隔離網(wǎng)閘及防火墻產(chǎn)品的比較

-.z.目錄一般應(yīng)用功能比擬1技術(shù)原理比擬1產(chǎn)品的軟硬件架構(gòu)區(qū)別2產(chǎn)品的定位區(qū)別2網(wǎng)閘與防火墻配合使用31、根本比照表

網(wǎng)閘防火墻工業(yè)防火墻應(yīng)用領(lǐng)域分級(jí)保護(hù)、等級(jí)保護(hù)的不同平安域邊界，公安，金融、工業(yè)、軍工、政府等多個(gè)領(lǐng)域用于不同平安級(jí)別的網(wǎng)絡(luò)之間的平安隔離幾乎所有的網(wǎng)絡(luò)邊界隔離工業(yè)控制網(wǎng)、多用于生產(chǎn)網(wǎng)不同平安域〔平安級(jí)別一樣〕的網(wǎng)絡(luò)邊界之間。不用于生產(chǎn)網(wǎng)與外網(wǎng)〔辦公網(wǎng)、互聯(lián)網(wǎng)〕之間，其他行業(yè)應(yīng)用較少。平安級(jí)別平安隔離〔介于物理隔離與邏輯隔離之間〕邏輯隔離邏輯隔離隔離部件專屬物理隔離部件無(wú)無(wú)應(yīng)用環(huán)境機(jī)房環(huán)境機(jī)房環(huán)境工業(yè)環(huán)境硬件構(gòu)造2+1物理構(gòu)造單主機(jī)軟件構(gòu)造單主機(jī)軟件構(gòu)造適應(yīng)的協(xié)議默認(rèn)支持標(biāo)準(zhǔn)的TCP/UDP協(xié)議或基于上述協(xié)議開(kāi)發(fā)的自定義協(xié)議，支持文件同步和數(shù)據(jù)庫(kù)同步，應(yīng)用廣泛，特殊的非基于上述標(biāo)準(zhǔn)協(xié)議的工業(yè)協(xié)議，需定制開(kāi)發(fā)。支持主要互聯(lián)網(wǎng)協(xié)議，高級(jí)防火墻可支持的協(xié)議多大上千種支持工業(yè)以太網(wǎng)協(xié)議，目前以公開(kāi)的基準(zhǔn)母協(xié)議約20個(gè)左右，經(jīng)過(guò)改良和再開(kāi)發(fā)的協(xié)議多大幾百種。功能在注重平安性根底上，支持大多數(shù)應(yīng)用，廣泛應(yīng)用各個(gè)行業(yè)。功能豐富，幾乎支持所有業(yè)務(wù)應(yīng)用適用于工業(yè)環(huán)境，穩(wěn)定性好；路由靜態(tài)路由廣泛路由功能廣泛路由功能性能相對(duì)同級(jí)別防火墻低10%左右，各個(gè)層次均有，目前有萬(wàn)兆設(shè)備；各層次均有各層次均有日志關(guān)注隔離數(shù)據(jù)交換的日志和嚴(yán)重平安威脅記錄，支持SYSlog；全面日志功能較全面日志價(jià)格10萬(wàn)~幾十萬(wàn)都有幾百到幾十萬(wàn)的都有1~10萬(wàn)左右資質(zhì)全面具有公安部，局、國(guó)家信息平安認(rèn)證中心，軍隊(duì)信息平安認(rèn)證中心等最高平安隔離級(jí)別認(rèn)證證書(shū)全面，均是邏輯隔離平安類別證書(shū)，由低級(jí)別到高級(jí)別均有與防火墻類似，屬邏輯隔離類別證書(shū)；個(gè)別過(guò)平安給級(jí)別認(rèn)證均是二級(jí)以下；開(kāi)發(fā)商數(shù)量多是平安領(lǐng)域的專屬?gòu)S商，需要較高的平安研發(fā)生產(chǎn)水平，行業(yè)壁壘高；多數(shù)廠家采用OEM生產(chǎn)。公開(kāi)技術(shù)，開(kāi)發(fā)商和產(chǎn)品眾多，水平參差不齊多是原工業(yè)研究所或三產(chǎn)推出的，依托自身行業(yè)背景定制開(kāi)發(fā)工業(yè)應(yīng)用，在開(kāi)源防火墻根底上修改，自身研發(fā)實(shí)力有限，行業(yè)壁壘表達(dá)在行業(yè)背景。2、傳統(tǒng)平安產(chǎn)品的主要問(wèn)題自身平安性缺乏。