1、我们先说说下一代防火墙的原理网络拓扑:说明:这是一个典型的防火墙组网,防火墙一般常用的功能有:ACL、VPN、IPS、防病毒、DDoS防护等等。基本处理流程:数据包从Internet进入防火墙,防火墙经过以下动作:(1)首先匹配ACL进行包过滤,检查是否符合ACL设置的允许规则。(2)进行严格的状态化监测,主要是TCP/UDP/ICMP协议。(3)利用已有的IPS规则对数据包内容进行匹配,检查数据包是否合法。(4)其他略。产品定位:部署位置:网络边界作用:可以防止一些已知威胁,不能保证绝对的安全。我们再来看看网闸的原理网络拓扑:说明:这是一个典型的网闸使用拓扑,在办公网和业务网之间使用网闸进行
2、隔离交换。基本处理流程:数据包在办公网和业务网之间交换,以办公网传送数据到业务网为例(1)办公网的数据首先到达网闸的外网处理单元,被剥离了IP头部只保留原始数据。(2)通过防病毒、入侵检测模块对原始数据进行检查。(3)通过预订设置的白名单、过滤规则(文件字、文件名 等)等安全策略进行检查。(4)通过摆渡芯片(类似U盘的过程),把原始数据传输到内网,由内网处理单元重新封包发给客户端。产品定位:部署位置:网络边界(涉密与非涉密、高安全与低安全区域)作用:防止泄密,按预设的规则进行摆渡数据交换。产品网闸防火墙硬件2+1 或3块主板一块X86主板部署位置1、 涉密与非涉密网络边界2、 高安全与低安全区
3、域边界3、 服务器前端1、中小企业网络边缘解决客户的问题1、 防止泄密2、 保证业务网高安全,符合等保制度对网络隔离的要求。1、主要针对已知攻击进行防护性能目前吞吐能到达10G,满足多数应用场景。比网闸性能高功能1、 文件同步、数据库同步(网闸主动发起)2、 访问功能 Web代理、组播工控协议、数据库访问、邮件交换、文件传输ACL、NAT、VPN、IPS、防病毒 等等使用情况公安、医院、政府、军工、工业、城管、其他有隔离交换需求的地方。企业用户总结:通过以上原理说明和对比,不难发现两个产品的定位是不同的,不存在网闸和防火墙区别是什么的问题,因为两种产品本身就是不同东西,他们为解决客户不同的问题而生,不存在替代性关系,一个机构的安全既需要防火墙也需要网闸,只有系统性的设计规划网络,才能保证业务网和办公网络的安全。
升级会员 