传统的网关设备,作为网络中的一个节点,主要用于连接两个使用不同通信协议的网络。然而,如今随着网络安全问题的增多,使用网关设备为其所在的内部网络提供安全网络安全防护也变得更加重要。安全隔离与信息交换技术把内部和外部网络隔离开,使其不能直接进行通信,是网关设备提供安全防护最为适用的技术。目前的隔离交换技术基本都是基于网络层的,这对于使用TCP进行传输的应用层协议而言,由于无法对完整的数据流进行还原,单纯的IP包过滤无法对可能存在于TCP数据流中的安全威胁进行有效检测以及应对更深层次的网络攻击。深度的安全过滤必须要对应用协议交互的会话状态进行跟踪,提供会话层的安全保护。针对现有隔离交换技术的以上问题,本文设计并实现了一种基于传输层隔离与交换并结合流过滤机制的安全隔离网关设备,主要的研究内容以及创新点如下:(1)针对传统的基于网络层的隔离与交换技术无法对使用TCP的应用协议安全提供保护的缺陷,分析了分割TCP连接技术在隔离网关中实现的可能性,提出了一种基于传输层的安全隔离与交换技术,使得隔离网关作为中间介质隔离了通信双方在传输层以上的直接交互,并可直接获取到连接双方经过重组的TCP数据流,进而实现对应用层的深度安全过滤。(2)基于目前分割TCP连接技术中所存在的缓冲管理困难以及隔离网关中存在大量TCP连接条件下如何实现高效I/O控制的问题,给出了在分割连接条件下的I/O控制算法。实验结果显示,分割连接所带来的负载对于网关的网络传输性能影响在链路延迟较低情况下只有大约20%。(3)针对本文提出的安全过滤的负载可能对网关原始通信功能产生影响的问题,设计了一种分布式的安全负载架构,并对可能存在的拒绝服务攻击提出了一种网络协议栈的优化算法,该算法通过预淘汰机制对可能存在恶意的SYN进行过滤,直到三次握手完成之后才为该连接分配资源。本文最后搭建了系统的测试环境,经过实验分析表明,隔离网关实现了对内部网络的安全防护,并降低了隔离交换负载对于网关传输性能的影响。