一、主要区别
1、从硬件架构来说,网闸是双主机+隔离硬件,防火墙是单主机系统,系统自身的安全性网闸要高得多;
2、网闸工作在应用层,而大多数防火墙工作在网络层,对内容检查控制的级别低;虽然有代理型防火墙能够做到一些内容级检查,但是对应用类型支持有限,基本上只支持浏览、邮件功能;同时网闸具备很多防火墙不具备的功能,数据库、文件同步、定制开发接口;
3、在数据交换机理上也不同,防火墙是工作在路由模式,直接进行数据包转发,网闸工作在主机模式,所有数据需要落地转换,完全屏蔽内部网络信息;
4、最后,防火墙内部所有的TCP/IP会话都是在网络之间进行保持,存在被劫持和复用的风险;网闸上不存在内外网之间的会话,连接终止于内外网主机。
二、网闸与防火墙的安全概念区别
|
安全隔离与信息交换系统(网闸) |
防火墙 |
|
在保证网络隔离的前提下进行有限的信息交换。 |
在保证网络通畅访问的同时,进行一些安全过滤(IP、端口)。 |
三、网闸与防火墙的安全功能区别
|
面临的威胁 |
网闸的处理及结果 |
防火墙的处理及结果 |
|
物理层窃听、攻击、干扰 |
物理通路的切断使之无法实施 |
无法避免 |
|
链路、网络及通讯层威胁 |
物理通路的切断使之上的协议终止,相应的攻击行为无法奏效 |
通过白名单+黑名单的机制,控制IP、端口等手段可避免部分协议层攻击行为 |
|
应用攻击(CC、溢出、越权访问等) |
由于物理通路的切断、单向控制及其之上的协议的终止,使此类攻击行为无法进入内网(安全域)。 专有定制的应用服务提供,使大多数对网闸的非安全域一端的处理单元的通用攻击行为无法奏效。即便是将外网端的处理单元攻陷,其攻击者也无法通过不受任何一端控制的安全通道进入内网(安全域)。 |
包过滤型防火墙,无处理,无法抵挡 高端应用级防火墙可抵挡部分应用攻击 |
|
数据(敏感关键字、病毒、木马等) |
信息摆渡的机制使得数据如同一个人拿着U盘在两台计算机之间拷贝文件,并且在拷贝之前会基于文件的检查(内容审查、病毒查杀等),可使数据的威胁减至最低。 |
可过滤部分明文关键字 |
扫码咨询
END
相关阅读
原文始发于微信公众号(CISSP):网闸和防火墙的区别
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论