网闸与防火墙的区别

防火墙与网闸对比文档网闸介绍网闸在国内的叫法很多，有的叫安全隔离网闸、物理隔离网闸、安全隔离与信息交换系统，但都是为了实现同一个安全目标而设计的，那就是确保安全的前提下实现有限的数据交流。

这点是与防火墙的设计理念截然不同的，防火墙的设计初衷是为了保证网络连通的前提下提供有限的安全策略。

正是设计目标的不同，所以注定了网闸并不是适用于所有的应用环境，而是只能在一些特定的应用领域进行应用。

目前国内做网闸的厂家不少，一般支持WEB、MAIL、SQL、文件几大应用，个别厂家支持视频会议的应用。

在TCP/IP协议层上又划分出单向产品和双向产品，双向产品属于应用层存在交互的应用如WEB、MAIL、SQL等常见应用都是双向应用。

单向应用意为应用层单向，指的是在应用层切断交互的能力，数据只能由一侧主动向另一侧发送，多应用于工业控制系统的DCS网络与MIS网络之间的监控数据传输，这类产品由于在应用层不存在交互所以安全性也是最好的。

大家看了上面的部分一定会想WEB、MAIL、SQL这类应用防火墙也能做到很好的保护啊，网闸的优势在呢？首先要说到网闸的硬件设计了。

网闸为了强调隔离，多采用2＋1的硬件设计方式，即内网主机＋专用隔离硬件（也称隔离岛）＋外网主机，报文到达一侧主机后对报文的每个层面进行监测，符合规则的将报文拆解，形成所谓的裸数据，交由专用隔离硬件摆渡到另一侧，摆渡过程采用非协议方式，逻辑上内外主机在同一时刻不存在连接，起到彻底切断协议连接的目的。

数据摆渡过来后内网对其进行应用层监测，符合规则的由该主机从新打包将数据发送到目标主机。

而防火墙对数据包的处理是不会拆解数据包的，防火墙只是做简单的转发工作，对转发的数据保进行协议检查后符合规则的过去，不符合规则的丢掉，防火墙两边主机是直接进行通讯的。

网闸由于切断了内外主机之间的直接通讯，连接是通过间接的与网闸建立里连接而实现的，所以外部网络是无法知道受保护网络的真实IP地址的，也无法通过数据包的指纹对目标主机进行软件版本、操作系统的判断。

网闸和防火墙最大的区别是什么呢？安全网闸技术是模拟人工拷盘的工作模式,通过电子开关的快速切换实现两个不同网段的数据交换的物理隔离安全技术。

安全网闸技术在安全技术领域源于被称之为GAP，又称为Air Gap的安全技术，它本意是指由空气形成的用于隔离的缝隙。

在网络安全技术中，主要指通过专用的硬件设备在物理不连通的情况下，实现两个独立网络之间的数据安全交换和资源共享。

其原理如图：（略）它由三个组件构成：A网处理机、B网处理机和GAP开关设备。

我们可以很清楚地看到连接两个网络的GAP设备不能同时连接到相互独立的A网和B网中，即GAP在某一时刻只与其中某个网络相连。

GAP设备连接A网时，它是与B网断开的，A网处理机把数据放入GAP中；GAP在接收完数据后自动切换到B网，同时，GAP与A网断开；B网处理机从GAP中取出数据，并根据合法数据的规则进行严格的检查，判断这些数据是否合法，若为非法数据，则删除它们。

同理，B网也以同样的方式通过GAP 将数据安全地交换到A网中。

从A网处理机往GAP放入数据开始，到B网处理机从GAP中取出数据并检查结束，就完成了一次数据交换。

GAP就这样在A网处理机与B 网处理机之间来回往复地进行实时数据交换。

在通过GAP交换数据的同时，A网和B网依然是隔离的。

安全网闸是如何来保证在两个网络之间的安全性呢？首先，这两个网络一直是隔离的，在两个网络之间只能通过GAP来交换数据，当两个网络的处理机或GAP三者中的任何一个设备出现问题时，都无法通过GAP进入另一个网络，因为它们之间没有物理连接；第二，GAP只交换数据，不直接传输TCP/IP，这样避免了TCP/IP的漏洞；第三，任何一方接收到数据，都要对数据进行严格的内容检测和病毒扫描，严格控制非法数据的交流。

