等保2.0三级/四级系统，仅靠防火墙还能过测评吗？

近年越来越多的政企单位在做网络安全等级保护2.0（等保2.0）测评时发现：办公网与内网、生产网与信息网之间如果只用防火墙做逻辑隔离，常被测评机构要求整改——等保三级及以上系统，关键安全域边界须落实"安全隔离"，高敏感场景要求物理隔离。

这也是为什么网闸/光闸正成为政府、金融、能源、医疗、电力等关基单位的合规标配。

一、等保2.0对"隔离"的硬性要求

根据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》：

等保二级：可在边界部署防火墙等设备进行访问控制（逻辑隔离）。

等保三级/四级：明确要求对不同安全等级网络区域实施安全隔离，关键场景需采用物理隔离或强隔离装置，禁止仅靠防火墙建立TCP直连。

涉密信息系统/分级保护：涉密网与非涉密网之间必须物理隔离，数据交换须通过经认证的隔离与信息交换设备（网闸/光闸）。

�� 简言之：

二级可用防火墙，三级及以上建议/强制使用网闸做物理隔离+可控摆渡。

数据来源综合自等保解读与行业对比

网闸采用"2+1"架构（内网主机＋外网主机＋隔离交换单元），在任何时刻内外网不存在物理电气连接，从根源切断横向移动、漏洞利用、反向连接等攻击路径。

三、典型合规部署场景

��️ 政务网：政务内网 ↔ 政务外网 / 互联网 —— 满足等保三级+涉密隔离要求

�� 金融：核心业务区 ↔ 互联网/第三方渠道 —— 符合银监指引+等保要求

⚡ 电力/工控：生产控制大区(I/II区) ↔ 管理信息大区(III/IV区) —— 电力36号文要求专用隔离设备

�� 医疗：HIS核心系统 ↔ 医保网/互联网医院 —— 满足患者隐私保护与等保合规

�� 研发/涉密网：涉密网 ↔ 非涉密办公网 —— 可升级为光闸(FGAP)实现单向导入

四、合规选型核查清单（简版）

✅ 是否具备公安部计算机信息系统安全专用产品销售许可证

✅ 是否通过等保测评认可的物理隔离网闸检测

✅ 是否支持协议剥离、白名单策略、病毒/敏感内容检测

✅ 是否提供完整摆渡审计日志（满足等保审计要求）

✅ 是否支持国密算法/国产化平台（政务/金融信创）

�� 小结

等保2.0下，物理隔离已不是"可选项"，而是三级及以上系统的合规刚需。网闸解决"隔而能通"——既物理断开内外网直连，又通过受控数据摆渡保障业务连续；高密级单向场景可进一步选用光闸。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景，重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力，目前已广泛应用于政府、金融、能源、医疗、教育、交通、传媒等行业。