隔离网闸与防火墙产品的比较.docVIP

目录 一般应用功能比较 1 技术原理比较 1 产品的软硬件架构区别 2 产品的定位区别 2 网闸与防火墙配合使用 3 1、基本对比表 ? 网闸 防火墙 工业防火墙 应用领域 保护等级保护的不同安全域边界，公安，金融、工业、、政府等多个领域用于不同级别的之间的安全隔离的网络边界隔离工业控制网用于网不同安全域（级别相同）网络边界。不生产网与外网（互联网）行业应用较少。 安全级别隔离（物理隔离与逻辑隔离之间）隔离隔离 隔离部件 专属物理隔离部件 应用环境环境环境 硬件结构+1物理结构主机软件结构软件结构 适应的协议 标准的TCP/UDP基于上述协议开发的自定义协议，支持文件同步和数据库同步，广泛，特殊的非基于上述标准协议的工业协议，需定制开发。 支持主要互联网协议，高级防火墙可支持的协议多大上千种 支持工业以太网协议，目前以公开的基准母协议约20个左右，经过改进和再开发的协议多大几百种。 在注重安全性基础上，支持大多数应用，广泛应用各个行业。丰富，几乎支持所有业务应用工业环境，稳定性好 路由 静态路由路由功能路由功能 性能 低%左右，各个层次均有，目前有万兆设备；各层次均有 各层次均有 关注隔离数据交换的日志和严重安全威胁记录，支持SYSlog日志全面日志 价格 10万几百到几十万的都有 1~10万左右 全面具有公安部，保密局国家信息安全认证中心，军队信息安全认证中心等最高安全级别认证全面，均是逻辑隔离证书，由低级别到高级别均有防火墙类似，逻辑隔离类别过安全给级别认证均是二级以下； 开发商数量 安全领域的专属厂商需要较高的安全研发生产水平行业壁垒高；厂家采用OEM生产。公开技术，开发商和产品众多，水平参差不齐 原工业研究所或三产推出的依托自身行业背景开发工业应用，防火墙基础上修改，自身实力有限行业壁垒体现在行业背景 2、传统安全产品的主要问题 自身安全性不足。 安全产品的防御前提是自身安全性，目前防火墙、IDS等安全产品均采用单主机结构，其操作系统、系统软件和配置策略特征库等均直接面对外网，软件设计的漏洞、系统策略配置失误，操作系统的漏洞等经常造成防火墙被攻破，绕过和破坏，导致网关防御失效。 安全控制机制滞后。 防火墙、防病毒等普遍采用特征库、制订静态访问规则的被动防御方式，需要不断更新特征库和添加策略，无法适应现今网络攻击快速变种、传播的特征，陷入不断升级的怪圈，并对安全管理人员提出了更高的技术要求和管理要求。 内网安全防御不足。 防火墙、IDS等主流安全系统的设计主要考虑外网对内网的攻击，而内网用户对外访问方面控制力度较弱，导致敏感信息泄漏、木马后门程序驻留等安全问题。 从硬件架构来说，网闸是双主机+隔离硬件，防火墙是单主机系统系统自身的安全性网闸要高得多；网闸工作在应用层，而大多数防火墙工作在网络层，对内容检查控制的级别低；虽然有代理型防火墙能够做到一些内容级检查，但是对应用类型支持有限，基本上只支持浏览、邮件功能；同时网闸具备很多防火墙不具备的功能，数据库、文件同步、定制开发接口；在数据交换机理上也不同，防火墙是工作在路由模式，直接进行数据包转发，网闸工作在主机模式，所有数据需要落地转换，完全屏蔽内部网络信息； 防火墙内部所有的TCP/IP会话都是在网络之间进行保持，存在被劫持和复用的风险；网闸上不存在内外网之间的回话，连接终止于内外网主机。 从上边得知，无论从功能还是实现原理上讲，网闸和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具，而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同，因此不能相互取代。 隔离网闸的系统内部设计架构如下图所示： 从硬件架构来说，网闸是双主机+隔离硬件，防火墙是单主机系统6、产品的定位区别 7、网闸与防火墙配合使用 防火墙防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙的功能防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。为什么使用防火墙防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。 防火墙 7 / 7 F/W 安全 应用 物理隔离 Internet Z隔离网闸