GAP的安全性高低关键在于其对数据内容检测的强弱。

若不做任何检测，虽然是隔离的两个网络，也能传输非法数据、病毒、木马，甚至利用应用协议漏洞通过GAP设备从一个网络直接进入另一个网络。

网闸和防火墙的区别、网闸主要特点网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。

其信息流一般为通用应用服务。

网闸的“闸”字取自于船闸的意思，在信息摆渡的过程中内外网（上下游）从未发生物理连接，所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。

现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品，不符合物理隔离标准。

其只是一个包过滤的安全产品，类似防火墙。

网闸技术是模拟人工拷盘的工作模式,通过电子开关的快速切换实现两个不同网段的数据交换的物理隔离安全技术。

网闸技术在安全技术领域源于被称之为GAP，又称为Air Gap的安全技术，它本意是指由空气形成的用于隔离的缝隙。

在网络安全技术中，主要指通过专用的硬件设备在物理不连通的情况下，实现两个独立网络之间的数据安全交换和资源共享。

下面贤集网小编来为大家介绍网闸和防火墙的区别、网闸主要特点、网闸技术要求及网闸常见问题解答。

一起来看看吧！网闸和防火墙的区别1、应用场景区别网闸和防火墙的应用场景是不同的，网络已经存在考虑安全问题上防火墙，但首先要保证网络的连通性，其次才是安全问题，网闸是保证安全的基础上进行数据交换，网闸是两个网络已经存在，现在两个网络不得不互联，互联就要保证安全，网闸是现在唯一最安全的网络边界安全隔离的产品，只有网闸这种产品才能解决这个问题，所以必须用网闸。

2、硬件区别防火墙是单主机架构，早期使用包过滤的技术，网闸是双主机2+1架构，通过私有的协议摆渡的方式进行数据交换，基于会话的检测机制，由于网闸是双主机结构，即使外网端被攻破，由于内部使用私有协议互通，没办法攻击到内网，防火墙是单主机结构，如果被攻击了，就会导致内网完全暴露给别人。

图1：防火墙单主机架构图2：网闸双主机2+1架构3、功能区别网闸主要包含两大类功能访问类功能和同步类功能，访问类功能类似于防火墙，网闸相对于防火墙安全性更高的是同步类功能。

意源IB-NPS3000和防火墙的区别1、几种产品概念防火墙是访问控制类产品，会在不破坏网络连通的情况下进行访问控制，要尽可能地保证连通。

看看今天的防火墙功能就知道，要支持FTP、QQ、H.323、组播、VLAN、透明桥接等内容，如果网络不通就要遭受被拿下的命运。

防火墙并不保证放行数据的安全性，用户必须开放80端口来提供Web服务，基于80端口的DDoS拒绝服务攻击就很难避免了。

VPN是保证数据传输的保密性产品，能保证加密的数据在经过公网时，即便被窃听也不会泄密和破坏完整性，但并不会让用户免受攻击和入侵的威胁。

我们可以想像一下，如果电信公司在中国和美国的国际出口处使用VPN，中国的黑客照样攻击美国的网站，美国的黑客也照样攻击中国的网站。

VPN只是一种强度较高的加密，强度不当的VPN本身照样被解密或破解，照样可以被攻击。

VPN是侧重于通讯过程中的数据保密功能。

物理隔离技术，不是要替代防火墙，入侵检测和防病毒系统，相反，它是用户“深度防御”的安全策略的另外一块基石，一般用来保护用户的“核心”。

物理隔离技术，是绝对要解决互联网的安全问题。

隔离网闸则在网络断开的情况下，以非网络方式进行文件交换，实现信息的共享。

隔离网闸的原则是不安全则断开，保证断开，而不是交换数据。

网闸的核心技术是如何实现断开，如何以非网络方式安全地交换数据，如何满足用户的应用要求。

隔离网闸的定位清晰，就是网络断开。

网络断开就是不通，不支持任何应用，没有功能；不通是正常的，什么都通是不正常的。

即在网闸发生故障的时候，隔离装置始终是断开的，只与其中一边相连，隔离网闸解决目前防火墙存在的根本问题：●防火墙对操作系统的依赖，因为操作系统也有漏洞●TCP/IP的协议漏洞●防火墙、内网和DMZ同时直接连接●应用协议的漏洞●文件带有病毒和恶意代码物理隔离的指导思想与防火墙有最大的不同：（1）防火墙的思路是在保障互联互通的前提下，尽可能安全，而（2）物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。

