网闸与防火墙的区别原理篇.docx

网闸与防火墙的区别原理篇.docx

《网闸与防火墙的区别原理篇.docx》由会员分享，可在线阅读，更多相关《网闸与防火墙的区别原理篇.docx（2页珍藏版）》请在冰点文库上搜索。

我们先说说下一代防火墙的原理

网络拓扑：

说明：

这是一个典型的防火墙组网，防火墙一般常用的功能有：

ACL、VPN、IPS、防病毒、DDoS防护等等。

基本处理流程：

数据包从Internet进入防火墙，防火墙经过以下动作：

（1）首先匹配ACL进行包过滤，检查是否符合ACL设置的允许规则。

（2）进行严格的状态化监测，主要是TCP/UDP/ICMP协议。

（3）利用已有的IPS规则对数据包内容进行匹配，检查数据包是否合法。

（4）其他略。

产品定位：

部署位置：

网络边界

作用：

可以防止一些已知威胁，不能保证绝对的安全。

我们再来看看网闸的原理

网络拓扑：

说明：

这是一个典型的网闸使用拓扑，在办公网和业务网之间使用网闸进行隔离交换。

基本处理流程：

数据包在办公网和业务网之间交换，以办公网传送数据到业务网为例

（1）办公网的数据首先到达网闸的外网处理单元，被剥离了IP头部只保留原始数据。

（2）通过防病毒、入侵检测模块对原始数据进行检查。

（3）通过预订设置的白名单、过滤规则（文件字、文件名等）等安全策略进行检查。

（4）通过摆渡芯片（类似U盘的过程），把原始数据传输到内网，由内网处理单元重新封包发给客户端。

产品定位：

部署位置：

网络边界（涉密与非涉密、高安全与低安全区域）

作用：

防止泄密，按预设的规则进行摆渡数据交换。

产品

网闸

防火墙

硬件

2+1或3块主板

一块X86主板

部署位置

1、涉密与非涉密网络边界

2、高安全与低安全区域边界

3、服务器前端

1、中小企业网络边缘

解决客户的问题

1、防止泄密

2、保证业务网高安全，符合等保制度对网络隔离的要求。

1、主要针对已知攻击进行防护

性能

目前吞吐能到达10G，满足多数应用场景。

比网闸性能高

功能

1、文件同步、数据库同步（网闸主动发起）

2、访问功能Web代理、组播工控协议、数据库访问、邮件交换、文件传输

ACL、NAT、VPN、IPS、防病毒等等

使用情况

公安、医院、政府、军工、工业、城管、其他有隔离交换需求的地方。

企业用户

总结：

通过以上原理说明和对比，不难发现两个产品的定位是不同的，不存在网闸和防火墙区别是什么的问题，因为两种产品本身就是不同东西，他们为解决客户不同的问题而生，不存在替代性关系，一个机构的安全既需要防火墙也需要网闸，只有系统性的设计规划网络，才能保证业务网和办公网络的安全。