隔離網(wǎng)閘與防火墻產(chǎn)品的比較

1、目錄一般應(yīng)用功能比擬1技術(shù)原理比擬1產(chǎn)品的軟硬件架構(gòu)區(qū)別2產(chǎn)品的定位區(qū)別2網(wǎng)閘與防火墻配合使用31、根本比照表網(wǎng)閘防火墻工業(yè)防火墻應(yīng)用領(lǐng)域分級保護(hù)、等級保護(hù)的不同平安域邊界，公安，金融、工業(yè)、軍工、政府等多個(gè)領(lǐng)域用于不同平安級別的網(wǎng)絡(luò)之間的平安隔離幾乎所有的網(wǎng)絡(luò)邊界隔離工業(yè)控制網(wǎng)、多用于生產(chǎn)網(wǎng)不同平安域平安級別相同的網(wǎng)絡(luò)邊界之間。不用于生產(chǎn)網(wǎng)與外網(wǎng)辦公網(wǎng)、互聯(lián)網(wǎng)之間，其他行業(yè)應(yīng)用較少。平安級別平安隔離介于物理隔離與邏輯隔離之間邏輯隔離邏輯隔離隔離部件專屬物理隔離部件無無應(yīng)用環(huán)境機(jī)房環(huán)境機(jī)房環(huán)境工業(yè)環(huán)境硬件結(jié)構(gòu)2+1物理結(jié)構(gòu)單主機(jī)軟件結(jié)構(gòu)單主機(jī)軟件結(jié)構(gòu)適應(yīng)的協(xié)議默認(rèn)支持標(biāo)準(zhǔn)的TCP/UDP協(xié)議或

2、基于上述協(xié)議開發(fā)的自定義協(xié)議，支持文件同步和數(shù)據(jù)庫同步，應(yīng)用廣泛，特殊的非基于上述標(biāo)準(zhǔn)協(xié)議的工業(yè)協(xié)議，需定制開發(fā)。支持主要互聯(lián)網(wǎng)協(xié)議，高級防火墻可支持的協(xié)議多大上千種支持工業(yè)以太網(wǎng)協(xié)議，目前以公開的基準(zhǔn)母協(xié)議約20個(gè)左右，經(jīng)過改良和再開發(fā)的協(xié)議多大幾百種。功能在注重平安性根底上，支持大多數(shù)應(yīng)用，廣泛應(yīng)用各個(gè)行業(yè)。功能豐富，幾乎支持所有業(yè)務(wù)應(yīng)用適用于工業(yè)環(huán)境，穩(wěn)定性好；路由靜態(tài)路由廣泛路由功能廣泛路由功能性能相對同級別防火墻低10%左右，各個(gè)層次均有，目前有萬兆設(shè)備；各層次均有各層次均有日志關(guān)注隔離數(shù)據(jù)交換的日志和嚴(yán)重平安威脅記錄，支持SYSlog；全面日志功能較全面日志價(jià)格10萬幾十萬都有幾百

3、到幾十萬的都有110萬左右資質(zhì)全面具有公安部，保密局、國家信息平安認(rèn)證中心，軍隊(duì)信息平安認(rèn)證中心等最高平安隔離級別認(rèn)證證書全面，均是邏輯隔離平安類別證書，由低級別到高級別均有與防火墻類似，屬邏輯隔離類別證書；個(gè)別過平安給級別認(rèn)證均是二級以下；開發(fā)商數(shù)量多是平安領(lǐng)域的專屬廠商，需要較高的平安研發(fā)生產(chǎn)水平，行業(yè)壁壘高；多數(shù)廠家采用OEM生產(chǎn)。公開技術(shù)，開發(fā)商和產(chǎn)品眾多，水平參差不齊多是原工業(yè)研究所或三產(chǎn)推出的，依托自身行業(yè)背景定制開發(fā)工業(yè)應(yīng)用，在開源防火墻根底上修改，自身研發(fā)實(shí)力有限，行業(yè)壁壘表達(dá)在行業(yè)背景。2、傳統(tǒng)平安產(chǎn)品的主要問題l 自身平安性缺乏。平安產(chǎn)品的防御前提是自身平安性，目前防火墻、

4、IDS等平安產(chǎn)品均采用單主機(jī)結(jié)構(gòu)，其操作系統(tǒng)、系統(tǒng)軟件和配置策略特征庫等均直接面對外網(wǎng)，軟件設(shè)計(jì)的漏洞、系統(tǒng)策略配置失誤，操作系統(tǒng)的漏洞等經(jīng)常造成防火墻被攻破，繞過和破壞，導(dǎo)致網(wǎng)關(guān)防御失效。l 平安控制機(jī)制滯后。防火墻、防病毒等普遍采用特征庫、制訂靜態(tài)訪問規(guī)那么的被動(dòng)防御方式，需要不斷更新特征庫和添加策略，無法適應(yīng)現(xiàn)今網(wǎng)絡(luò)攻擊快速變種、傳播的特征，陷入不斷升級的怪圈，并對平安管理人員提出了更高的技術(shù)要求和管理要求。 內(nèi)網(wǎng)平安防御缺乏。防火墻、IDS等主流平安系統(tǒng)的設(shè)計(jì)主要考慮外網(wǎng)對內(nèi)網(wǎng)的攻擊，而內(nèi)網(wǎng)用戶對外訪問方面控制力度較弱，導(dǎo)致敏感信息泄漏、木馬后門程序駐留等平安問題。1、 從硬件架構(gòu)來說