电子政务安全首选网闸隔离如今，网络隔离技术已经得到越来越多用户的重视，重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。

目前世界上主要有三类隔离网闸技术，即SCSI技术，双端口RAM技术和物理单向传输技术。

SCSI是典型的拷盘交换技术，双端口RAM也是模拟拷盘技术，物理单向传输技术则是二极管单向技术。

随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重，防火墙的攻破率不断上升，在政府、军队、企业等领域，由于核心部门的信息安全关系着国家安全、社会稳定，因此迫切需要比传统产品更为可靠的技术防护措施。

物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。

在电子政务建设中，我们会遇到安全域的问题，安全域是以信息涉密程度划分的网络空间。

涉密域就是涉及国家秘密的网络空间。

非涉密域就是不涉及国家的秘密，但是涉及到本单位，本部门或者本系统的工作秘密的网络空间。

公共服务域是指不涉及国家秘密也不涉及工作秘密，是一个向互联网络完全开放的公共信息交换空间。

国家有关文件就严格规定，政务的内网和政务的外网要实行严格的物理隔离。

政务的外网和互联网络要实行逻辑隔离，按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，互联网就是公共服务域。

国家有关研究机构已经研究了安全网闸技术，以后根据需求，还会有更好的网闸技术出现。

通过安全网闸，把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备，由此开始，网闸产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点。

网闸的概念网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议”摆渡”，且对固态存储介质只有”读”和”写”两个命令。

网闸工作原理一、引言网闸是网络安全的重要组成部分，它能够有效地保护网络免受恶意攻击和未经授权的访问。

本文将详细介绍网闸的工作原理，包括其基本概念、功能和工作流程。

二、基本概念1. 网闸：网闸是一种网络设备，用于监控和控制网络流量，实现网络访问的安全性和可靠性。

2. 传输层：传输层是网络协议栈中的一层，负责在网络中传输数据，常用的传输层协议有TCP和UDP。

3. 防火墙：防火墙是一种网络安全设备，用于监控和控制网络流量，阻止未经授权的访问和恶意攻击。

三、功能网闸主要具有以下功能：1. 访问控制：网闸可以根据预设的策略，对进出网络的数据进行控制和过滤，防止未经授权的访问和恶意攻击。

2. 流量监控：网闸可以监控网络中的流量，包括流量的来源、目的地、协议等信息，帮助管理员了解网络的使用情况和流量模式。

3. 安全审计：网闸可以记录网络中的所有访问和活动，并生成相应的日志，以便对网络安全事件进行审计和调查。

4. 攻击防护：网闸可以检测和阻止各种网络攻击，如DDoS攻击、SQL注入等，保护网络免受恶意攻击的影响。

5. VPN支持：网闸可以提供虚拟私有网络（VPN）的支持，实现远程用户的安全接入和数据传输。

四、工作流程网闸的工作流程通常包括以下几个步骤：1. 流量监测：网闸首先监测网络中的流量，包括进出网络的数据包，以及流量的来源和目的地等信息。

2. 访问控制：根据预设的策略，网闸对流量进行访问控制，阻止未经授权的访问和恶意攻击。

这包括对数据包的过滤、拦截和重定向等操作。

3. 安全审计：网闸记录网络中的所有访问和活动，并生成相应的日志，以便对网络安全事件进行审计和调查。

4. 攻击防护：网闸使用各种技术手段，如入侵检测系统（IDS）、入侵防御系统（IPS）等，检测和阻止各种网络攻击，保护网络的安全性。

5. VPN支持：网闸提供虚拟私有网络（VPN）的支持，实现远程用户的安全接入和数据传输。

通过加密和隧道技术，保证数据的机密性和完整性。

防火墙与网闸对比文档网闸与防火墙的区别：防火墙与安全隔离网闸的最大区别可以从两个方面来谈：1.设计理念的不同在设计理念方面，防火墙是以应用为主安全为辅，也就是说在支持尽可能多的应用的前提下，来保证使用的安全。

