網(wǎng)閘與防火墻的區(qū)別

1、網(wǎng)閘與防火墻的概念及功能區(qū)別網(wǎng)閘與防火墻一樣是網(wǎng)絡(luò)安全邊界的安全產(chǎn)品，其發(fā)揮的作用都不可輕視。但它們究竟有哪些不一樣拉？是不是有了防火墻安全性就安枕無憂拉？或者說網(wǎng)閘的出現(xiàn)是為了取替防火墻的么？兩者有哪些區(qū)別下邊羅列一二：1、從硬件架構(gòu)來說，網(wǎng)閘是雙主機+隔離硬件，防火墻是單主機系統(tǒng)，系統(tǒng)自身的安全性網(wǎng)閘要高得多；2、網(wǎng)閘工作在應(yīng)用層，而大多數(shù)防火墻工作在網(wǎng)絡(luò)層，對內(nèi)容檢查控制的級別低；雖然有代理型防火墻能夠做到一些內(nèi)容級檢查，但是對應(yīng)用類型支持有限，基本上只支持瀏覽、郵件功能；同時網(wǎng)閘具備很多防火墻不具備的功能，數(shù)據(jù)庫、文件同步、定制開發(fā)接口；3、在數(shù)據(jù)交換機理上也不同，防火墻是工作在路由模

2、式，直接進行數(shù)據(jù)包轉(zhuǎn)發(fā)，網(wǎng)閘工作在主機模式，所有數(shù)據(jù)需要落地轉(zhuǎn)換，完全屏蔽內(nèi)部網(wǎng)絡(luò)信息；4、最后，防火墻內(nèi)部所有的TCP/IP會話都是在網(wǎng)絡(luò)之間進行保持，存在被劫持和復用的風險；網(wǎng)閘上不存在內(nèi)外網(wǎng)之間的回話，連接終止于內(nèi)外網(wǎng)主機。從上邊得知，無論從功能還是實現(xiàn)原理上講，網(wǎng)閘和防火墻是完全不同的兩個產(chǎn)品，防火墻是保證網(wǎng)絡(luò)層安全的邊界安全工具（如通常的非軍事化區(qū)），而安全隔離網(wǎng)閘重點是保護內(nèi)部網(wǎng)絡(luò)的安全。因此兩種產(chǎn)品由于定位的不同，因此不能相互取代。 兩者的定位已經(jīng)有明顯的區(qū)別，彼此的作用都各適其所。也可以說，兩者在發(fā)揮作用方面沒有重復，只有互補。以下是網(wǎng)閘與防火墻在概念及安全手段上的處理結(jié)果：網(wǎng)

3、閘與防火墻的安全概念區(qū)別安全隔離與信息交換系統(tǒng)（網(wǎng)閘）防火墻在保證網(wǎng)絡(luò)隔離的前提下進行有限的信息交換。在保證網(wǎng)絡(luò)通暢訪問的同時，進行一些安全過濾（IP、端口）。網(wǎng)閘與防火墻的安全功能區(qū)別面臨的威脅網(wǎng)閘的處理及結(jié)果防火墻的處理及結(jié)果物理層竊聽、攻擊、干擾物理通路的切斷使之無法實施無法避免鏈路、網(wǎng)絡(luò)及通訊層威脅物理通路的切斷使之上的協(xié)議終止，相應(yīng)的攻擊行為無法奏效通過白名單+黑名單的機制，控制IP、端口等手段可避免部分協(xié)議層攻擊行為應(yīng)用攻擊（CC、溢出、越權(quán)訪問等）由于物理通路的切斷、單向控制及其之上的協(xié)議的終止，使此類攻擊行為無法進入內(nèi)網(wǎng)（安全域）。專有定制的應(yīng)用服務(wù)提供，使大多數(shù)對網(wǎng)閘的非安全域一端的處理單元的通用攻擊行為無法奏效。即便是將外網(wǎng)端的處理單元攻陷，其攻擊者也無法通過不受任何一端控制的安全通道進入內(nèi)網(wǎng)（安全域）。包過濾型防火墻，無處理，無法抵擋高端應(yīng)用級防火墻可抵擋部分應(yīng)用攻擊數(shù)據(jù)（敏感關(guān)鍵字、病毒、木馬等）信息擺渡的機制使的數(shù)據(jù)如同一個人拿著U盤在兩臺計算機之間拷