5、，網(wǎng)閘是雙主機(jī)+隔離硬件，防火墻、入侵檢測是單主機(jī)系統(tǒng)；防火墻和入侵檢測的主機(jī)操作系統(tǒng)、系統(tǒng)軟件和應(yīng)用軟件，訪問控制策略和特征庫等均運(yùn)行在直接面對公網(wǎng)的主機(jī)上，平安風(fēng)險(xiǎn)和被滲透的可能性比擬高；網(wǎng)閘所以的平安策略和防護(hù)控制規(guī)那么均運(yùn)行在內(nèi)網(wǎng)主機(jī)上，外網(wǎng)訪問經(jīng)過協(xié)議剝離與重組，采用裸數(shù)據(jù)方式擺渡到內(nèi)網(wǎng)，無法對平安策略和訪問規(guī)那么造成破壞，因此，設(shè)備系統(tǒng)自身的平安性網(wǎng)閘要高得多；2、 網(wǎng)閘工作在應(yīng)用層，而大多數(shù)防火墻、入侵檢測工作在網(wǎng)絡(luò)層，采用包過濾和特征庫匹配方式進(jìn)行平安檢測和防護(hù)，對應(yīng)用層、內(nèi)容檢查控制的級別低；雖然有代理型防火墻能夠做到一些內(nèi)容級檢查，但是對應(yīng)用類型支持有限，根本上只支持瀏覽、

6、郵件功能；同時(shí)網(wǎng)閘具備很多防火墻不具備的功能，數(shù)據(jù)庫、文件同步、定制開發(fā)接口；3、 在數(shù)據(jù)交換機(jī)理上也不同，防火墻是工作在路由模式，入侵檢測采用特征檢查方式，直接進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，網(wǎng)閘工作在主機(jī)模式，所有數(shù)據(jù)需要落地轉(zhuǎn)換，完全進(jìn)行協(xié)議剝離和重組，全面防護(hù)網(wǎng)絡(luò)層和系統(tǒng)層的和未知攻擊行為，并且完全屏蔽內(nèi)部網(wǎng)絡(luò)、主機(jī)信息，僅提供虛擬信息對外提供效勞；4、 防火墻內(nèi)部、入侵檢測內(nèi)部均所有的TCP/IP會(huì)話都是在網(wǎng)絡(luò)之間進(jìn)行保持，存在被劫持和復(fù)用的風(fēng)險(xiǎn)；網(wǎng)閘上不存在內(nèi)外網(wǎng)之間的回話，連接終止于內(nèi)外網(wǎng)主機(jī)。從上邊得知，無論從功能還是實(shí)現(xiàn)原理上講，網(wǎng)閘和防火墻、入侵檢測是完全不同的兩個(gè)產(chǎn)品，防火墻是保證網(wǎng)絡(luò)層

7、平安的邊界平安工具、入侵檢測是根據(jù)特征庫對可能的入侵行為進(jìn)行分析并阻斷IPS，而平安隔離網(wǎng)閘重點(diǎn)是完全割斷內(nèi)外網(wǎng)的網(wǎng)絡(luò)協(xié)議直接連通，采用裸數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制，保護(hù)內(nèi)部網(wǎng)絡(luò)和主機(jī)的平安。因此兩種產(chǎn)品由于定位的不同，因此不能相互取代。3、一般應(yīng)用功能比擬1. 網(wǎng)閘采用21結(jié)構(gòu)，核心隔離部件采用原始數(shù)據(jù)文件擺渡機(jī)制，較防火墻單主機(jī)，協(xié)議包轉(zhuǎn)發(fā)機(jī)制平安性更高。2. 網(wǎng)閘平安控制策略存儲(chǔ)在內(nèi)網(wǎng)主機(jī)，較防火墻策略直接面對公網(wǎng)更平安；3. 網(wǎng)閘可采取主動(dòng)提取數(shù)據(jù)方式從內(nèi)外網(wǎng)獲得數(shù)據(jù)進(jìn)行內(nèi)外網(wǎng)數(shù)據(jù)交換、進(jìn)行內(nèi)外網(wǎng)數(shù)據(jù)同步，且設(shè)備本身不開放端口，外網(wǎng)攻擊行為無任何可能進(jìn)入內(nèi)網(wǎng)，防火墻無此功能；4. 網(wǎng)閘的管理配置均在