防火墙的这一设计理念使得它可以广泛地用于尽可能多的领域，拥有更加广泛的市场。

而网闸则是以安全为主，在保证安全的前提下，支持尽可能多地应用。

网闸主要用于安全性要求极高的领域，例如对政府网络，工业控制系统的保护等等。

显然，由于把安全性放在首位，这样就会有更加严格的安全规则和更多地限制，因此可以应用的范围也较防火墙少一些，主要用于那些对安全性要求较高的环境下。

相反防火墙可以应用于非常广泛的应用领域，甚至包括个人电脑都可以使用，但是它的安全性往往就差强人意。

人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。

现在有很多网络攻击都是发生在有防火墙的情况下，根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下。

由于这种设计理念的区别，因此可以有软件防火墙，但是却不会有软件网闸。

2.系统的整体设计完全不同由于设计理念的不同也导致系统的整体设计也完全不同。

硬件防火墙虽然可以有多种设计方式，但是一般来说，它都是单一的计算机系统由一个操作系统来控制构的，用户的内网和外网都连接在这同一个系统上，一旦这个系统的操作系统或协议栈被攻破，那么这个防火墙的不仅不能保护内网，还会被入侵者或黑剥离出来，然后经隔离岛交换。

在网闸内部的两个处理单元间的数据交换是非标准协议的传输。

由于标准协议要支持尽可能完善的网络功能以及适应不同的网络环境和协议，所以及其负杂，也容易造成漏洞，而且通用协议的漏洞被广泛地暴露和传播，非常易于被攻击。

相反，由于在网闸的内部两个处理单元经由隔离岛的数据交换不存在适应不同的网络环境和协议的问题，只是内部数据的交换，因此既可以设计得更加简单和安全，而且也很容易避免设计的漏洞。

另外，从深度防御（Defense in 口0口齿）的角度考虑，采用2+1结构的隔离网闸也要比只有一层屏障的防火墙的设计要安全得多，当然设计的难度也要高得多。

想了解网闸的客户，一定会有这个疑问，到底网闸和防火墙的区别是什么？我们先恶补一下防火墙的发展历史：我记得我见过的第一台防火墙Cisco PIX 515E，记得当时R升级UR是要花钱的，美国发过来的货是不带3DES加密的。

是这个样子的:防火墙的发展大致分为三个阶段：第一阶段（1989-1994）1、1989年产生了包过滤防火墙，可以实现简单的访问控制，属于第一代防火墙。

2、随后出现了代理防火墙，在应用层代理内部和外部的通讯，代理安全性很高，但是速度很慢，属于第二代防火墙。

3、1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙，通过分析报文状态来决定报文的动作，不需要为每个应用层序都进行代理，处理速度快而且安全性高，状态检测防火墙被称为第三代防火墙。

注：说实话我也不太了解这个阶段，因为我当时还是个小屁孩。

第二阶段（1995-2004）1、状态检测已经称为趋势，防火墙开始增加一些功能，例如VPN功能，同时一些专用设备出现了雏形，比如专门保护Web服务器的WAF，有人读挖夫，有人读外夫。

2、2004年出现UTM（统一威胁管理）概念，就是将传统的防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上，实现全面的安全防护。

第三阶段（2005年至今）1、2004年之后UTM得到了快速发展，但是出现了新的问题，针对应用层信息检测受限，此时就需要通过更高级的检测手段，使DPI 技术得到了广泛应用，其次是性能问题，多个功能同时使用，UTM性能会严重下降。

