网闸与防火墙的区别

防火墙与网闸对比文档网闸介绍网闸在国内的叫法很多，有的叫安全隔离网闸、物理隔离网闸、安全隔离与信息交换系统，但都是为了实现同一个安全目标而设计的，那就是确保安全的前提下实现有限的数据交流。

这点是与防火墙的设计理念截然不同的，防火墙的设计初衷是为了保证网络连通的前提下提供有限的安全策略。

正是设计目标的不同，所以注定了网闸并不是适用于所有的应用环境，而是只能在一些特定的应用领域进行应用。

目前国内做网闸的厂家不少，一般支持WEB、MAIL、SQL、文件几大应用，个别厂家支持视频会议的应用。

在TCP/IP协议层上又划分出单向产品和双向产品，双向产品属于应用层存在交互的应用如WEB、MAIL、SQL等常见应用都是双向应用。

单向应用意为应用层单向，指的是在应用层切断交互的能力，数据只能由一侧主动向另一侧发送，多应用于工业控制系统的DCS网络与MIS网络之间的监控数据传输，这类产品由于在应用层不存在交互所以安全性也是最好的。

大家看了上面的部分一定会想WEB、MAIL、SQL这类应用防火墙也能做到很好的保护啊，网闸的优势在呢？首先要说到网闸的硬件设计了。

网闸为了强调隔离，多采用2＋1的硬件设计方式，即内网主机＋专用隔离硬件（也称隔离岛）＋外网主机，报文到达一侧主机后对报文的每个层面进行监测，符合规则的将报文拆解，形成所谓的裸数据，交由专用隔离硬件摆渡到另一侧，摆渡过程采用非协议方式，逻辑上内外主机在同一时刻不存在连接，起到彻底切断协议连接的目的。

数据摆渡过来后内网对其进行应用层监测，符合规则的由该主机从新打包将数据发送到目标主机。

而防火墙对数据包的处理是不会拆解数据包的，防火墙只是做简单的转发工作，对转发的数据保进行协议检查后符合规则的过去，不符合规则的丢掉，防火墙两边主机是直接进行通讯的。

网闸由于切断了内外主机之间的直接通讯，连接是通过间接的与网闸建立里连接而实现的，所以外部网络是无法知道受保护网络的真实IP地址的，也无法通过数据包的指纹对目标主机进行软件版本、操作系统的判断。

网闸和防火墙最大的区别是什么呢？安全网闸技术是模拟人工拷盘的工作模式,通过电子开关的快速切换实现两个不同网段的数据交换的物理隔离安全技术。

安全网闸技术在安全技术领域源于被称之为GAP，又称为Air Gap的安全技术，它本意是指由空气形成的用于隔离的缝隙。

在网络安全技术中，主要指通过专用的硬件设备在物理不连通的情况下，实现两个独立网络之间的数据安全交换和资源共享。

其原理如图：（略）它由三个组件构成：A网处理机、B网处理机和GAP开关设备。

我们可以很清楚地看到连接两个网络的GAP设备不能同时连接到相互独立的A网和B网中，即GAP在某一时刻只与其中某个网络相连。

GAP设备连接A网时，它是与B网断开的，A网处理机把数据放入GAP中；GAP在接收完数据后自动切换到B网，同时，GAP与A网断开；B网处理机从GAP中取出数据，并根据合法数据的规则进行严格的检查，判断这些数据是否合法，若为非法数据，则删除它们。

同理，B网也以同样的方式通过GAP 将数据安全地交换到A网中。

从A网处理机往GAP放入数据开始，到B网处理机从GAP中取出数据并检查结束，就完成了一次数据交换。

GAP就这样在A网处理机与B 网处理机之间来回往复地进行实时数据交换。

在通过GAP交换数据的同时，A网和B网依然是隔离的。

安全网闸是如何来保证在两个网络之间的安全性呢？首先，这两个网络一直是隔离的，在两个网络之间只能通过GAP来交换数据，当两个网络的处理机或GAP三者中的任何一个设备出现问题时，都无法通过GAP进入另一个网络，因为它们之间没有物理连接；第二，GAP只交换数据，不直接传输TCP/IP，这样避免了TCP/IP的漏洞；第三，任何一方接收到数据，都要对数据进行严格的内容检测和病毒扫描，严格控制非法数据的交流。