8、內(nèi)網(wǎng)進(jìn)行，在外網(wǎng)無任何管理控制接口，防火墻的管理配置直接面對公網(wǎng)，平安風(fēng)險(xiǎn)較高；隔離網(wǎng)閘的系統(tǒng)內(nèi)部設(shè)計(jì)架構(gòu)如下列圖所示：從硬件架構(gòu)來說，網(wǎng)閘是雙主機(jī)+獨(dú)立隔離開關(guān)硬件，防火墻是單主機(jī)系統(tǒng)；防火墻主機(jī)操作系統(tǒng)、系統(tǒng)軟件和應(yīng)用軟件，訪問控制策略和特征庫等均運(yùn)行在直接面對不可信端的單主機(jī)上，平安風(fēng)險(xiǎn)和被滲透的可能性比擬高；4、技術(shù)原理比擬1防火墻是基于特征庫匹配的運(yùn)作模式，因此它只能防止的攻擊，對未知的攻擊，它無能為力。對于新發(fā)現(xiàn)的攻擊，即使現(xiàn)在是的攻擊，但是由于可能未參加到它的特征庫中通過版本補(bǔ)丁升級實(shí)現(xiàn)，也起不到保護(hù)的作用。升級的過程網(wǎng)絡(luò)系統(tǒng)要中斷效勞，影響效勞質(zhì)量。而ViGap不是基于特征庫匹

9、配的運(yùn)作模式，它沒有特征庫的概念，它是通過基于協(xié)議RFC檢查、拆包處理只傳送有效數(shù)據(jù)局部和反射GAP實(shí)現(xiàn)它的保護(hù)能力的，既它能防止和未知的基于網(wǎng)絡(luò)層和OS層的攻擊，它不需要為特征庫而打補(bǔ)丁。2防火墻和GAP的硬件結(jié)構(gòu)不同，這才是它們的本質(zhì)的不同。防火墻內(nèi)外兩個(gè)網(wǎng)絡(luò)沒有物理隔離裝置，內(nèi)外的客戶/效勞器存在實(shí)際的連接，可能被黑客通過使用IP碎片包攻擊或通過未知的攻擊來旁路防火墻規(guī)那么庫的檢查，并通過修改規(guī)那么庫使之成為一個(gè)網(wǎng)絡(luò)層的簡單路由器，這是防火墻就象一座沒有士兵看守的橋一樣，隨便通行，此時(shí)，內(nèi)部網(wǎng)絡(luò)平安性可想而知。而ViGap內(nèi)外兩個(gè)網(wǎng)絡(luò)是物理隔離的，因此黑客是不可能入侵到GAP的后端，即可

10、信網(wǎng)絡(luò)端效勞器和可信網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)，并且網(wǎng)絡(luò)平安策略放在可信網(wǎng)絡(luò)端，黑客不能訪問到，更不能修改它。當(dāng)然GAP的前端即不可信網(wǎng)絡(luò)端效勞器是暴露在外部的攻擊下，它也是我們系統(tǒng)的替罪羊，黑客可能攻擊到它，并可能使它不能正常工作。即使這樣，黑客也不能通過隔離的GAP入侵到可信網(wǎng)絡(luò)端效勞器?？尚啪W(wǎng)絡(luò)端效勞器會(huì)時(shí)時(shí)檢測不可信網(wǎng)絡(luò)端效勞器的運(yùn)行情況，在不可信網(wǎng)絡(luò)端效勞器不能工作時(shí)，自動(dòng)重新啟動(dòng)它，使它恢復(fù)正常，并有效地減少系統(tǒng)中斷的時(shí)間，提高效勞質(zhì)量。同時(shí)，在不可信網(wǎng)絡(luò)端效勞器上我們安裝了IDS系統(tǒng)來盡量防止它遭受來自外部的攻擊。3ViGap能防止針對網(wǎng)絡(luò)層和OS層的的和未知的攻擊，而防火墻不能防止未知的攻擊

11、。大家知道，半數(shù)以上的攻擊是基于網(wǎng)絡(luò)層和OS層的攻擊，其中多數(shù)成功的攻擊是采用人們還未知的攻擊，特別是新OS的引入，各種漏洞和后門都潛在，容易被黑客利用，對于未知的攻擊防火墻無能為力。這也是防火墻屢屢被攻穿的主要原因之一。5、產(chǎn)品的軟硬件架構(gòu)區(qū)別6、產(chǎn)品的定位區(qū)別F/W平安應(yīng)用l 物理隔離l InternetZ隔離網(wǎng)閘7、網(wǎng)閘與防火墻配合使用防火墻作用：防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻的功能：防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。為什么使用防火墻：防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的平安防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會(huì)禁止一些效勞，如視頻流等，但至少這是你自己的保護(hù)選擇。網(wǎng)閘和防火墻配合使用：l 國家保密局定義網(wǎng)閘為“平安隔離產(chǎn)品，認(rèn)為其平安性介乎“物理隔離產(chǎn)品物理隔離卡和邏輯隔離產(chǎn)品防火墻“之間；l 網(wǎng)閘可以完全屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，具有更高的平安作用，因此利用其隔離平安特