2、2008年Palo Alto Networks发布了下一代防火墙，解决了多个功能同时运行性能下降的问题，下一代防火墙还可以基于用户、应用、内容进行管理。

3、2009年Gartner对下一代防火墙进行了定义，明确下一代防火墙应具备的特性，随后各个厂商推出了自己的下一代防火墙。

这里主要以下一代防火墙为例：首先我们看看下一代防火墙的硬件构成，主要有三种硬件平台：1、mips平台，早起的嵌入式开发平台，现在仍然有使用。

网闸和防火墙的区别1 网闸和防火墙的区别.物理隔离网闸常见概念问题解答物理隔离网闸需要哪些“许可证”？答：根据我国计算机网络安全管理的规定，物理隔离网闸需要取得公安部、国家保密局和中国信息安全测评认证中心的安全产品的测评认证证书。

在此基础上，进入军事领域，还需要军队测评认证中心的认证证书。

物理隔离网闸是硬件还是软件解决方案？答：物理隔离网闸包含两个独立的主机系统和一套固态开关读写介质系统，属于硬件解决方案。

但是物理隔离可以通过模块定制来满足行业个性化的需求。

物理隔离网闸是不是防火墙的一种？答：物理隔离网闸不是防火墙的一种。

就像路由器中也带有访问控制的功能一样，但路由器不是防火墙的一种。

防火墙是检查设备；物理隔离网闸是隔离设备。

防火墙的逻辑是在保证连接连通的情况下尽可能安全；物理隔离的逻辑则是如果不能保证安全的情况下则断开。

物理隔离网闸与物理隔离卡是不是一回事？答：不是一回事。

物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，甚至只可能在Windows环境下工作，每次切换都需要开关机一次。

物理隔离网闸是物理隔离的高级实现形式，网闸可以管理整个网络，不需要开关机。

网闸实现后，原则上不再需要物理隔离卡。

物理隔离网闸与安全隔离网闸是不是一回事？答：不是一回事。

安全隔离是一种逻辑隔离，防火墙就是一种逻辑隔离，因此防火墙也是一种安全隔离。

有些厂商对安全隔离增加了一些特点，如采用了双主机结构，但双主机之间却是通过包来转发的。

无论双主机之间采用了多么严格的安全检查，但只要是包转发，就存在基于包的安全漏洞，存在对包的攻击。

这在本质上同两个防火墙串联并无本质的差别。

安全隔离网闸存在哪些形式？答：从目前已经发现的安全隔离网闸，包括以下类型：通过串口或并口来实现双主机之间的包转发，通过USB或1394或firewire（火线）等方式来实现双主机之间的包转发，甚至是直接通过以太线来实现双主机之间的包转发，以及其他任何形式的通信方式来实现双主机之间的包转发如专用ASIC开关电路，ATM，Myrinet卡等，都是安全隔离网闸，但都不是物理隔离网闸。

网闸与防火墙的概念及功能区别网闸与防火墙一样就是网络安全边界的安全产品,其发挥的作用都不可轻视。

但它们究竟有哪些不一样拉？就是不就是有了防火墙安全性就安枕无忧拉？或者说网闸的出现就是为了取替防火墙的么？两者有哪些区别下边罗列一二:1、从硬件架构来说,网闸就是双主机+隔离硬件,防火墙就是单主机系统,系统自身的安全性网闸要高得多;2、网闸工作在应用层,而大多数防火墙工作在网络层,对内容检查控制的级别低;虽然有代理型防火墙能够做到一些内容级检查,但就是对应用类型支持有限,基本上只支持浏览、邮件功能;同时网闸具备很多防火墙不具备的功能,数据库、文件同步、定制开发接口;3、在数据交换机理上也不同,防火墙就是工作在路由模式,直接进行数据包转发,网闸工作在主机模式,所有数据需要落地转换,完全屏蔽内部网络信息;4、最后,防火墙内部所有的TCP/IP会话都就是在网络之间进行保持,存在被劫持与复用的风险;网闸上不存在内外网之间的回话,连接终止于内外网主机。

从上边得知,无论从功能还就是实现原理上讲,网闸与防火墙就是完全不同的两个产品,防火墙就是保证网络层安全的边界安全工具(如通常的非军事化区),而安全隔离网闸重点就是保护内部网络的安全。

