1、 1 / 7目录一般应用功能比较 1技术原理比较 1产品的软硬件架构区别 2产品的定位区别 2网闸与防火墙配合使用 31、基本对比表网闸 防火墙 工业防火墙应用领域 分级保护、等级保护的不同安全域边界,公安,金融、工业、军工、政府等多个领域用于不同安全级别的网络之间的安全隔离几乎所有的网络边界 隔离工业控制网、多用于生产网不同安全域(安全级别相同)的网络边界之间。不用于生产网与外网(办公网、互联网)之间,其他行业应用较少。安全级别 安全隔离(介于物理隔离与逻辑隔离之间)逻辑隔离 逻辑隔离隔离部件 专属物理隔离部件 无 无应用环境 机房环境 机房环境 工业环境硬件结构 2+1 物理结构 单主机软
2、件结构 单主机软件结构适应的协议 默认支持标准的TCP/UDP 协议或基于上述协议开发的自定义协议,支持文件同步和数据库同步,应用广泛,特殊的非基于上述标准协议的工业协议,需定制开发。支持主要互联网协议,高级防火墙可支持的协议多大上千种支持工业以太网协议,目前以公开的基准母协议约 20 个左右,经过改进和再开发的协议多大几百种。功能 在注重安全性基础上,支持大多数应用,广泛应用各个行业。功能丰富,几乎支持所有业务应用适用于工业环境,稳定性好;路由 静态路由 广泛路由功能 广泛路由功能性能 相对同级别防火墙低10%左右,各个层次均有,目前有万兆设备;各层次均有 各层次均有2 / 7日志 关注隔离
3、数据交换的日志和严重安全威胁记录,支持 SYSlog;全面日志功能 较全面日志价格 10 万几十万都有 几百到几十万的都有 110 万左右资质 全面具有公安部,保密局、国家信息安全认证中心,军队信息安全认证中心等最高安全隔离级别认证证书全面,均是逻辑隔离安全类别证书,由低级别到高级别均有与防火墙类似,属逻辑隔离类别证书;个别过安全给级别认证均是二级以下;开发商数量 多是安全领域的专属厂商,需要较高的安全研发生产水平,行业壁垒高;多数厂家采用OEM 生产。公开技术,开发商和产品众多,水平参差不齐多是原工业研究所或三产推出的,依托自身行业背景定制开发工业应用,在开源防火墙基础上修改,自身研发实力有
4、限,行业壁垒体现在行业背景。2、传统安全产品的主要问题 自身安全性不足。安全产品的防御前提是自身安全性,目前防火墙、IDS 等安全产品均采用单主机结构,其操作系统、系统软件和配置策略特征库等均直接面对外网,软件设计的漏洞、系统策略配置失误,操作系统的漏洞等经常造成防火墙被攻破,绕过和破坏,导致网关防御失效。 安全控制机制滞后。防火墙、防病毒等普遍采用特征库、制订静态访问规则的被动防御方式,需要不断更新特征库和添加策略,无法适应现今网络攻击快速变种、传播的特征,陷入不断升级的怪圈,并对安全管理人员提出了更高的技术要求和管理要求。 内网安全防御不足。防火墙、IDS 等主流安全系统的设计主要考虑外网
5、对内网的攻击,而内网用户对外访问方面控制力度较弱,导致敏感信息泄漏、木马后门程序驻留等安全问题。3 / 71、 从硬件架构来说,网闸是双主机+隔离硬件,防火墙、入侵检测是单主机系统;防火墙和入侵检测的主机操作系统、系统软件和应用软件,访问控制策略和特征库等均运行在直接面对公网的主机上,安全风险和被渗透的可能性比较高;网闸所以的安全策略和防护控制规则均运行在内网主机上,外网访问经过协议剥离与重组,采用裸数据方式摆渡到内网,无法对安全策略和访问规则造成破坏,因此,设备系统自身的安全性网闸要高得多;2、 网闸工作在应用层,而大多数防火墙、入侵检测工作在网络层,采用包过滤和特征库匹配方式进行安全检测和
6、防护,对应用层、内容检查控制的级别低;虽然有代理型防火墙能够做到一些内容级检查,但是对应用类型支持有限,基本上只支持浏览、邮件功能;同时网闸具备很多防火墙不具备的功能,数据库、文件同步、定制开发接口;3、 在数据交换机理上也不同,防火墙是工作在路由模式,入侵检测采用特征检查方式,直接进行数据包转发,网闸工作在主机模式,所有数据需要落地转换,完全进行协议剥离和重组,全面防护网络层和系统层的已知和未知攻击行为,并且完全屏蔽内部网络、主机信息,仅提供虚拟信息对外提供服务;4、 防火墙内部、入侵检测内部均所有的 TCP/IP 会话都是在网络之间进行保持,存在被劫持和复用的风险;网闸上不存在内外网之间的
7、回话,连接终止于内外网主机。从上边得知,无论从功能还是实现原理上讲,网闸和防火墙、入侵检测是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具、入侵检测是根据特征库对可能的入侵行为进行分析并阻断(IPS) ,而安全隔离网闸重点是完全割断内外网的网络协议直接连通,采用裸数据转发机制,保护内部网络和主机的安全。因此两种产品由于定位的不同,因此不能相互取代。3、一般应用功能比较1. 网闸采用 21 结构,核心隔离部件采用原始数据(文件)摆渡机制,较防火墙单主机,协议包转发机制安全性更高。2. 网闸安全控制策略存储在内网主机,较防火墙策略直接面对公网更安全;3. 网闸可采取主动提取数据方式从内外
