隔离网闸与防火墙产品的比较

1、目录一般应用功能比拟1技术原理比拟1产品的软硬件架构区别2产品的定位区别2网闸与防火墙配合使用31、根本比照表网闸防火墙工业防火墙应用领域分级保护、等级保护的不同平安域边界，公安，金融、工业、军工、政府等多个领域用于不同平安级别的网络之间的平安隔离几乎所有的网络边界隔离工业控制网、多用于生产网不同平安域平安级别相同的网络边界之间。不用于生产网与外网办公网、互联网之间，其他行业应用较少。平安级别平安隔离介于物理隔离与逻辑隔离之间逻辑隔离逻辑隔离隔离部件专属物理隔离部件无无应用环境机房环境机房环境工业环境硬件结构2+1物理结构单主机软件结构单主机软件结构适应的协议默认支持标准的TCP/UDP协议或

2、基于上述协议开发的自定义协议，支持文件同步和数据库同步，应用广泛，特殊的非基于上述标准协议的工业协议，需定制开发。支持主要互联网协议，高级防火墙可支持的协议多大上千种支持工业以太网协议，目前以公开的基准母协议约20个左右，经过改良和再开发的协议多大几百种。功能在注重平安性根底上，支持大多数应用，广泛应用各个行业。功能丰富，几乎支持所有业务应用适用于工业环境，稳定性好；路由静态路由广泛路由功能广泛路由功能性能相对同级别防火墙低10%左右，各个层次均有，目前有万兆设备；各层次均有各层次均有日志关注隔离数据交换的日志和严重平安威胁记录，支持SYSlog；全面日志功能较全面日志价格10万几十万都有几百

3、到几十万的都有110万左右资质全面具有公安部，保密局、国家信息平安认证中心，军队信息平安认证中心等最高平安隔离级别认证证书全面，均是逻辑隔离平安类别证书，由低级别到高级别均有与防火墙类似，属逻辑隔离类别证书；个别过平安给级别认证均是二级以下；开发商数量多是平安领域的专属厂商，需要较高的平安研发生产水平，行业壁垒高；多数厂家采用OEM生产。公开技术，开发商和产品众多，水平参差不齐多是原工业研究所或三产推出的，依托自身行业背景定制开发工业应用，在开源防火墙根底上修改，自身研发实力有限，行业壁垒表达在行业背景。2、传统平安产品的主要问题l 自身平安性缺乏。平安产品的防御前提是自身平安性，目前防火墙、

4、IDS等平安产品均采用单主机结构，其操作系统、系统软件和配置策略特征库等均直接面对外网，软件设计的漏洞、系统策略配置失误，操作系统的漏洞等经常造成防火墙被攻破，绕过和破坏，导致网关防御失效。l 平安控制机制滞后。防火墙、防病毒等普遍采用特征库、制订静态访问规那么的被动防御方式，需要不断更新特征库和添加策略，无法适应现今网络攻击快速变种、传播的特征，陷入不断升级的怪圈，并对平安管理人员提出了更高的技术要求和管理要求。 内网平安防御缺乏。防火墙、IDS等主流平安系统的设计主要考虑外网对内网的攻击，而内网用户对外访问方面控制力度较弱，导致敏感信息泄漏、木马后门程序驻留等平安问题。1、 从硬件架构来说

5、，网闸是双主机+隔离硬件，防火墙、入侵检测是单主机系统；防火墙和入侵检测的主机操作系统、系统软件和应用软件，访问控制策略和特征库等均运行在直接面对公网的主机上，平安风险和被渗透的可能性比拟高；网闸所以的平安策略和防护控制规那么均运行在内网主机上，外网访问经过协议剥离与重组，采用裸数据方式摆渡到内网，无法对平安策略和访问规那么造成破坏，因此，设备系统自身的平安性网闸要高得多；2、 网闸工作在应用层，而大多数防火墙、入侵检测工作在网络层，采用包过滤和特征库匹配方式进行平安检测和防护，对应用层、内容检查控制的级别低；虽然有代理型防火墙能够做到一些内容级检查，但是对应用类型支持有限，根本上只支持浏览、

6、邮件功能；同时网闸具备很多防火墙不具备的功能，数据库、文件同步、定制开发接口；3、 在数据交换机理上也不同，防火墙是工作在路由模式，入侵检测采用特征检查方式，直接进行数据包转发，网闸工作在主机模式，所有数据需要落地转换，完全进行协议剥离和重组，全面防护网络层和系统层的和未知攻击行为，并且完全屏蔽内部网络、主机信息，仅提供虚拟信息对外提供效劳；4、 防火墙内部、入侵检测内部均所有的TCP/IP会话都是在网络之间进行保持，存在被劫持和复用的风险；网闸上不存在内外网之间的回话，连接终止于内外网主机。从上边得知，无论从功能还是实现原理上讲，网闸和防火墙、入侵检测是完全不同的两个产品，防火墙是保证网络层