因此两种产品由于定位的不同,因此不能相互取代。

两者的定位已经有明显的区别,彼此的作用都各适其所。

也可以说,两者在发挥作用方面没有重复,只有互补。

以下就是网闸与防火墙在概念及安全手段上的处理结果:法通过不受任何一端控制的安全通道进入内网(安全域)。

数据(敏感关键字、病毒、木马等) 信息摆渡的机制使的数据如同一个人拿着U盘在两台计算机之间拷贝文件,并且在拷贝之前会基于文件的检查(内容审查、病毒查杀等),可使数据的威胁减至最低。

可过滤部分明文关键字。

⽹闸与防⽕墙区别⽹闸与防⽕墙都是⽹络安全边界的安全产品，其发挥的作⽤都不可轻视。

但它们究竟有哪些不⼀样？是不是有了防⽕墙安全性就⾼枕⽆忧？或是⽹闸的出现是为了取替防⽕墙？⼀、主要区别1、从硬件架构来说，⽹闸是双主机+隔离硬件，防⽕墙是单主机系统，系统⾃⾝的安全性⽹闸要⾼得多；2、⽹闸⼯作在应⽤层，⽽⼤多数防⽕墙⼯作在⽹络层，对内容检查控制的级别低；虽然有代理型防⽕墙能够做到⼀些内容级检查，但是对应⽤类型⽀持有限，基本上只⽀持浏览、邮件功能；同时⽹闸具备很多防⽕墙不具备的功能，数据库、⽂件同步、定制开发接⼝；3、在数据交换机理上也不同，防⽕墙是⼯作在路由模式，直接进⾏数据包转发，⽹闸⼯作在主机模式，所有数据需要落地转换，完全屏蔽内部⽹络信息；4、最后，防⽕墙内部所有的TCP/IP会话都是在⽹络之间进⾏保持，存在被劫持和复⽤的风险；⽹闸上不存在内外⽹之间的回话，连接终⽌于内外⽹主机。

从上边得知，⽆论从功能还是实现原理上讲，⽹闸和防⽕墙是完全不同的两个产品，防⽕墙是保证⽹络层安全的边界安全⼯具（如通常的⾮军事化区），⽽安全隔离⽹闸重点是保护内部⽹络的安全。

因此两种产品由于定位的不同，因此不能相互取代。

两者的定位已经有明显的区别，彼此的作⽤都各适其所。

也可以说，两者在发挥作⽤⽅⾯没有重复，只有互补。

以下是⽹闸与防⽕墙在概念及安全⼿段上的处理结果：⼆、⽹闸与防⽕墙的安全概念区别安全隔离与信息交换系统（⽹闸）防⽕墙在保证⽹络隔离的前提下进⾏有限的信息交换。

在保证⽹络通畅访问的同时，进⾏⼀些安全过滤（IP、端⼝）。

三、⽹闸与防⽕墙的安全功能区别⾯临的威胁⽹闸的处理及结果防⽕墙的处理及结果物理层窃听、攻击、⼲扰物理通路的切断使之⽆法实施⽆法避免链路、⽹络及通讯层威胁物理通路的切断使之上的协议终⽌，相应的攻击⾏为⽆法奏效通过⽩名单+⿊名单的机制，控制IP、端⼝等⼿段可避免部分协议层攻击⾏为应⽤攻击（CC、溢出、越权访问等）由于物理通路的切断、单向控制及其之上的协议的终⽌，使此类攻击⾏为⽆法进⼊内⽹（安全域）。

物理隔离网闸与隔离卡的对比物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，需要对每台计算机进行配置，每次切换都需要开关机一次，使用起来极为不便。

双硬盘的硬件平台管理很繁琐，也会使得整个网络的架设和维护费用显著升高。

此外，用隔离卡设计的网络要有两套完全一样的网络（双倍的连线，双倍的网络设备），每台机器上要双网卡，双硬盘。

不仅仅安装维护极不方便，维护费用也高，升级和扩展的费用多成倍增加。

物理隔离卡安全性低，只能通过手动的开关达到所谓“物理隔离”的效果。

最重要的，物理隔离网闸是对整个网络进行隔离，只要安装一台物理隔离网闸，而不是每台计算机上安装一块物理隔离卡，就可以防护内网的所有计算机，网络结构极为简单，不像使用物理隔离卡需要增添额外的硬盘和网卡和网络设备，使用物理隔离网闸时添加新的计算机没有任何额外费用。