8、网获得数据进行内外网数据交换、进行内外网数据同步,且设备本身不开放端口,外网攻击行为无任何可能进入内网,防火墙无此功能;4. 网闸的管理配置均在内网进行,在外网无任何管理控制接口,防火墙的管理配置直接面对公网,安全风险较高;隔离网闸的系统内部设计架构如下图所示:4 / 7从硬件架构来说,网闸是双主机+独立隔离开关硬件,防火墙是单主机系统;防火墙主机操作系统、系统软件和应用软件,访问控制策略和特征库等均运行在直接面对不可信端的单主机上,安全风险和被渗透的可能性比较高;4、技术原理比较1防火墙是基于特征库匹配的运作模式,因此它只能防止已知的攻击,对未知的攻击,它无能为力。对于新发现的攻击,即使现在
9、是已知的攻击,但是由于可能未加入到它的特征库中(通过版本(补丁)升级实现) ,也起不到保护的作用。升级的过程网络系统要中断服务,影响服务质量。而 ViGap 不是基于特征库匹配的运作模式,它没有特征库的概念,它是通过基于协议 RFC 检查、拆包处理(只传送有效数据部分)和反射 GAP 实现它的保护能力的,既它能防止已知和未知的基于网络层和 OS 层的攻击,它不需要为特征库而打补丁。2防火墙和 GAP 的硬件结构不同,这才是它们的本质的不同。防火墙内外两个网络没有物理隔离装置,内外的客户/服务器存在实际的连接,可能被黑客通过使用 IP 碎片包攻击或通过未知的攻击来旁路防火墙规则库的检查,并通过修
10、改规则库使之成为一个网络层的简单路由器,这是防火墙就象一座没有士兵看守的桥一样,随便通行,此时,内部网络安全性可想而知。而 ViGap 内外两个网络是物理隔离的,因此黑客是不可能入侵到 GAP 的后端,即可信网络端服务器和可信网络(内部网络) ,并且网络安全策略放在可信网络端,黑客不能访问到,更不能修改它。当然 GAP 的前端(即不可信网络端服务器)是暴露在外部的攻击下,它也是我们系统的替罪羊,黑客可能攻击到它,并可能使它不能正常工作。即使这样,黑客也不能通过隔离的 GAP 入侵到可信网络端服务器。可信网络端服务器会时时检测不可信网络端服务器的运行情况,在不可信网络端服务器不能工作时,自动重新
11、启动它,使它恢复正常,并有效地减少系统中断的时间,提高服务质量。同时,在不可信网络端服务器上我们安装了 IDS 系5 / 7统来尽量避免它遭受来自外部的攻击。3ViGap 能防止针对网络层和 OS 层的已知的和未知的攻击,而防火墙不能防止未知的攻击。大家知道,半数以上的攻击是基于网络层和 OS 层的攻击,其中多数成功的攻击是采用人们还未知的攻击,特别是新 OS 的引入,各种漏洞和后门都潜在,容易被黑客利用,对于未知的攻击防火墙无能为力。这也是防火墙屡屡被攻穿的主要原因之一。5、产品的软硬件架构区别防 火 墙 特 征 库应 用 安 全过 滤外 网 内 网安 全 策 略 ViGap30阻 断 应
12、用安 全 外 网 内 网安 全策 略6、产品的定位区别F/W安全应用物理隔离InternetZ隔离网闸6 / 77、网闸与防火墙配合使用防火墙作用:防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙的功能:防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。为什么使用防火墙:防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你
13、可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。网闸和防火墙配合使用: 国家保密局定义网闸为“安全隔离产品” ,认为其安全性介乎“物理隔离产品物理隔离卡”和”逻辑隔离产品防火墙“之间; 网闸可以完全屏蔽内部网络的结构,具有更高的安全作用,因此利用其隔离安全特性,可以更加有效的保护内部网络、服务器的安全; 防火墙支持多个网络划分应用,科连接多个子网,隔离网闸的隔离部件仅有一套,因此一般用于两个网络或内外网两个服务器之间的数据交换; 防火墙与网闸由于其安全作用不同,在网络中可以相互配合,构建纵深防御体系,更加全面的保护内部网络。 防火墙与网闸配合使用,可以实现安全强度叠加效应,如防火墙安全强度是 两者的配合使用如下图:7 / 7