隔离网闸与防火墙产品的比较.docVIP

. . 目录 TOC \o 1-3 \h \z \u 一般应用功能比较 1 技术原理比较 1 产品的软硬件架构区别 2 产品的定位区别 2 网闸与防火墙配合使用 3 1、基本对比表 ? 网闸 防火墙 工业防火墙 应用领域 分级保护、等级保护的不同安全域边界，公安，金融、工业、军工、政府等多个领域用于不同安全级别的网络之间的安全隔离 几乎所有的网络边界 隔离工业控制网、多用于生产网不同安全域（安全级别相同）的网络边界之间。不用于生产网与外网（办公网、互联网）之间，其他行业应用较少。 安全级别 安全隔离（介于物理隔离与逻辑隔离之间） 逻辑隔离 逻辑隔离 隔离部件 专属物理隔离部件 无 无 应用环境 机房环境 机房环境 工业环境 硬件结构 2+1物理结构 单主机软件结构 单主机软件结构 适应的协议 默认支持标准的TCP/UDP协议或基于上述协议开发的自定义协议，支持文件同步和数据库同步，应用广泛，特殊的非基于上述标准协议的工业协议，需定制开发。 支持主要互联网协议，高级防火墙可支持的协议多大上千种 支持工业以太网协议，目前以公开的基准母协议约20个左右，经过改进和再开发的协议多大几百种。 功能 在注重安全性基础上，支持大多数应用，广泛应用各个行业。 功能丰富，几乎支持所有业务应用 适用于工业环境，稳定性好； 路由 静态路由 广泛路由功能 广泛路由功能 性能 相对同级别防火墙低10%左右，各个层次均有，目前有万兆设备； 各层次均有 各层次均有 日志 关注隔离数据交换的日志和严重安全威胁记录，支持SYSlog； 全面日志功能 较全面日志 价格 10万~几十万都有 几百到几十万的都有 1~10万左右 资质 全面具有公安部，保密局、国家信息安全认证中心，军队信息安全认证中心等最高安全隔离级别认证 证书全面，均是逻辑隔离安全类别证书，由低级别到高级别均有 与防火墙类似，属逻辑隔离类别证书；个别过安全给级别认证均是二级以下； 开发商数量 多是安全领域的专属厂商，需要较高的安全研发生产水平，行业壁垒高；多数厂家采用OEM生产。 公开技术，开发商和产品众多，水平参差不齐 多是原工业研究所或三产推出的，依托自身行业背景定制开发工业应用，在开源防火墙基础上修改，自身研发实力有限，行业壁垒体现在行业背景。 2、传统安全产品的主要问题 自身安全性不足。 安全产品的防御前提是自身安全性，目前防火墙、IDS等安全产品均采用单主机结构，其操作系统、系统软件和配置策略特征库等均直接面对外网，软件设计的漏洞、系统策略配置失误，操作系统的漏洞等经常造成防火墙被攻破，绕过和破坏，导致网关防御失效。 安全控制机制滞后。 防火墙、防病毒等普遍采用特征库、制订静态访问规则的被动防御方式，需要不断更新特征库和添加策略，无法适应现今网络攻击快速变种、传播的特征，陷入不断升级的怪圈，并对安全管理人员提出了更高的技术要求和管理要求。 内网安全防御不足。 防火墙、IDS等主流安全系统的设计主要考虑外网对内网的攻击，而内网用户对外访问方面控制力度较弱，导致敏感信息泄漏、木马后门程序驻留等安全问题。 从硬件架构来说，网闸是双主机+隔离硬件，防火墙、入侵检测是单主机系统；防火墙和入侵检测的主机操作系统、系统软件和应用软件，访问控制策略和特征库等均运行在直接面对公网的主机上，安全风险和被渗透的可能性比较高；网闸所以的安全策略和防护控制规则均运行在内网主机上，外网访问经过协议剥离与重组，采用裸数据方式摆渡到内网，无法对安全策略和访问规则造成破坏，因此，设备系统自身的安全性网闸要高得多； 网闸工作在应用层，而大多数防火墙、入侵检测工作在网络层，采用包过滤和特征库匹配方式进行安全检测和防护，对应用层、内容检查控制的级别低；虽然有代理型防火墙能够做到一些内容级检查，但是对应用类型支持有限，基本上只支持浏览、邮件功能；同时网闸具备很多防火墙不具备的功能，数据库、文件同步、定制开发接口； 在数据交换机理上也不同，防火墙是工作在路由模式，入侵检测采用特征检查方式，直接进行数据包转发，网闸工作在主机模式，所有数据需要落地转换，完全进行协议剥离和重组，全面防护网络层和系统层的已知和未知攻击行为，并且完全屏蔽内部网络、主机信息，仅提供虚拟信息对外提供服务； 防火墙内部、入侵检测内部均所有的TCP/IP会话都是在网络之间进行保持，存在被劫持和复用的风险；网闸上不存在内外网之间的回话，连接终止于内外网主机。 从上边得知，无论从功能还是实现原理上讲，网闸和防火墙、入侵检测是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具、入侵检测是根据特征库对可能的入侵行为进行分析并阻断（IPS），而安全隔离网闸重点是完全割断内外网的网络协议直接连通，采用裸数据转发机制，保护内部网络和主机的安