防火牆(Firewall),衆所周知(zhī),是一種硬件設備或軟件系統,主要部署在内部網絡和(hé)外(wài)部網絡間,爲了(le)防止外(wài)界惡意程序對(duì)内部系統的破壞,或者阻止内部重要信息向外(wài)流出,有雙向監督功能(néng),算(suàn)是一類最爲人熟知(zhī)、技術最成熟、應用(yòng)最廣泛的一類網絡安全産品。
深信服 AF-1000-FA40-JD 防火牆設備
網閘(GAP),全稱是安全隔離與信息交換系統,同樣是架設在内部網絡和(hé)外(wài)部網絡之間,但(dàn)是用(yòng)一種專用(yòng)的隔離芯片在電路上(shàng)切斷内外(wài)網連接的一種設備,并能(néng)夠在物理(lǐ)隔離的兩個網絡間進行安全适度的應用(yòng)數據交換,從(cóng)而防止網絡攻擊和(hé)信息洩露。
H3C SecPath GAP2000-AK820網閘設備從(cóng)外(wài)觀上(shàng),防火牆和(hé)網閘都是一個機箱,面闆上(shàng)有幾個網絡接口。從(cóng)功能(néng)上(shàng),兩台設備同樣是架設在内部網絡和(hé)外(wài)部網絡之間,都可以實現(xiàn)對(duì)網絡流量的過濾和(hé)控制。這(zhè)看(kàn)起來(lái)外(wài)觀和(hé)功能(néng)都完全一樣的東西,究竟有什(shén)麽區(qū)别?與防火牆的單主闆單系統不同,網閘的主流架構是采用(yòng)2主闆+1專用(yòng)芯片:在一個2U的機箱裏放(fàng)着兩塊主闆,分别運行着内、外(wài)網2套操作(zuò)系統,内外(wài)兩個網絡互相獨立,實際上(shàng)就是從(cóng)物理(lǐ)上(shàng)隔離、阻斷了(le)網絡的連通,再用(yòng)專用(yòng)的芯片進行數據的交換。
網絡被隔離、阻斷後,兩個獨立主機系統之間如何進行信息交換?其實網絡隻是信息交換的一種方式,在互聯網時(shí)代以前,信息照樣進行交換,如數據文(wén)件複制(拷貝)、數據擺渡、數據鏡像、數據反射等等,網閘系統就是使用(yòng)專用(yòng)的芯片以數據“擺渡”的方式實現(xiàn)兩個網絡之間的信息交換。所謂“擺渡”,現(xiàn)實中的擺渡就是在一條船(chuán)從(cóng)江河(hé)這(zhè)一邊到(dào)另一邊,再從(cóng)另一邊到(dào)這(zhè)一邊,數據擺渡的過程也(yě)類似。爲了(le)防範網絡攻擊,通過物理(lǐ)隔離的思路,将兩台完全不相連的計(jì)算(suàn)機,通過軟盤從(cóng)一台計(jì)算(suàn)機向另一台計(jì)算(suàn)機拷貝數據,大(dà)家形象地稱爲“數據擺渡”。傳統的跨網數據交換方式經曆了(le)從(cóng)人工(gōng)U盤擺渡到(dào)光盤擺渡機的過程,但(dàn)本質上(shàng)都是利用(yòng)移動存儲設備來(lái)進行,而網閘則是先在應用(yòng)層将數據還原爲原始數據文(wén)件,再使用(yòng)專用(yòng)的芯片,根據管理(lǐ)員配置的相關策略,進行自(zì)動“擺渡”的方式來(lái)傳遞原始數據。任何形式的數據包、信息傳輸命令和(hé)TCP/IP協議(yì)都不可能(néng)穿透安全隔離與信息交換系統,這(zhè)同透明(míng)橋、混雜(zá)模式、IP over USB、網絡代理(lǐ)等傳統方式來(lái)轉發數據包有本質的區(qū)别。
最後,再總結下(xià)這(zhè)兩種網絡安全邊界産品的區(qū)别:1.結構不同:網閘采用(yòng)兩個主機+一個獨立的硬件形式,内外(wài)兩個網絡之間物理(lǐ)隔離。而防火牆采用(yòng)單一主機,内外(wài)網絡其實本身就是互通的,隻是受策略影響限制了(le)指定範圍内的數據包交換。因此,網閘系統本身的安全性能(néng)較高(gāo)。2.數據交互原理(lǐ)不同:防火牆是一種基于規則的安全設備,工(gōng)作(zuò)在網絡層或傳輸層,對(duì)數據包進行有狀态或無狀态的檢查,根據預先設定的安全策略對(duì)數據進行過濾和(hé)限制。網閘則是一種基于物理(lǐ)隔離的安全設備,工(gōng)作(zuò)在應用(yòng)層,通過将數據包還原成原始文(wén)件再“擺渡”的形式來(lái)傳遞原始數據。3.應用(yòng)場景不同:網閘和(hé)防火牆的适用(yòng)範圍不同。防火牆一般用(yòng)于企業内部網絡或互聯網之間的連接點,對(duì)網絡邊界進行保護,阻止外(wài)部的攻擊或内部的洩露。網閘一般用(yòng)于涉及國家安全或重要信息的網絡之間的連接點,對(duì)網絡隔離進行保護,實現(xiàn)網絡之間的安全通信或數據交換。4.安全性能(néng):防火牆主要通過網絡安全策略的制定和(hé)執行來(lái)保護網絡的安全性,可以提供基本的防病毒、防黑客等安全功能(néng)。而網閘則可以提供更加嚴格的安全保護措施,例如數據加密、數字簽名、訪問控制等,以确保持久性。總的來(lái)說,防火牆和(hé)網閘都是重要的信息安全設備,但(dàn)它們的結構、應用(yòng)場景、數據交互原理(lǐ)、安全性能(néng)等方面存在一定的差異。在實際應用(yòng)中,可以根據具體的安全需求選擇合适的安全設備。
