<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>

    防火墻和網閘的區別


    發現錯別字 1年前 提問
    回答
    1
    瀏覽
    5918
    請勿發布不友善或者負能量的內容。與人為善,比聰明更重要!
    支持 MD 幫助
    回答數量: 1
    帥末
    19 聲望

    • 產品定位不同

      防火墻在保障互聯互通的前提下,盡可能保障安全。

      安全隔離網閘在保證高度安全的前提下,盡可能實現互聯互通。

    • 設計思想不同

      防火墻是網絡訪問控制設備。防火墻部署于網絡邊界,在保證雙方網絡訪問連接的同時,根據策略對數據報文進行訪問控制,并在不影響設備性能的前提下進行內容過濾。

      安全隔離網閘是網絡隔離交換設備。模擬人工拷盤實現數據信息在兩個網絡之間交換。對于網絡間通過網閘實現數據同步的應用,網閘主動監控并讀取所隔離的兩個網絡中的服務器數據從而實現數據同步,而非服務器主動發起連接請求;對于網絡間的客戶端和服務器之間通過網閘訪問控制的應用,網閘的一個主機系統中斷訪問連接,另一主機系統重新建立連接,兩主機系統中在應用層進行數據報文重組,重在進行數據內容的檢查。

    • 硬件結構設計不同

      防火墻為單主機結構,報文在同一個主機系統上經過安全檢測后,根據策略轉發。

      安全隔離網閘基于“2+1”的體系結構,即由兩個主機系統和一個隔離交換硬件組成,隔離交換硬件為專有硬件,不受主機系統控制。數據信息流經網閘時是串行流經三個系統的。

    • 操作系統設計不同

      防火墻一般采用單一的專用操作系統。

      安全隔離網閘的兩個主機系統各自有專用操作系統,相互獨立。

    • 協議處理程度不同

      防火墻不同類型的防火墻,可能分別或綜合采用分組包過濾、狀態包過濾、NAT、應用層內容檢查等安全技術,工作在OSI協議棧的第三至七層,通過匹配安全策略規則,依據IP頭、TCP頭信息、應用層明文信息,對進出防火墻的會話進行過濾。

      安全隔離網閘所有到達安全隔離網閘外網的會話都被中斷原有的TCP/IP連接,隔離設備將所有的協議剝離,將原始的數據寫入存儲介質。根據不同的應用,可能有必要對數據進行完整性和安全性檢查,如防病毒和惡意代碼等。對所有數據在應用層進行協議還原的基礎上,以專有協議格式進行數據擺渡,綜合了訪問控制、 內容過濾、病毒查殺等技術,具備全面的安全防護功能。

    • 安全機制不同

      防火墻采用包過濾、代理服務等安全機制。在GAP技術的基礎上,綜合了訪問控制、內容過濾、病毒查殺等技術,具有全面的安全防護功能。

      安全隔離網閘在GAP技術的基礎上,綜合了訪問控制、內容過濾、病毒查殺等技術,具有全面的安全防護功能。

    • 抵御基于操作系統漏洞攻擊行為不同

      防火墻通過防止對內掃描等設置,可以部分防止黑客發現主機的操作系統漏洞。但無法阻止黑客通過防火墻允許的策略利用漏洞進行攻擊。

      安全隔離網閘的雙主機之間是物理阻斷的,無連接的,因此,黑客不可能掃描內部網絡的所有主機的操作系統漏洞,無法攻擊內部,包括安全隔離網閘的內部主機系統。

    • 抵御基于TCP/IP漏洞的攻擊不同

      防火墻需要制定嚴格的訪問控制策略對連接進行檢查以抵御TCP/IP漏洞攻擊,只能對大部分已知TCP/IP攻擊實施阻斷。

      由于安全隔離網閘的主機系統把TCP/IP協議頭全部剝離,以原始數據方式在兩主機系統間進行“擺渡”,網閘的接受請求的主機系統與請求主機之間建立會話,因此,對于目前所有的如源地址欺騙、偽造TCP序列號、SYN攻擊等TCP/IP漏洞攻擊是完全阻斷的。

    • 抵御木馬將數據外泄不同

      防火墻部署時,一般對于內部網絡向外部的訪問控制是全部開放的,因此內部主機上的木馬會很容易將數據外泄。并且黑客也容易通過木馬主動建立的對外連接實現對內主機的遠程控制。

      安全隔離網閘對于每個應用都是在應用層進行處理,并且策略需按照應用逐個下達,同時對于目的地址也要唯一性指定,因此內部主機上的木馬是無法實現將數據外泄的。并且木馬主動發起的對外連接也將直接被隔離設備切斷。

    • 抵御基于文件的病毒傳播不同

      防火墻可以根據應用層訪問控制策略對經過防火墻的文件進行檢查,或根據對文件類型的控制,只允許低級文件格式,如無病毒的文本格式內容穿過防火墻。等方式來抵御病毒傳播。

      安全隔離網閘在理論上是完全可以防止基于文件的攻擊,如病毒等。病毒一般依附在高級文件格式上,低級文件格式則不會有病毒,因此進行文件“擺渡”的時候,可以限制文件的類型,如只有文本文件才可以通過“擺渡”,這樣就不會有病毒。另外一種方式,是剝離重組方式。剝離高級格式,就消除了病毒的載體,重組后的文件,不會再有病毒。這種方式會導致效率的下降,一些潛在的危險的格式可能會被禁止。

    • 抵御DoS/DDoS攻擊不同

      防火墻通過SYN代理或SYN網關等技術,可以較好的抵御現有的各種DoS攻擊類型。但對于大規模DDoS攻擊方式,還沒有有效的防護手段。

      安全隔離網閘自身特有的無連接特性,能夠很好的防止DoS或DDoS攻擊穿過隔離設備攻擊服務器。但也不能抵御針對安全隔離設備本身的DDoS攻擊。

    • 管理安全性不同

      防火墻通過網絡接口遠程管理。但如攻擊者獲得了管理權限,可以通過遠程調整防火墻的安全策略,從而達到攻擊目的。

      安全隔離網閘內外網主機系統分別有獨立于網絡接口的專用管理接口,同時對于運行的安全策略需要在兩個系統分別下達,并通過統一的任務號進行對應。以此達到高安全。

    • 可管理性不同

      防火墻管理配置有一定復雜性。

      安全隔離網閘個人認為管理配置不比防火墻簡單。

    • 遭攻擊后果不同

      被攻破的防火墻只是個簡單的路由器,將危及內網安全。

      安全隔離網閘即使系統的外網處理單元癱瘓,網絡攻擊也無法觸及內網處理單元。

    • 與其它安全設備聯動性不同

      目前防火墻基本都可以與IDS設備聯動。

      安全隔離網閘可結合防火墻、IDS、VPN等安全設備運行,形成綜合網絡安全防護平臺。

    回答所涉及的環境:聯想天逸510S、Windows 10。

    1年前 / 評論
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类