内网的用户不必为了登录英特网而在内外网间进行繁琐的切换和重新启动计算机了。

通过这一改变还实现了用户的实时在线，在确保内网安全的同时用户可以随意畅游英特网。

在设备维护方面一台物理隔离网闸和多块网卡的维护量也有着巨大的差别。

只对物理隔离网闸单一设备进行管理和维护将大大减轻网络管理员的工作！物理隔离网闸与防火墙的对比防火墙也是一种被人们广泛使用的连接互联网的网络安全设备。

然而，人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。

现在有很多网络攻击都是发生在有防火墙的情况下，根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下。

防火墙的弊病很多，其中最突出的就是它的自身防护能力，本身就很容易被攻击和入侵。

一个自身难保的网络安全设备如何能够保护其他网络和其他计算机系统的信息安全？大部分的防火墙是建立在工控机的硬件架构上。

所谓工控机就是工业版的PC使用标准的操作系统（WINDOS或LINUX）。

大家知道PC和它的操作系统都是一些极易被攻击的对象。

它们本身就存在着许多安全漏洞和问题。

工业防火墙-工业网闸-工业隔离网关宇宙盾工业隔离网闸也称工控防火墙、工业隔离防火墙、工业控制防火墙或工业隔离网关是一种专门针对工业控制网与综合监控网之间进行网络隔离与数据传输而设计的硬件产品。

该产品主要应用于包括数据采集与监控系统、能量管理系统、自动化系统、计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统等各种SCADA和DCS网络与MIS网之间的安全数据交换。

工业防火墙也是一种被人们广泛使用的连接互联网的网络安全设备。

然而，人们常常发现被工业防火墙防护的网络依然常常被黑客和病毒攻击。

现在有很多网络攻击都是发生在有工业防火墙的情况下。

宇宙盾工业隔离防火墙与一般的工业防火墙的区别在于它不仅仅具有工业防火墙的所有功能，而且它还具有隔离功能，完全克服了普通工业防火墙的安全隐患，最大限度地保护了工业控制信息系统的安全。

在宇宙盾工业隔离网闸(工业控制防火墙)的内部有两个采用国产CPU的嵌入式的主板（分别成为内网主板和外网主板）和一个隔离岛，任何时间隔离岛制和其中的一个主板相连，实现了类似于拷盘一样的信息复制功能，但是由于是在高速集成电路的操作下所以是完全自动的和非常高效的。

这就有效地保证了工业控制网和管理网在任何时间多不会物理上连在一起，起到工业防火墙无法起到的安全隔离作用。

有关工业防火墙的弊病以及与网络安全隔离网闸的区别请参阅第三章，与其它类安全产品的对比。

我公司研制的工业控制系统信息安全产品和网络安全隔离设备采用了一些全新的网络安全设计理念，是国内唯一种具有完全“自主安全可控”的网络安全产品，是全国唯一一家采用国产CPU、自主操作系统、自主通信协议栈的设计的信息安全产品，是真正可信赖的国产网络安全产品。

产品所提供的“绝对安全保证”和高可靠性得到的国家电网中心的高度评价，已经广泛应用于对政府、军队、银行、电力、铁路、冶金、化工、石油、采矿、制造、交通、航空和通讯等几乎所有行业的网络安全防护。

进入正题，今天说说硬件防火墙的端口映射配置，以及端口映射的应用。

所谓端口映射，就是把“某个IP地址的某个端口（也叫套接字）映射到另一个IP地址的某个端口”，其实和NAT一样，本来都是路由器的专利。

但出于加强安全性的考虑，一般现在在内网出口布置的都是硬件防火墙，路由器的大部分功能也能实现。

当然了，现在的新趋势是IPS。

时下IPv4地址短缺，一个单位有一两个固定IP就算不错了，要实现内部网多台主机上公网，不用说需要作NAT，把内部私有IP转换成公网IP就搞定了。

但如果需要对外发布一个以上的网站或其他服务，或是没有VPN但需要作多台主机（服务器）远程控制，一两个IP怎么说也是不够的，这种时候就需要用到端口映射了（莫急，这就开始说了）。

