隔离网闸与防火墙产品的比较

目录

一般应用功能比较 (3)

技术原理比较 (4)

产品的软硬件架构区别 (5)

产品的定位区别 (5)

网闸与防火墙配合使用 (6)

1、基本对比表

2、传统安全产品的主要问题

●自身安全性不足。

安全产品的防御前提是自身安全性，目前防火墙、IDS等安全产品均采用单主机结构，其操作系统、系统软件和配置策略特征库等均直接面对外网，软件设计的漏洞、系统策略配置失误，操作系统的漏洞等经常造成防火墙被攻破，绕过和破坏，导致网关防御失效。

●安全控制机制滞后。

防火墙、防病毒等普遍采用特征库、制订静态访问规则的被动防御方式，需要不断更新特征库和添加策略，无法适应现今网络攻击快速变种、传播的特征，陷入不断升级的怪圈，并对安全管理人员提出了更高的技术要求和管理要求。▪内网安全防御不足。

防火墙、IDS等主流安全系统的设计主要考虑外网对内网的攻击，而内网用户对外访问方面控制力度较弱，导致敏感信息泄漏、木马后门程序驻留等安全问题。

1、从硬件架构来说，网闸是双主机+隔离硬件，防火墙、入侵检测是单主机系统；防火墙

和入侵检测的主机操作系统、系统软件和应用软件，访问控制策略和特征库等均运行在直接面对公网的主机上，安全风险和被渗透的可能性比较高；网闸所以的安全策略和防护控制规则均运行在内网主机上，外网访问经过协议剥离与重组，采用裸数据方式摆渡到内网，无法对安全策略和访问规则造成破坏，因此，设备系统自身的安全性网闸要高得多；

2、网闸工作在应用层，而大多数防火墙、入侵检测工作在网络层，采用包过滤和特征库匹

配方式进行安全检测和防护，对应用层、内容检查控制的级别低；虽然有代理型防火墙能够做到一些内容级检查，但是对应用类型支持有限，基本上只支持浏览、邮件功能；

同时网闸具备很多防火墙不具备的功能，数据库、文件同步、定制开发接口；

3、在数据交换机理上也不同，防火墙是工作在路由模式，入侵检测采用特征检查方式，直

接进行数据包转发，网闸工作在主机模式，所有数据需要落地转换，完全进行协议剥离和重组，全面防护网络层和系统层的已知和未知攻击行为，并且完全屏蔽内部网络、主机信息，仅提供虚拟信息对外提供服务；

4、防火墙内部、入侵检测内部均所有的TCP/IP会话都是在网络之间进行保持，存在被劫

持和复用的风险；网闸上不存在内外网之间的回话，连接终止于内外网主机。

从上边得知，无论从功能还是实现原理上讲，网闸和防火墙、入侵检测是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具、入侵检测是根据特征库对可能的入侵行为进行分析并阻断（IPS），而安全隔离网闸重点是完全割断内外网的网络协议直接连通，采用裸数据转发机制，保护内部网络和主机的安全。因此两种产品由于定位的不同，因此不能相互取代。

3、一般应用功能比较

1.网闸采用2＋1结构，核心隔离部件采用原始数据（文件）摆渡机制，较防

火墙单主机，协议包转发机制安全性更高。

2.网闸安全控制策略存储在内网主机，较防火墙策略直接面对公网更安全；

3.网闸可采取主动提取数据方式从内外网获得数据进行内外网数据交换、进行

内外网数据同步，且设备本身不开放端口，外网攻击行为无任何可能进入内网，防火墙无此功能；

4.网闸的管理配置均在内网进行，在外网无任何管理控制接口，防火墙的管理

配置直接面对公网，安全风险较高；

隔离网闸的系统内部设计架构如下图所示：

从硬件架构来说，网闸是双主机+独立隔离开关硬件，防火墙是单主机系统；

防火墙主机操作系统、系统软件和应用软件，访问控制策略和特征库等均运行在直接面对不可信端的单主机上，安全风险和被渗透的可能性比较高；

4、技术原理比较

1．防火墙是基于特征库匹配的运作模式，因此它只能防止已知的攻击，对未知的攻击，它无能为力。对于新发现的攻击，即使现在是已知的攻击，但是由于可能未加入到它的特征库中（通过版本（补丁）升级实现），也起不到保护的作用。升级的过程网络系统要中断服务，影响服务质量。而ViGap不是基于特征库匹配的运作模式，它没有特征库的概念，它是通过基于协议RFC检查、拆包处理（只传送有效数据部分）和反射GAP实现它的保护能力的，既它能防止已知和未知的基于网络层和OS层的攻击，它不需要为特征库而打补丁。

2．防火墙和GAP的硬件结构不同，这才是它们的本质的不同。防火墙内外两个网络没有物理隔离装置，内外的客户/服务器存在实际的连接，可能被黑客通过使用IP碎片包攻击或通过未知的攻击来旁路防火墙规则库的检查，并通过修改规则库使之成为一个网络层的简单路由器，这是防火墙就象一座没有士兵看守的桥一样，随便通行，此时，内部网络安全性可想而知。而ViGap内外两个网络是物理隔离的，因此黑客是不可能入侵到GAP的后端，即可信网络端服务器和可信网络（内部网络），并且网络安全策略放在可信网络端，黑客不能访问到，更不能修改它。当然GAP的前端（即不可信网络端服务器）是暴露在外部的攻击下，它也是我们系统的替罪羊，黑客可能攻击到它，并可能使它不能正常工作。即使这样，黑客也不能通过隔离的GAP入侵到可信网络端服务器。可信网络端服务器会时时检测不可信网络端服务器的运行情况，在不可信网络端服务器不能工作时，自动重新启动它，使它恢复正常，并有效地减少系统中断的时间，提高服务质量。同时，在不可信网络端服务器上我们安装了IDS系统来尽量避

免它遭受来自外部的攻击。

3．ViGap 能防止针对网络层和OS 层的已知的和未知的攻击，而防火墙不能防止未知的攻击。大家知道，半数以上的攻击是基于网络层和OS 层的攻击，其中多数成功的攻击是采用人们还未知的攻击，特别是新OS 的引入，各种漏洞和后门都潜在，容易被黑客利用，对于未知的攻击防火墙无能为力。这也是防火墙屡屡被攻穿的主要原因之一。

5、产品的软硬件架构区别

6、产品的定位区别

防火墙

特征库

应用安全

过滤外网

内网

安全策略ViGap300

阻断应用

安全外网

内网

安全策略F/W

安全

应用

●物理隔离

●Internet

Z 隔离网闸