平安產(chǎn)品的防御前提是自身平安性，目前防火墻、IDS等平安產(chǎn)品均采用單主機(jī)構(gòu)造，其操作系統(tǒng)、系統(tǒng)軟件和配置策略特征庫(kù)等均直接面對(duì)外網(wǎng)，軟件設(shè)計(jì)的漏洞、系統(tǒng)策略配置失誤，操作系統(tǒng)的漏洞等經(jīng)常造成防火墻被攻破，繞過(guò)和破壞，導(dǎo)致網(wǎng)關(guān)防御失效。平安控制機(jī)制滯后。防火墻、防病毒等普遍采用特征庫(kù)、制訂靜態(tài)訪問(wèn)規(guī)則的被動(dòng)防御方式，需要不斷更新特征庫(kù)和添加策略，無(wú)法適應(yīng)現(xiàn)今網(wǎng)絡(luò)攻擊快速變種、傳播的特征，陷入不斷升級(jí)的怪圈，并對(duì)平安管理人員提出了更高的技術(shù)要求和管理要求。網(wǎng)平安防御缺乏。防火墻、IDS等主流平安系統(tǒng)的設(shè)計(jì)主要考慮外網(wǎng)對(duì)網(wǎng)的攻擊，而網(wǎng)用戶對(duì)外訪問(wèn)方面控制力度較弱，導(dǎo)致敏感信息泄漏、木馬后門程序駐留等平安問(wèn)題。從硬件架構(gòu)來(lái)說(shuō)，網(wǎng)閘是雙主機(jī)+隔離硬件，防火墻、入侵檢測(cè)是單主機(jī)系統(tǒng)；防火墻和入侵檢測(cè)的主機(jī)操作系統(tǒng)、系統(tǒng)軟件和應(yīng)用軟件，訪問(wèn)控制策略和特征庫(kù)等均運(yùn)行在直接面對(duì)公網(wǎng)的主機(jī)上，平安風(fēng)險(xiǎn)和被滲透的可能性比擬高；網(wǎng)閘所以的平安策略和防護(hù)控制規(guī)則均運(yùn)行在網(wǎng)主機(jī)上，外網(wǎng)訪問(wèn)經(jīng)過(guò)協(xié)議剝離與重組，采用裸數(shù)據(jù)方式擺渡到網(wǎng)，無(wú)法對(duì)平安策略和訪問(wèn)規(guī)則造成破壞，因此，設(shè)備系統(tǒng)自身的平安性網(wǎng)閘要高得多；網(wǎng)閘工作在應(yīng)用層，而大多數(shù)防火墻、入侵檢測(cè)工作在網(wǎng)絡(luò)層，采用包過(guò)濾和特征庫(kù)匹配方式進(jìn)展平安檢測(cè)和防護(hù)，對(duì)應(yīng)用層、容檢查控制的級(jí)別低；雖然有代理型防火墻能夠做到一些容級(jí)檢查，但是對(duì)應(yīng)用類型支持有限，根本上只支持瀏覽、功能；同時(shí)網(wǎng)閘具備很多防火墻不具備的功能，數(shù)據(jù)庫(kù)、文件同步、定制開(kāi)發(fā)接口；在數(shù)據(jù)交換機(jī)理上也不同，防火墻是工作在路由模式，入侵檢測(cè)采用特征檢查方式，直接進(jìn)展數(shù)據(jù)包轉(zhuǎn)發(fā)，網(wǎng)閘工作在主機(jī)模式，所有數(shù)據(jù)需要落地轉(zhuǎn)換，完全進(jìn)展協(xié)議剝離和重組，全面防護(hù)網(wǎng)絡(luò)層和系統(tǒng)層的和未知攻擊行為，并且完全屏蔽部網(wǎng)絡(luò)、主機(jī)信息，僅提供虛擬信息對(duì)外提供效勞；防火墻部、入侵檢測(cè)部均所有的TCP/IP會(huì)話都是在網(wǎng)絡(luò)之間進(jìn)展保持，存在被劫持和復(fù)用的風(fēng)險(xiǎn)；網(wǎng)閘上不存在外網(wǎng)之間的回話，連接終止于外網(wǎng)主機(jī)。從上邊得知，無(wú)論從功能還是實(shí)現(xiàn)原理上講，網(wǎng)閘和防火墻、入侵檢測(cè)是完全不同的兩個(gè)產(chǎn)品，防火墻是保證網(wǎng)絡(luò)層平安的邊界平安工具、入侵檢測(cè)是根據(jù)特征庫(kù)對(duì)可能的入侵行為進(jìn)展分析并阻斷〔IPS〕，而平安隔離網(wǎng)閘重點(diǎn)是完全割斷外網(wǎng)的網(wǎng)絡(luò)協(xié)議直接連通，采用裸數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制，保護(hù)部網(wǎng)絡(luò)和主機(jī)的平安。