一般来讲，防火墙的默认包过滤规则是禁止，如果不做端口映射，外网地址的所有端口都是关闭（隐藏，检测不到）的，不允许从外网主动发起的任何连接（这就是在内网使用某些P2P软件显示“您的外网端口无法被连接”之类信息的原因）。

下面结合实际讲讲配置。

俺公司两台防火墙，一台天融信一台联想网御，联想网御作外网应用。

比如，现有如下需求：外网ＩＰ地址123.123.123.123，需要将内部网192.168.1.10和192.168.1.11两台服务器上的HTTP服务对外发布。

外网地址只有1个，外网地址的80端口也只有1个，既然要发布两个HTTP，也就不必（也没办法）拘泥于80端口。

我们可以随便选择外网的端口号，比如，指定外网地址123.123.123.123的8080端口映射至内网192.168.1.10的80端口，指定外网地址123.123.123.123的8081端口映射至内网192.168.1.11的80端口。

这里，如果没有特殊要求，外网端口的选择是任意的，外网用户只要在IE的地址栏输入“123.123.123.123:端口号”就可以访问相应服务。

当然，也可以指定外网地址123.123.123.123的80端口映射至内网192.168.1.10的80端口，这样用浏览器访问时就不用加端口号。

网闸工作原理安全隔离网闸是一组具有多种控制功能的软硬件组成的网络安全设备，它在电路上切断了网络之间的链路层连接，并能够在网络间进行安全的应用数据交换。

第二代网闸通过专用交换通道、高速硬件通信卡、私有通信协议和加密签名机制来实现高速、安全的内外网数据交换，使得处理能力较一代大大提高，能够适应复杂网络对隔离应用的需求；私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性。

与同类产品比较，网闸具有更高的安全性和可靠性，作为目前业界公认的较为成熟可靠的网络隔离解决方案，在政府部门信息化建设中逐渐受到青睐。

网闸通过内部控制系统连接两个独立网络，利用内嵌软件完成切换操作，并且增加了安全审查程序。

作为数据传递“中介”，网闸在保证重要网络与其他网络隔离的同时进行数据安全交换。

由于互联网是基于TCP/IP协议实现连接，因此入侵攻击都依赖于OSI七层数据通信模型的一层或多层。

理论上讲，如果断开OSI数据模型的所有层，就可以消除来自网络的潜在攻击。

网闸正是依照此原理实现了信息安全传递，它不依靠网络协议的数据包转发，只有数据的无协议“摆渡”，阻断了基于OSI协议的潜在攻击，从而保证了系统安全。

网闸工作的原理在于：中断两侧网络的直接相连，剥离网络协议并将其还原成原始数据，用特殊的内部协议封装后传输到对端网络。

同时，网闸可通过附加检测模块对数据进行扫描，从而防止恶意代码和病毒，甚至可以设置特殊的数据属性结构实现通过限制。

网闸不依赖于TCP/IP和操作系统，而由内嵌仲裁系统对OSI的七层协议进行全面分析，在异构介质上重组所有的数据，实现了“协议落地、内容检测”。

因此，网闸真正实现了网络隔离，在阻断各种网络攻击的前提下，为用户提供安全的网络操作、邮件访问以及基于文件和数据库的数据交换。

1.网闸与防火墙的对比分析防火墙与网闸同属网络安全产品类别，但它与网闸是截然不同的。

防火墙是基于访问控制技术，即通过限制或开放网络中某种协议或端口的访问来保证系统安全，主要包括静态包过滤、网络地址转换、状态检测包过滤、电路代理、应用代理等方法来进行安全控制，通过对IP包的处理，实现对TCP会话的控制，并通过访问控制的方式允许合法的数据包进入内部网络，从而防止非法用户获取内部重要信息，阻止黑客入侵。