为保证涉密网络的安全运行,部署安全隔离网闸被认为是一个行之有效的安全保密措施。但在某些敏感行业应用中,不仅需要在内部信任网络与外部非信任网络之间实施安全隔离,而且还需要保证业务数据单向传输,防止内部可信网络中的重要信息外泄。传统隔离网闸虽然能够满足网络隔离的安全要求,但不支持业务数据的单向传输控制。本文基于应用过滤技术,提出“命令双向、数据单向”的模型,并实现协议单向网闸系统。本文主要工作如下:1.对国内外的网络隔离技术发展历程即五代隔离技术进行了分析比较,研究网闸产品的基本原理,对专用交换卡信息摆渡、私有协议以及TCP与UDP应用数据交换技术进行了研究。2.深入研究以流过滤为代表的深度应用过滤技术,提出可扩展性、移植性高的应用层安全检测框架与应用协议识别方法。基于应用层流过滤方法,在安全隔离的基础上支持应用协议的深度分析。3.针对行业特定应用,研究应用协议单向传输控制技术,提出“命令双向、数据单向”的模型。研究应用协议单向传输处理流程,以FTP为例实现应用数据单向传输控制。本文研究工作已应用于相关部门特定系统中,满足了一线业务应用部署要求,有效防止敏感数据泄密。与传统网闸产品相比,本文的研究进一步提升了安全性,保证业务应用数据的“只进不出”。