代網閘的技術原理是利用單刀雙擲開關使內外網的處理單元分時存取共享存儲設備來完成數(shù)據交換的，實現(xiàn)了在空氣縫隙隔離（AirGap）情況下的數(shù)據交換。原理是通過應用層數(shù)據提取與審查達到杜絕基于協(xié)議層的攻擊和增強應用層的效果。

第二代網閘是在吸取了代網閘優(yōu)點的基礎上，創(chuàng)造性地利用全新理念的專用交換通道PET（Private Exchange Tunnel）技術，在不降低性的前提下能夠完成內外網之間高速的數(shù)據交換，有效地克服了代網閘的弊端。第二代網閘的數(shù)據交換過程是通過專用硬件通信卡、私有通信協(xié)議和加密簽名機制來實現(xiàn)的。雖然仍是通過應用層數(shù)據提取與審查達到杜絕基于協(xié)議層的攻擊和增強應用層效果的，但卻提供了比代網閘更多的網絡應用支持，并且由于其采用的是專用高速硬件通信卡，使得處理能力大大提高，達到代網閘的幾十倍之多。而私有通信協(xié)議和加密簽名機制保證了內外處理單元之間數(shù)據交換的機密性、完整性和可信性，從而在保證性的同時，提供更好的處理性能，能夠適應復雜網絡對隔離應用的需求。

盡管作為物理設備，網閘提供的高性是顯而易見的，但是由于其工作原理上的特性，不可避免地決定了網閘存在一些缺陷：

（1）只支持靜態(tài)數(shù)據交換，不支持交互式訪問。

這是網閘明顯得一個缺陷。由于是真正的網絡間物理隔離，它不支持諸如動態(tài)web頁面技術中的activex、java甚至是客戶端的cookie技術，目前網閘一般只支持靜態(tài)web頁、郵件文件等靜態(tài)數(shù)據的交換。

（2）適用范圍窄。

由于數(shù)據鏈路層被忽略，網閘無法實現(xiàn)一個完整的iso/osi七層連接過程，所以網閘對所有交換的數(shù)據必須根據其特性開發(fā)專用的交換模塊，靈活性差，適用范圍十分狹窄。

（3）系統(tǒng)配置復雜，性很大程度上取決于網絡管理員的技術水平。

在網閘傳送數(shù)據過程中要實現(xiàn)病毒、木馬過濾和性檢查等一系列功能，這都需要網絡管理員根據網絡應用的具體情況加以判斷和設置。如果設置不當，比如對內部人員向外部提交的數(shù)據不進行過濾而導致信息外泄等，都可能造成網閘的功能大打折扣。

（4）結構復雜，成本較高。

網閘的三個組件都必須為大容量存儲設備，特別在支持多種應用的情況下，存儲轉發(fā)決定了必須采用較大的存儲器來存儲和緩存大量的交換數(shù)據。另外，網閘由于處在兩個網段的結合部，具有網關的地位，一旦宕機就會使兩邊數(shù)據無法交換，所以往往需要配置多臺網閘設備作為冗余，這就使購置和實施費用不可避免地上升了。

（5）技術不成熟，沒有形成體系化。

網閘技術是一項新興的網絡技術，尚無專門的國際性研究組織對其進行系統(tǒng)的研究和從事相關體系化標準的制定工作。

（6）帶來網絡通信的“瓶頸”問題。

因為電子開關切換速率的固有特性和過濾內容功能的復雜化，目前網閘的交換速率已接近該技術的理論速率極限?？梢灶A見在不久的將來，隨著高速網絡技術的發(fā)展，網閘在交換速率上的問題將會成為阻礙網絡數(shù)據交換的重要因素。

但無論如何，網閘對其他網絡設備是一個很好的補充，也是其他網絡設備所無法替代的產品，近幾年來在國內的各行業(yè)也已經獲得了較好的應用。

（1）涉密網與非涉密網之間。有些政府辦公網絡涉及敏感信息，當它與外部非涉密網連接的時候可以用單向物理隔離網閘將兩者隔開。

（2）局域網與互聯(lián)網之間（內網與外網之間）。有些局域網絡，特別是政府辦公網絡，涉及政府敏感信息，有時需要與互聯(lián)網在邏輯上斷開，物理隔離網閘是一個常用的辦法。

（3）辦公網與業(yè)務網之間。由于辦公網絡與業(yè)務網絡的信息敏感程度不同，例如，銀行的辦公網絡和銀行業(yè)務網絡就是很典型的信息敏感程度不同的兩類網絡。為了提高工作效率，辦公網絡有時需要與業(yè)務網絡交換信息。為解決業(yè)務網絡的，比較好的辦法就是在辦公網與業(yè)務網之間使用物理隔離網閘，實現(xiàn)兩類網絡的邏輯隔離。

（4）電子政務的內網與專網之間。在電子政務系統(tǒng)建設中要求政府內網與外網之間用邏輯隔離，在政府專網與內網之間用邏輯隔離?，F(xiàn)常用的方法是用物理隔離網閘來實現(xiàn)。

（5）業(yè)務網與互聯(lián)網之間。電子商務網絡一邊連接著業(yè)務網絡服務器，一邊通過互聯(lián)網連接著廣大用戶。為了保障業(yè)務網絡服務器的，在業(yè)務網絡與互聯(lián)網之間應實現(xiàn)邏輯隔離。

由兩套各自獨立的系統(tǒng)分別連接和非的網絡，兩套系統(tǒng)之間通過網閘進行信息擺渡，保證兩套系統(tǒng)之間沒有直接的物理通路。在通信過程中，當存儲介質與的網絡連通時，斷開與非網絡連接；當與非網絡連通時，斷開與網絡的連接；通過分時地使用兩套系統(tǒng)中的數(shù)據通路進行數(shù)據交換，以達到隔離與交換的目的。此外，在數(shù)據交換過程中，需同時進行防病毒、防惡意代碼等信息過濾，以保證信息的。

根據國家保密局公開的文獻資料，我國目前流行的網絡隔離技術的產品和方案如下：

（1）獨立網絡方案

根據信息保密需求的不同，將信息存放到兩個獨立的網絡中。其一是內部網絡，用于存儲、處理、傳輸涉密信息；另一個是外部網絡，與互聯(lián)網相連。內部網絡和外部網絡物理斷開。兩個網絡之間如果有數(shù)據交換需要，則采用人工操作（如通過軟盤、磁帶等）的方式。

（2）終端級解決方案

用戶使用一臺客戶端設備排他性選擇連接內部網絡和外部網絡，主要類型可分為以下幾種。

（1）雙主板，雙硬盤型：通過設置兩套獨立計算機的設備實現(xiàn)，使用時，通過客戶端開關分別選擇兩套計算機系統(tǒng)。

（2）單主板，雙硬盤型：客戶端通過增加一塊隔離卡、一塊硬盤，將硬盤接口通過添加的隔離卡轉接到主板，網卡也通過該卡引出兩個網絡接口。通過該卡控制客戶端存儲設備，同時選擇相應的網絡接口，達到網絡隔離的效果。

（3）單主板，單硬盤型：客戶端需要增加一塊隔離卡，存儲器通過隔離卡連接到主板，網卡也通過隔離卡引出兩個網絡接口。對硬盤上劃分區(qū)、非區(qū)，通過隔離卡控制客戶端存儲設備分時使用區(qū)和非區(qū)，同時對相應的網絡接口進行選擇，以實施網絡隔離。