網閘與防火牆都是網絡安全邊界的安全產品,其發揮的作用都不可輕視。
但它們究竟有哪些不一樣?是不是有了防火牆安全性就高枕無憂?或是網閘的出現是為了取替防火牆?
一、主要區別
1、從硬件架構來說,網閘是雙主機+隔離硬件,防火牆是單主機系統,系統自身的安全性網閘要高得多;
2、網閘工作在應用層,而大多數防火牆工作在網絡層,對內容檢查控制的級別低;雖然有代理型防火牆能夠做到一些內容級檢查,但是對應用類型支持有限,基本上只支持瀏覽、郵件功能;同時網閘具備很多防火牆不具備的功能,數據庫、文件同步、定制開發接口;
3、在數據交換機理上也不同,防火牆是工作在路由模式,直接進行數據包轉發,網閘工作在主機模式,所有數據需要落地轉換,完全屏蔽內部網絡信息;
4、最后,防火牆內部所有的TCP/IP會話都是在網絡之間進行保持,存在被劫持和復用的風險;網閘上不存在內外網之間的回話,連接終止於內外網主機。
從上邊得知,無論從功能還是實現原理上講,網閘和防火牆是完全不同的兩個產品,防火牆是保證網絡層安全的邊界安全工具(如通常的非軍事化區),而安全隔離網閘重點是保護內部網絡的安全。因此兩種產品由於定位的不同,因此不能相互取代。
兩者的定位已經有明顯的區別,彼此的作用都各適其所。也可以說,兩者在發揮作用方面沒有重復,只有互補。
以下是網閘與防火牆在概念及安全手段上的處理結果:
二、網閘與防火牆的安全概念區別
| 安全隔離與信息交換系統(網閘) |
防火牆 |
| 在保證網絡隔離的前提下進行有限的信息交換。 |
在保證網絡通暢訪問的同時,進行一些安全過濾(IP、端口)。 |
三、網閘與防火牆的安全功能區別
| 面臨的威脅 |
網閘的處理及結果 |
防火牆的處理及結果 |
| 物理層竊聽、攻擊、干擾 |
物理通路的切斷使之無法實施 |
無法避免 |
| 鏈路、網絡及通訊層威脅 |
物理通路的切斷使之上的協議終止,相應的攻擊行為無法奏效 |
通過白名單+黑名單的機制,控制IP、端口等手段可避免部分協議層攻擊行為 |
| 應用攻擊(CC、溢出、越權訪問等) |
由於物理通路的切斷、單向控制及其之上的協議的終止,使此類攻擊行為無法進入內網(安全域)。 專有定制的應用服務提供,使大多數對網閘的非安全域一端的處理單元的通用攻擊行為無法奏效。即便是將外網端的處理單元攻陷,其攻擊者也無法通過不受任何一端控制的安全通道進入內網(安全域)。 |
包過濾型防火牆,無處理,無法抵擋 高端應用級防火牆可抵擋部分應用攻擊 |
| 數據(敏感關鍵字、病毒、木馬等) |
信息擺渡的機制使的數據如同一個人拿着U盤在兩台計算機之間拷貝文件,並且在拷貝之前會基於文件的檢查(內容審查、病毒查殺等),可使數據的威脅減至最低。 |
可過濾部分明文關鍵字
|
