網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。
三主機架構分別為內端機、外端機和仲裁機。三機無論從軟件和硬件上均各自獨立。首先從硬件上來看,三機都用各自獨立的主板、內存及存儲設備。從軟件上來看,三機有各自獨立的操作系統。這樣能達到完全的三機獨立。對於“2+1”系統,“2”分為內端機和外端機兩個部分。從硬件上來看,二機分別獨立,但是從軟件上來看,分為內端機、外端機與仲裁機。由於仲裁系統沒有自己獨立的硬件架構,所以,仲裁系統只有附載在內端機和外端機的其中一端上面(一般附載在內端機上)。其中“2+1”中的“1”為傳輸介質,我們一般稱為“數據媒介”,只是一簡單的物理硬件,本身不具有操作系統,沒有任何智能,主要用於內外端機擺渡數據,而且只是簡單擺渡而已,不會對擺渡的信息作任何檢查或過濾。
上面這個是針對兩種結構的說明,下面在說下兩種不同結構產生所產生的效果:三機三系統,三機分別獨立。仲裁系統附載於與內外端機完全獨立的仲裁機上,仲裁機采用專用硬件和專用協議與內外端機相連,這樣仲裁系統與外界的TCP/IP協議完全隔離,任何人不可能通過通用的網絡協議連接到仲裁系統上,更不可能通過網絡協議來攻擊仲裁機或控制仲裁機。所以三機中的仲裁機是安全的、可靠的,是可以信賴的。
對於“2+1”的結構,由於其仲裁系統沒有自己獨立的硬件,所以其只有附載在內、外端機中的一端(一般附載在內端機上,有些網閘產品可能會附載在內外端機上,內外端機需要分開來配置的就是,相對來說安全性更低),由於內外端機在網絡中運行時,需要與網絡進行實時的通信,且仲裁系統附載在內、外端機上,所以仲裁系統就與內外端機一樣,是網絡協議可達的。既然仲裁系統通用協議可達,那么仲裁系統本身就有可能受來自網絡的攻擊,一旦仲裁系統受到黑客攻擊,轉而控制仲裁系統,那么黑客本身很有可能構建出對黑客本身不受控的通路,那么攻擊者就有可能對所隔離的客戶的重要機密信息作出各種非法的事情,這樣嚴重影響到隔離的效果,從而給用戶造成不可估量的損失,后果不堪設想。