GAP的安全性高低关键在于其对数据内容检测的强弱。

若不做任何检测，虽然是隔离的两个网络，也能传输非法数据、病毒、木马，甚至利用应用协议漏洞通过GAP设备从一个网络直接进入另一个网络。

物理隔离网闸与隔离卡的对比物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，需要对每台计算机进行配置，每次切换都需要开关机一次，使用起来极为不便。

双硬盘的硬件平台管理很繁琐，也会使得整个网络的架设和维护费用显著升高。

此外，用隔离卡设计的网络要有两套完全一样的网络（双倍的连线，双倍的网络设备），每台机器上要双网卡，双硬盘。

不仅仅安装维护极不方便，维护费用也高，升级和扩展的费用多成倍增加。

物理隔离卡安全性低，只能通过手动的开关达到所谓“物理隔离”的效果。

最重要的，物理隔离网闸是对整个网络进行隔离，只要安装一台物理隔离网闸，而不是每台计算机上安装一块物理隔离卡，就可以防护内网的所有计算机，网络结构极为简单，不像使用物理隔离卡需要增添额外的硬盘和网卡和网络设备，使用物理隔离网闸时添加新的计算机没有任何额外费用。

内网的用户不必为了登录英特网而在内外网间进行繁琐的切换和重新启动计算机了。

通过这一改变还实现了用户的实时在线，在确保内网安全的同时用户可以随意畅游英特网。

在设备维护方面一台物理隔离网闸和多块网卡的维护量也有着巨大的差别。

只对物理隔离网闸单一设备进行管理和维护将大大减轻网络管理员的工作！物理隔离网闸与防火墙的对比防火墙也是一种被人们广泛使用的连接互联网的网络安全设备。

然而，人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。

现在有很多网络攻击都是发生在有防火墙的情况下，根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下。

防火墙的弊病很多，其中最突出的就是它的自身防护能力，本身就很容易被攻击和入侵。

一个自身难保的网络安全设备如何能够保护其他网络和其他计算机系统的信息安全？大部分的防火墙是建立在工控机的硬件架构上。

所谓工控机就是工业版的PC使用标准的操作系统（WINDOS或LINUX）。

大家知道PC和它的操作系统都是一些极易被攻击的对象。

它们本身就存在着许多安全漏洞和问题。

网闸和防火墙的区别、网闸主要特点网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。

其信息流一般为通用应用服务。

网闸的“闸”字取自于船闸的意思，在信息摆渡的过程中内外网（上下游）从未发生物理连接，所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。

现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品，不符合物理隔离标准。

其只是一个包过滤的安全产品，类似防火墙。

网闸技术是模拟人工拷盘的工作模式,通过电子开关的快速切换实现两个不同网段的数据交换的物理隔离安全技术。

网闸技术在安全技术领域源于被称之为GAP，又称为Air Gap的安全技术，它本意是指由空气形成的用于隔离的缝隙。

在网络安全技术中，主要指通过专用的硬件设备在物理不连通的情况下，实现两个独立网络之间的数据安全交换和资源共享。

下面贤集网小编来为大家介绍网闸和防火墙的区别、网闸主要特点、网闸技术要求及网闸常见问题解答。

一起来看看吧！网闸和防火墙的区别1、应用场景区别网闸和防火墙的应用场景是不同的，网络已经存在考虑安全问题上防火墙，但首先要保证网络的连通性，其次才是安全问题，网闸是保证安全的基础上进行数据交换，网闸是两个网络已经存在，现在两个网络不得不互联，互联就要保证安全，网闸是现在唯一最安全的网络边界安全隔离的产品，只有网闸这种产品才能解决这个问题，所以必须用网闸。

2、硬件区别防火墙是单主机架构，早期使用包过滤的技术，网闸是双主机2+1架构，通过私有的协议摆渡的方式进行数据交换，基于会话的检测机制，由于网闸是双主机结构，即使外网端被攻破，由于内部使用私有协议互通，没办法攻击到内网，防火墙是单主机结构，如果被攻击了，就会导致内网完全暴露给别人。

图1：防火墙单主机架构图2：网闸双主机2+1架构3、功能区别网闸主要包含两大类功能访问类功能和同步类功能，访问类功能类似于防火墙，网闸相对于防火墙安全性更高的是同步类功能。