7、平安的边界平安工具、入侵检测是根据特征库对可能的入侵行为进行分析并阻断IPS，而平安隔离网闸重点是完全割断内外网的网络协议直接连通，采用裸数据转发机制，保护内部网络和主机的平安。因此两种产品由于定位的不同，因此不能相互取代。3、一般应用功能比拟1. 网闸采用21结构，核心隔离部件采用原始数据文件摆渡机制，较防火墙单主机，协议包转发机制平安性更高。2. 网闸平安控制策略存储在内网主机，较防火墙策略直接面对公网更平安；3. 网闸可采取主动提取数据方式从内外网获得数据进行内外网数据交换、进行内外网数据同步，且设备本身不开放端口，外网攻击行为无任何可能进入内网，防火墙无此功能；4. 网闸的管理配置均在

8、内网进行，在外网无任何管理控制接口，防火墙的管理配置直接面对公网，平安风险较高；隔离网闸的系统内部设计架构如下列图所示：从硬件架构来说，网闸是双主机+独立隔离开关硬件，防火墙是单主机系统；防火墙主机操作系统、系统软件和应用软件，访问控制策略和特征库等均运行在直接面对不可信端的单主机上，平安风险和被渗透的可能性比拟高；4、技术原理比拟1防火墙是基于特征库匹配的运作模式，因此它只能防止的攻击，对未知的攻击，它无能为力。对于新发现的攻击，即使现在是的攻击，但是由于可能未参加到它的特征库中通过版本补丁升级实现，也起不到保护的作用。升级的过程网络系统要中断效劳，影响效劳质量。而ViGap不是基于特征库匹

9、配的运作模式，它没有特征库的概念，它是通过基于协议RFC检查、拆包处理只传送有效数据局部和反射GAP实现它的保护能力的，既它能防止和未知的基于网络层和OS层的攻击，它不需要为特征库而打补丁。2防火墙和GAP的硬件结构不同，这才是它们的本质的不同。防火墙内外两个网络没有物理隔离装置，内外的客户/效劳器存在实际的连接，可能被黑客通过使用IP碎片包攻击或通过未知的攻击来旁路防火墙规那么库的检查，并通过修改规那么库使之成为一个网络层的简单路由器，这是防火墙就象一座没有士兵看守的桥一样，随便通行，此时，内部网络平安性可想而知。而ViGap内外两个网络是物理隔离的，因此黑客是不可能入侵到GAP的后端，即可

10、信网络端效劳器和可信网络内部网络，并且网络平安策略放在可信网络端，黑客不能访问到，更不能修改它。当然GAP的前端即不可信网络端效劳器是暴露在外部的攻击下，它也是我们系统的替罪羊，黑客可能攻击到它，并可能使它不能正常工作。即使这样，黑客也不能通过隔离的GAP入侵到可信网络端效劳器。可信网络端效劳器会时时检测不可信网络端效劳器的运行情况，在不可信网络端效劳器不能工作时，自动重新启动它，使它恢复正常，并有效地减少系统中断的时间，提高效劳质量。同时，在不可信网络端效劳器上我们安装了IDS系统来尽量防止它遭受来自外部的攻击。3ViGap能防止针对网络层和OS层的的和未知的攻击，而防火墙不能防止未知的攻击

11、。大家知道，半数以上的攻击是基于网络层和OS层的攻击，其中多数成功的攻击是采用人们还未知的攻击，特别是新OS的引入，各种漏洞和后门都潜在，容易被黑客利用，对于未知的攻击防火墙无能为力。这也是防火墙屡屡被攻穿的主要原因之一。5、产品的软硬件架构区别6、产品的定位区别F/W平安应用l 物理隔离l InternetZ隔离网闸7、网闸与防火墙配合使用防火墙作用：防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙的功能：防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。为什么使用防火墙：防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的平安防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些效劳，如视频流等，但至少这是你自己的保护选择。网闸和防火墙配合使用：l 国家保密局定义网闸为“平安隔离产品，认为其平安性介乎“物理隔离产品物理隔离卡和逻辑隔离产品防火墙“之间；l 网闸可以完全屏蔽内部网络的结构，具有更高的平安作用，因此利用其隔离平安特