MENU
首页 > 关于安盟 > 新闻资讯 > 正文
2022-09-23
安小盟话安全 | 深度解读网闸与防火墙的区别
最近,很多朋友咨询网闸和防火墙的区别,所以整理本文来与大家共同探讨。

1、类别差异
网闸和防火墙同属于边界网络安全防护类产品,国标分别对防火墙和网闸的工作机理做了区别定义,从而区分开了不同类别的安全防护产品。

(1)防火墙
国标《GB/T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法》中对防火墙的定义是“部署于不同安全域之间,对经过的数据进行解析,具备网络层、应用层访问控制及安全防护能力的网络安全产品”。
一般的,防火墙采用单主机的硬件架构,不会断开数据包的会话连接,只是对数据包进行检查和控制。因此,防火墙可以有透明模式,网络接口可以不设置IP地址,不做路由功能。这类似于X光机在不干预的情景下对通过的人员或物体进行安全检查。

安盟华御防火墙

(2)网闸
网闸,公安部销售许可认证名称为“安全隔离与信息交换系统”。由于类似于船闸对网络间的数据进行摆渡交换,所以俗称为网闸。
国标《GB/T 20279-2015 信息安全技术 网络和终端隔离产品 安全技术要求》中对网闸的定义是“位于两个不同安全域之间,采用协议隔离技术在网络上实现不同安全域间信息交换的产品”。
其中国标对协议隔离的定义为“处于不同安全域的网络在物理上是有连接的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。”
注:“协议转换”是指协议的剥离化重建。在所属网闸的一主机端,把公共协议中的应用数据剥离出来,并封装为系统专用协议,通过隔离交换部件摆渡传递至网闸的另一主机端,再将专用协议剥离,并封装成需要公共协议的格式。
这就要求网闸必须采用“两主机+专用隔离部件”的硬件架构,类似于河流中的船闸工作原理,实现摆渡不同安全域间的数据。需要强调是,在任一时刻,网闸保证了安全域间网络物理连接断开,没有会话直接连接,从实现安全域间的高安全隔离。

安盟华御安全隔离与信息交换系统(简称网闸)

2、两者差异

(1)硬件架构差异
• 防火墙:采用单主机的硬件架构。
• 网闸:采用“两主机+专用隔离部件”的硬件架构。
网闸优势:通过专用隔离部件,实现安全域间网络物理连接断开,没有会话直接连接,从实现安全域间的高安全隔离。

(2)产品定位差异
• 防火墙:以网络互通为前提,尽量保证安全。
• 网闸:以保证高安全为前提,做可控的信息交换。
网闸优势:网闸的安全隔离是默认禁止任何数据传输,牺牲自我来阻断攻击。

(3)数据处理差异
• 防火墙:采用“包过滤+协议检查”数据处理机制。只支持客户端对服务端的访问,对会话进行检查,不断开会话。
• 网闸:采用“代理+隔离摆渡”数据处理机制。
1)满足“安全域间数据同步”的高安全需求,防火墙无法应用的网络场景。
例如:网闸两侧安全域的文件服务器(或数据库服务器)中文件(或数据表内容)的同步。网闸从一侧直接主动取文件,通过检查和过滤后,摆渡到另一侧网络,主动上传到指定服务器中。
2)满足“网络间代理交换”的高安全需求,防火墙无法应用的网络场景。
例如:网闸部署于工业生产网和管理信息网之间。网闸的一侧主机主动到生产网的OPC服务器上取数据,然后摆渡到另一侧主机,被管理信息网的MES系统采集走。从而,规避OPC服务器被攻击。
3)支持对客户端对服务端的访问,代理形式实现,断开会话和网络,管控内容和质量。

3、两者关系
如果把防火墙比作银行的安检门或保安,那网闸就是金库大门了,两个产品大类相对独立,不可相互替代。下图为业务专网边界安全隔离典型应用场景。



防火墙以“保证网络互通前提下保障安全”,采用状态包检测机制,对数据包进行五元组检查,策略一般是严进宽出,一般的内网向外全部放开,对数据包实现高性能的处理。
网闸以“保证高安全前提下保障业务互通”采用两网代理的工作机制,实现严进严出。客户在购买网闸产品时,一定已经有防火墙或同步会购买防火墙,直接面对外联网络的是防火墙,但想更加安全保护内部网就会选择网闸。

下面以医院的三种应用情况为例做一下说明。
(1)互联网直接与医院业务网互联,会是“互联网—防火墙—前置服务器—网闸—业务网”的结构。
(2)互联网通过办公网与医院业务网互联,会是“互联网—防火墙—办公网—网闸—业务网”的结构。
(3)社保网、银行网络与医院业务网互联,会是“外联专网—防火墙—前置服务器—网闸—业务网”的结构。

如公安、国土、交通等等其他行业的应用都是与医院类似。
另外,生产型企业(如石油石化)的生产网与办公网互联时,网闸已经是标配,防火墙会在互联网与办公网的边界、办公网的ERP安全域与MES安全域之间。

4、总结
综上,无论从功能还是实现原理上看,防火墙与网闸是完全不同的两个产品大类,产品定位不同,是不能相互取代的,需要基于安全防护的目的不同,来分别选择。

关闭
上一篇: 无

相关新闻