网闸典型架构简述

网闸架构一般分为两种：三主机的三系统架构网闸和双主机的2+1架构网闸。

三主机架构分别为内端机、外端机和仲裁机。三机无论从软件和硬件上均各自独立。首先从硬件上来看，三机都用各自独立的主板、内存及存储设备。从软件上来看，三机有各自独立的操作系统。这样能达到完全的三机独立。对于“2+1”系统，“2”分为内端机和外端机两个部分。从硬件上来看，二机分别独立，但是从软件上来看，分为内端机、外端机与仲裁机。由于仲裁系统没有自己独立的硬件架构，所以，仲裁系统只有附载在内端机和外端机的其中一端上面（一般附载在内端机上）。其中“2+1”中的“1”为传输介质，我们一般称为“数据媒介”，只是一简单的物理硬件，本身不具有操作系统，没有任何智能，主要用于内外端机摆渡数据，而且只是简单摆渡而已，不会对摆渡的信息作任何检查或过滤。

上面这个是针对两种结构的说明，下面在说下两种不同结构产生所产生的效果：三机三系统，三机分别独立。仲裁系统附载于与内外端机完全独立的仲裁机上，仲裁机采用专用硬件和专用协议与内外端机相连，这样仲裁系统与外界的TCP/IP协议完全隔离，任何人不可能通过通用的网络协议连接到仲裁系统上，更不可能通过网络协议来攻击仲裁机或控制仲裁机。所以三机中的仲裁机是安全的、可靠的，是可以信赖的。

对于“2+1”的结构，由于其仲裁系统没有自己独立的硬件，所以其只有附载在内、外端机中的一端（一般附载在内端机上，有些网闸产品可能会附载在内外端机上，内外端机需要分开来配置的就是，相对来说安全性更低），由于内外端机在网络中运行时，需要与网络进行实时的通信，且仲裁系统附载在内、外端机上，所以仲裁系统就与内外端机一样，是网络协议可达的。既然仲裁系统通用协议可达，那么仲裁系统本身就有可能受来自网络的攻击，一旦仲裁系统受到黑客攻击，转而控制仲裁系统，那么黑客本身很有可能构建出对黑客本身不受控的通路，那么攻击者就有可能对所隔离的客户的重要机密信息作出各种非法的事情，这样严重影响到隔离的效果，从而给用户造成不可估量的损失，后果不堪设想。