admin管理员组文章数量:1531726
2024年5月21日发(作者:)
物理隔离网闸与防火墙的对比
如果您想了解各类网闸之间的区别和比较,请参阅我公司网站的技术专栏文
章《网闸产品对比:选用安全隔离网闸注意的问题》
防火墙与安全隔离网闸的最大区别可以从两个方面来谈:
1. 设计理念的不同
2. 系统的整体设计完全不同
在设计理念方面,防火墙是以应用为主的安全为辅的,也就是说在支持尽可
能多的应用的前提下,来保证使用的安全。防火墙的这一设计理念使得它可以广
泛地用于尽可能多的领域,拥有更加广泛的市场。而网闸则是以安全为主,在保
证安全的前提下,支持尽可能多地应用。网闸主要用于安全性要求极高的领域,
例如对政府网络,工业控制系统的保护等等。显然,由于把安全性放在首位,这
样就会有更加严格的安全规则和更多地限制,因此可以应用的范围也较防火墙少
一些,主要用那些对安全性要求较高的环境下。相反防火墙可以应用于非常广泛
的应用领域,甚至包括个人电脑都可以使用,但是它的安全性往往就差强人意。
人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络
攻击都是发生在有防火墙的情况下,根据美国财经杂志统计资料表明,30%的入
侵发生在有防火墙的情况下。由于这种设计理念的区别,因此可以有软件防火墙,
但是却不会有软件网闸。
由于设计理念的不同也导致系统的整体设计也完全不同。硬件防火墙虽然可
以有多种设计方式,但是一般来说,它都是单一的计算机系统由一个操作系统来
控制构的,用户的内网和外网都连接在这同一个系统上,一旦这个系统的操作系
统或协议栈被攻破,那么这个防火墙的不仅不能保护内网,还会被入侵者或黑客
作为攻击内外的平台,因为这里只有一道防线。
然而安全隔离网闸却完全不同,它自少由三部分组成,内网处理单元,外网
处理单元和一个隔离岛,也就是所谓的2+1结构。一般来说,内外网处理单元
是两个完全独立计算机的系统构,拥有各自独立的操作系统。内网处理单元与用
户的内网相连,外网处理单元与外部网络相连,内外网处理系统之间通过隔离岛
进行非协议的信息交换。可以看得出来,网闸的结构较防火墙要复杂的多,显然
有两个独立的系统分别连接内外网,中间再由隔离岛隔离,数据首先从信息包里
被剥离出来,然后经隔离岛交换。在网闸内部的两个处理单元间的数据交换是非
标准协议的传输。由于标准协议要支持尽可能完善的网络功能以及适应不同的网
络环境和协议,所以及其负杂,也容易造成漏洞,而且通用协议的漏洞被广泛地
暴露和传播,非常易于被攻击。相反,由于在网闸的内部两个处理单元经由隔离
岛的数据交换不存在适应不同的网络环境和协议的问题,只是内部数据的交换,
因此既可以设计得更加简单和安全,而且也很容易避免设计的漏洞。
另外,从深度防御(Defense in Depth)的角度考虑,采用2+1结构的
隔离网闸也要比只有一层屏障的防火墙的设计要安全得多,当然设计的难度也要
高得多。
当然区别不仅仅如此,由于设计理念以及硬件结构的完全不同,在软件设计
上也有很大的区别,很很高的难度,这里就不再细说。
版权声明:本文标题:物理隔离网闸与防火墙的对比 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1716234058a493111.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论