意源IB-NPS3000和防火墙的区别1、几种产品概念防火墙是访问控制类产品，会在不破坏网络连通的情况下进行访问控制，要尽可能地保证连通。

看看今天的防火墙功能就知道，要支持FTP、QQ、H.323、组播、VLAN、透明桥接等内容，如果网络不通就要遭受被拿下的命运。

防火墙并不保证放行数据的安全性，用户必须开放80端口来提供Web服务，基于80端口的DDoS拒绝服务攻击就很难避免了。

VPN是保证数据传输的保密性产品，能保证加密的数据在经过公网时，即便被窃听也不会泄密和破坏完整性，但并不会让用户免受攻击和入侵的威胁。

我们可以想像一下，如果电信公司在中国和美国的国际出口处使用VPN，中国的黑客照样攻击美国的网站，美国的黑客也照样攻击中国的网站。

VPN只是一种强度较高的加密，强度不当的VPN本身照样被解密或破解，照样可以被攻击。

VPN是侧重于通讯过程中的数据保密功能。

物理隔离技术，不是要替代防火墙，入侵检测和防病毒系统，相反，它是用户“深度防御”的安全策略的另外一块基石，一般用来保护用户的“核心”。

物理隔离技术，是绝对要解决互联网的安全问题。

隔离网闸则在网络断开的情况下，以非网络方式进行文件交换，实现信息的共享。

隔离网闸的原则是不安全则断开，保证断开，而不是交换数据。

网闸的核心技术是如何实现断开，如何以非网络方式安全地交换数据，如何满足用户的应用要求。

隔离网闸的定位清晰，就是网络断开。

网络断开就是不通，不支持任何应用，没有功能；不通是正常的，什么都通是不正常的。

即在网闸发生故障的时候，隔离装置始终是断开的，只与其中一边相连，隔离网闸解决目前防火墙存在的根本问题：●防火墙对操作系统的依赖，因为操作系统也有漏洞●TCP/IP的协议漏洞●防火墙、内网和DMZ同时直接连接●应用协议的漏洞●文件带有病毒和恶意代码物理隔离的指导思想与防火墙有最大的不同：（1）防火墙的思路是在保障互联互通的前提下，尽可能安全，而（2）物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。

目录一般应用功能比拟 (3)技术原理比拟 (4)产品的软硬件架构区别 (5)产品的定位区别 (5)网闸与防火墙配合使用 (6)1、根本比照表2、传统平安产品的主要问题●自身平安性缺乏。

平安产品的防御前提是自身平安性，目前防火墙、IDS等平安产品均采用单主机结构，其操作系统、系统软件和配置策略特征库等均直接面对外网，软件设计的漏洞、系统策略配置失误，操作系统的漏洞等经常造成防火墙被攻破，绕过和破坏，导致网关防御失效。

●平安控制机制滞后。

防火墙、防病毒等普遍采用特征库、制订静态访问规那么的被动防御方式，需要不断更新特征库和添加策略，无法适应现今网络攻击快速变种、传播的特征，陷入不断升级的怪圈，并对平安管理人员提出了更高的技术要求和管理要求。

▪内网平安防御缺乏。

防火墙、IDS等主流平安系统的设计主要考虑外网对内网的攻击，而内网用户对外访问方面控制力度较弱，导致敏感信息泄漏、木马后门程序驻留等平安问题。

1、从硬件架构来说，网闸是双主机+隔离硬件，防火墙、入侵检测是单主机系统；防火墙和入侵检测的主机操作系统、系统软件和应用软件，访问控制策略和特征库等均运行在直接面对公网的主机上，平安风险和被渗透的可能性比拟高；网闸所以的平安策略和防护控制规那么均运行在内网主机上，外网访问经过协议剥离与重组，采用裸数据方式摆渡到内网，无法对平安策略和访问规那么造成破坏，因此，设备系统自身的平安性网闸要高得多；2、网闸工作在应用层，而大多数防火墙、入侵检测工作在网络层，采用包过滤和特征库匹配方式进行平安检测和防护，对应用层、内容检查控制的级别低；虽然有代理型防火墙能够做到一些内容级检查，但是对应用类型支持有限，根本上只支持浏览、邮件功能；同时网闸具备很多防火墙不具备的功能，数据库、文件同步、定制开发接口；3、在数据交换机理上也不同，防火墙是工作在路由模式，入侵检测采用特征检查方式，直接进行数据包转发，网闸工作在主机模式，所有数据需要落地转换，完全进行协议剥离和重组，全面防护网络层和系统层的和未知攻击行为，并且完全屏蔽内部网络、主机信息，仅提供虚拟信息对外提供效劳；4、防火墙内部、入侵检测内部均所有的TCP/IP会话都是在网络之间进行保持，存在被劫持和复用的风险；网闸上不存在内外网之间的回话，连接终止于内外网主机。