防火墙(Firewall),众所周知,是一种硬件设备或软件系统,主要部署在内部网络和外部网络间,为了防止外界恶意程序对内部系统的破坏,或者阻止内部重要信息向外流出,有双向监督功能,算是一类最为人熟知、技术最成熟、应用最广泛的一类网络安全产品。
深信服 AF-1000-FA40-JD 防火墙设备
网闸(GAP),全称是安全隔离与信息交换系统,同样是架设在内部网络和外部网络之间,但是用一种专用的隔离芯片在电路上切断内外网连接的一种设备,并能够在物理隔离的两个网络间进行安全适度的应用数据交换,从而防止网络攻击和信息泄露。
H3C SecPath GAP2000-AK820网闸设备从外观上,防火墙和网闸都是一个机箱,面板上有几个网络接口。从功能上,两台设备同样是架设在内部网络和外部网络之间,都可以实现对网络流量的过滤和控制。这看起来外观和功能都完全一样的东西,究竟有什么区别?与防火墙的单主板单系统不同,网闸的主流架构是采用2主板+1专用芯片:在一个2U的机箱里放着两块主板,分别运行着内、外网2套操作系统,内外两个网络互相独立,实际上就是从物理上隔离、阻断了网络的连通,再用专用的芯片进行数据的交换。
网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?其实网络只是信息交换的一种方式,在互联网时代以前,信息照样进行交换,如数据文件复制(拷贝)、数据摆渡、数据镜像、数据反射等等,网闸系统就是使用专用的芯片以数据“摆渡”的方式实现两个网络之间的信息交换。所谓“摆渡”,现实中的摆渡就是在一条船从江河这一边到另一边,再从另一边到这一边,数据摆渡的过程也类似。为了防范网络攻击,通过物理隔离的思路,将两台完全不相连的计算机,通过软盘从一台计算机向另一台计算机拷贝数据,大家形象地称为“数据摆渡”。传统的跨网数据交换方式经历了从人工U盘摆渡到光盘摆渡机的过程,但本质上都是利用移动存储设备来进行,而网闸则是先在应用层将数据还原为原始数据文件,再使用专用的芯片,根据管理员配置的相关策略,进行自动“摆渡”的方式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透安全隔离与信息交换系统,这同透明桥、混杂模式、IP over USB、网络代理等传统方式来转发数据包有本质的区别。
1.结构不同:网闸采用两个主机+一个独立的硬件形式,内外两个网络之间物理隔离。而防火墙采用单一主机,内外网络其实本身就是互通的,只是受策略影响限制了指定范围内的数据包交换。因此,网闸系统本身的安全性能较高。2.数据交互原理不同:防火墙是一种基于规则的安全设备,工作在网络层或传输层,对数据包进行有状态或无状态的检查,根据预先设定的安全策略对数据进行过滤和限制。网闸则是一种基于物理隔离的安全设备,工作在应用层,通过将数据包还原成原始文件再“摆渡”的形式来传递原始数据。3.应用场景不同:网闸和防火墙的适用范围不同。防火墙一般用于企业内部网络或互联网之间的连接点,对网络边界进行保护,阻止外部的攻击或内部的泄露。网闸一般用于涉及国家安全或重要信息的网络之间的连接点,对网络隔离进行保护,实现网络之间的安全通信或数据交换。4.安全性能:防火墙主要通过网络安全策略的制定和执行来保护网络的安全性,可以提供基本的防病毒、防黑客等安全功能。而网闸则可以提供更加严格的安全保护措施,例如数据加密、数字签名、访问控制等,以确保持久性。总的来说,防火墙和网闸都是重要的信息安全设备,但它们的结构、应用场景、数据交互原理、安全性能等方面存在一定的差异。在实际应用中,可以根据具体的安全需求选择合适的安全设备。
