-
解决方案
2020-11-24干货分析|一文读懂网闸与防火墙的区别防火墙简介:防火墙被称为网络安全防线中的第一道门槛,其包括包过滤、状态检测、应用代理等基本功能。目前主流的状态检测不但可以实现基于网络层的IP包头和TCP包头的策略控制,还可以跟踪TCP会话状态,给用户提供了安全和效能的很好结合。网闸简介:网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。使主机系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。
网闸与防火墙对比:
对比项
防火墙
网闸
网闸优势
硬件架构
单主机架构
2主机单元+专用隔离部件
屏蔽针对传输层及以下的攻击,如IP分片攻击等--针对分片数据缓存,还原原始会话在过滤,防护攻击服务器耗费服务器的性能
功能定位
互通为前提,尽量保证安全
安全为前提,做可控的信息交换
默认禁止任何数据传输
通信原理
包过滤/单机代理
两端分别代理
内部采用私有协议通信可尝试突破系统代理机制的恶意访问----避免抓包分析可解读协议
应用处理
关键命令字过滤
模块协议信令、参数均可过滤
可屏蔽针对应用协议的非授权访问,可定制协议通信白名单--信令控制如http的某个网页,ftp的某种行为。
会话控制
单包控制/状态控制
控制完整会话
可屏蔽恶意行为被分包后检查不出威胁的风险--信令控制+数据缓存还原
通信模式
被动过滤
会话代理与主动同步(文件同步,数据库同步)
自身不提供服务端口可屏蔽针对任何应用服务的攻击--只针对内置的主动传输生效。
安全性对比:防火墙(1)产品是基于策略的逻辑隔离,因此无法阻止因TCP/IP协议自身的漏洞而进行的攻击。(2)防火墙与IPS都需要依赖攻击特征规则库阻止外部威胁,但是当前黑客的攻击技术与手段变得越来越先进和隐蔽,用特征规则匹配的方式进行防护也越来越困难。网闸(1)网闸仅允许指定静态数据进行交换,对外不接受请求,因此木马病毒等程序无法通过安全隔离网闸进行通信。(2)网闸支持代理、同步两大类功能,对于文件同步、数据库同步类功能,网闸自身不提供服务端口,即可屏蔽针对任何应用服务的攻击。简单的理解如下:把网络的边界比喻为一条河,河两边分别为内网外网。防火墙类似于一座桥,桥两头设立了检查站(策略),检查进出车辆(数据)信息是否符合准入条件(五元组等),放行后车辆需要自己开过去,防火墙只是检查和控制准入,相当于原本正常的路上设了一道检查站。网闸就像是河上的一条摆渡船,河这边的人想去对岸,必须先上船,这个期间对面的人也只能等船靠岸后再乘船过河。这个船就是网闸自己起的一个代理,内网数据不能直接与外网通信,需要先与网闸的代理ip建立通信,外网只能访问网闸的代理ip。
两者的本质区别为防火墙的数据通信是基于二三层直接通信,而网闸是通过应用层代理的交接传输。总体来说,防火墙是保证网络层安全的边界安全工具,而网闸重点是保护内部网络的安全。产品定位不同,因此两种产品是不能相互取代的。相关新闻
-
2025-08-16
-
2025-08-06
-
2025-07-30
-
2025-06-24
-
2025-06-20
-