检测等风险

04 支持哪些协议?能重建到什么程度?

主流网闸已从早期的“只能传文件”进化到全协议适配

  • HTTP/HTTPS:剥离URL、Header、Body;重建时可改写Host、插入认证头、去掉敏感Cookie。

  • FTP:剥离PORT/PASV命令;重建时启用主动/被动模式代理。

  • SMTP:剥离邮件内容与附件;重建时可改写收件人、添加审批戳。

  • 数据库协议(Oracle/MySQL/SQL Server):剥离SQL语句;重建时可做SQL注入拦截、脱敏改写(如将身份证号替换为****)。

  • 自定义API(JSON/XML over TCP):支持配置模板,提取关键字段后按新格式封装。

需要注意:非标准协议、加密协议(如TLS直连) 无法直接剥离,因为网闸看不到明文。通常做法是:前置解密网关,或者要求业务系统使用国密API与网闸对接。

05 这种机制带来了哪些安全收益?

  1. 零端口暴露:网闸的内外网主机只作为客户端主动向外连接,从不监听任何服务端口。外部扫描根本扫不到网闸后面的系统。

  2. 无网络层攻击面:TCP SYN Flood、IP欺骗、端口扫描、DDoS……所有依赖网络协议的攻击,在剥离环节就已失效。

  3. 内容级可控:病毒、恶意脚本、敏感词是在“裸数据”阶段被拦截的,比传统防火墙的应用层过滤更彻底。

  4. 强制方向管控:可以做到单向导入(比如光闸),物理上就不可能反向传输,完美满足“高密低流”合规。

06 一个容易踩的坑:协议重建不等于“万能适配”

  • 状态协议重建难:比如SIP(VoIP)、RPC动态端口类协议,重建时需维护完整会话状态机,低端网闸可能不支持。

  • 加密协议必须降级:如果业务强制端到端TLS,网闸只能工作在“中间人”模式(需安装证书)或放弃加密。

  • 性能损耗:协议剥离+重建带来延迟(通常2-5ms)和吞吐下降(高端机型可达万兆线速)。选型时要实测。

07 总结:剥离与重建,安全与实用的平衡

网闸的核心创新,并非简单地“切断网线”,而是在物理隔离的逻辑约束下,用协议剥离与重建实现安全的“数据再生”

  • 剥离,撕掉了攻击者可利用的所有网络协议外衣。

  • 摆渡,用私有通道实现可控的数据转移。

  • 重建,让业务系统无感知地接收干净数据。

正是这套“脱衣—过河—穿衣”的机制,让网闸成为不能开放端口场景下最可靠的数据交换方案

如果您正在评估跨域数据交换方案,不妨追问供应商一句:你们的网闸对xx协议(如数据库、HTTP API)的剥离粒度能达到字段级吗?重建时支持动态改写内容吗? 答案的好坏,直接决定了这套“拆装流水线”的真正安全等级。

江苏深网科技是一家专门从事跨域安全产品开发、销售,提供网络攻防技术服务的网络安全公司,并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景,重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业,依托核心团队多年的网络安全攻防技术研究,目前已推出网闸光闸数据交换平台等跨域交换安全产品以及IPSec VPNSSL VPN安全网关产品,并拥有了细分领域领先的网络攻防技术研发能力,目前已广泛应用于政府、金融、能源、医疗、教育、交通、传媒等行业。