网闸和防火墙比较

意源IB-NPS3000和防火墙的区别

1、几种产品概念

防火墙是访问控制类产品，会在不破坏网络连通的情况下进行访问控制，要尽可能地保证连通。看看今天的防火墙功能就知道，要支持FTP、QQ、H.323、组播、VLAN、透明桥接等内容，如果网络不通就要遭受被拿下的命运。防火墙并不保证放行数据的安全性，用户必须开放80端口来提供Web服务，基于80端口的DDoS拒绝服务攻击就很难避免了。

VPN是保证数据传输的保密性产品，能保证加密的数据在经过公网时，即便被窃听也不会泄密和破坏完整性，但并不会让用户免受攻击和入侵的威胁。我们可以想像一下，如果电信公司在中国和美国的国际出口处使用VPN，中国的黑客照样攻击美国的网站，美国的黑客也照样攻击中国的网站。VPN只是一种强度较高的加密，强度不当的VPN本身照样被解密或破解，照样可以被攻击。 VPN是侧重于通讯过程中的数据保密功能。

物理隔离技术，不是要替代防火墙，入侵检测和防病毒系统，相反，它是用户“深度防御”的安全策略的另外一块基石，一般用来保护用户的“核心”。物理隔离技术，是绝对要解决互联网的安全问题。

隔离网闸则在网络断开的情况下，以非网络方式进行文件交换，实现信息的共享。隔离网闸的原则是不安全则断开，保证断开，而不是交换数据。网闸的核心技术是如何实现断开，如何以非网络方式安全地交换数据，如何满足用户的应用要求。

隔离网闸的定位清晰，就是网络断开。网络断开就是不通，不支持任何应用，没有功能；不通是正常的，什么都通是不正常的。即在网闸发生故障的时候，隔离装置始终是断开的，只与其中一边相连，

隔离网闸解决目前防火墙存在的根本问题：

●防火墙对操作系统的依赖，因为操作系统也有漏洞

●TCP/IP的协议漏洞

●防火墙、内网和DMZ同时直接连接

●应用协议的漏洞

●文件带有病毒和恶意代码

物理隔离的指导思想与防火墙有最大的不同：（1）防火墙的思路是在保障互

联互通的前提下，尽可能安全，而（2）物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。

2、威胁网络安全三种攻击

目前网络安全主要考虑三个方面：直接攻击、间接攻击、内部泄密。

A.直接攻击：直接攻破你的服务器，这种攻击破坏力最强，它改变你原有

的安全策略、利用你的服务器来攻击其他的网络、发布非法的信息等；

B.间接攻击：病毒、木马的攻击，轻的影响速度，重的系统瘫痪；

C.内部泄密（内部攻击）：内部泄密指内部员工向外网发出内部资料、关

键性的信息；

3、意源IB-NPS3000能做什么

意源科技IB-NPS3000网络安全隔离数据交换系统（俗称“网闸”），是主要准对以上提及的网络安全来设计的。

A.对于直接攻击，IB-NPS3000是如下防范的：

1.IB-NPS3000网闸，有三部分组成，联外网的网关、隔离装置、联内网的

网关，外网的网关是暴露在外网上的，黑客能找到并攻击网闸内的外网

关，但无法攻击到内网关。因为中间的隔离装置，确保内外网之间任意

时刻是物理断开的，黑客无法建立和网闸内的内网关及其后面服务器的

直接连接，而网闸内外网关的操作系统更是采用了意源自主产权的操作

系统。

2.网闸将内部数据进行传递时采用意源获专利的TCP/IP剥离、数字签名、

加密、再封装等强技术措施，只有通过我们封装的数据才能有效的传递，

因此原始的攻击包要通过，需要破解意源获专利的操作系统、协议、数

字签名、加密等技术，即使是通过了，也无法到达内网关。而IB-NPS3000

的抗攻击能力已经被国家保密局涉密信息系统安全保密测评中心严格

测试后认可。

3.意源的操作系统的协议栈采用了伪装技术，使SYN FLOOD、ICMP FLOOD

等黑客攻击软件表现出多种操作系统的特征，使其无法确认操作系统的

类型。

B.对于间接攻击：

1.IB-NPS3000采用了第三方的病毒查杀引擎，对外网来的邮件数据、下网

页数据在转发给用户前，首先进行病毒的查杀。病毒查杀引擎可设置自

动和手动升级非常方便。

C.对于内部泄密

内部泄密在网络安全中是至关重要的，他的破坏远比黑客、病毒的危害大。

IB-NPS3000可以对指定的计算机进行数据外发限制，可以设定限制如下：

●通过WEB方式向外发数据

●不可发送带附件的邮件

●对邮件的内容进行关键字检查

不可通过FTP等向外传数据

意源IB-NPS300提供了强有力的指定性检查、审计等功能，从而解决了即使时内外网分离或一人两机也无法解决的内部泄密问题

综述，意源IB-NPS3000网闸能有效防止大家关心的三种网络安全，产品的各项指标得到国家保密局的认可

4、防火墙

防火墙已经应用了好几年，到目前为止它们提供了市场上最好的保护方法。防火墙象个筛子一样过滤网络上的大量的应用数据流，禁止或阻塞规则库中非法的行为，需要人为的不断的完善他的规则库，是一个“打补丁”的做法。由于他的被动防范，防火墙还是无法避免直接攻击、间接攻击、内部泄密。

直接攻击，穿透防火墙的攻击无需举例比比皆是，一个有经验的黑客甚至可以改变存储在与INTERNET相连的计算机的防火墙的规则库，这使得入侵者能够控制通向内部网络的防火墙，当一个黑客检测到防火墙这样的弱点时，它们进入您的内部网络是如此的容易。

间接攻击，防火墙不对经过他的内容和病毒库对比，因此无法防止间接的攻击。

内部泄密，部分防火墙也带有审计功能，而他们的审计只是记录你上过什么网、那些黑客工具对我扫描过等方面的记录，对内部资料的发送无限制，无法防止内部泄密问题。

综述，防火墙固有的设计和定位，无法有效的防止以上提及的任何一种攻击，对网络安全有一定要求的地方采购时要谨慎考虑。