因此兩種產(chǎn)品由于定位的不同，因此不能相互取代。3、一般應(yīng)用功能比擬網(wǎng)閘采用2＋1構(gòu)造，核心隔離部件采用原始數(shù)據(jù)〔文件〕擺渡機(jī)制，較防火墻單主機(jī)，協(xié)議包轉(zhuǎn)發(fā)機(jī)制平安性更高。網(wǎng)閘平安控制策略存儲(chǔ)在網(wǎng)主機(jī)，較防火墻策略直接面對(duì)公網(wǎng)更平安；網(wǎng)閘可采取主動(dòng)提取數(shù)據(jù)方式從外網(wǎng)獲得數(shù)據(jù)進(jìn)展外網(wǎng)數(shù)據(jù)交換、進(jìn)展外網(wǎng)數(shù)據(jù)同步，且設(shè)備本身不開(kāi)放端口，外網(wǎng)攻擊行為無(wú)任何可能進(jìn)入網(wǎng)，防火墻無(wú)此功能；網(wǎng)閘的管理配置均在網(wǎng)進(jìn)展，在外網(wǎng)無(wú)任何管理控制接口，防火墻的管理配置直接面對(duì)公網(wǎng)，平安風(fēng)險(xiǎn)較高；隔離網(wǎng)閘的系統(tǒng)部設(shè)計(jì)架構(gòu)如下列圖所示：從硬件架構(gòu)來(lái)說(shuō)，網(wǎng)閘是雙主機(jī)+獨(dú)立隔離開(kāi)關(guān)硬件，防火墻是單主機(jī)系統(tǒng)；防火墻主機(jī)操作系統(tǒng)、系統(tǒng)軟件和應(yīng)用軟件，訪問(wèn)控制策略和特征庫(kù)等均運(yùn)行在直接面對(duì)不可信端的單主機(jī)上，平安風(fēng)險(xiǎn)和被滲透的可能性比擬高；4、技術(shù)原理比擬1．防火墻是基于特征庫(kù)匹配的運(yùn)作模式，因此它只能防止的攻擊，對(duì)未知的攻擊，它無(wú)能為力。對(duì)于新發(fā)現(xiàn)的攻擊，即使現(xiàn)在是的攻擊，但是由于可能未參加到它的特征庫(kù)中〔通過(guò)版本〔補(bǔ)丁〕升級(jí)實(shí)現(xiàn)〕，也起不到保護(hù)的作用。升級(jí)的過(guò)程網(wǎng)絡(luò)系統(tǒng)要中斷效勞，影響效勞質(zhì)量。而ViGap不是基于特征庫(kù)匹配的運(yùn)作模式，它沒(méi)有特征庫(kù)的概念，它是通過(guò)基于協(xié)議RFC檢查、拆包處理〔只傳送有效數(shù)據(jù)局部〕和反射GAP實(shí)現(xiàn)它的保護(hù)能力的，既它能防止和未知的基于網(wǎng)絡(luò)層和OS層的攻擊，它不需要為特征庫(kù)而打補(bǔ)丁。2．防火墻和GAP的硬件構(gòu)造不同，這才是它們的本質(zhì)的不同。防火墻外兩個(gè)網(wǎng)絡(luò)沒(méi)有物理隔離裝置，外的客戶/效勞器存在實(shí)際的連接，可能被黑客通過(guò)使用IP碎片包攻擊或通過(guò)未知的攻擊來(lái)旁路防火墻規(guī)則庫(kù)的檢查，并通過(guò)修改規(guī)則庫(kù)使之成為一個(gè)網(wǎng)絡(luò)層的簡(jiǎn)單路由器，這是防火墻就象一座沒(méi)有士兵看守的橋一樣，隨便通行，此時(shí)，部網(wǎng)絡(luò)平安性可想而知。而ViGap外兩個(gè)網(wǎng)絡(luò)是物理隔離的，因此黑客是不可能入侵到GAP的后端，即可信網(wǎng)絡(luò)端效勞器和可信網(wǎng)絡(luò)〔部網(wǎng)絡(luò)〕，并且網(wǎng)絡(luò)平安策略放在可信網(wǎng)絡(luò)端，黑客不能訪問(wèn)到，更不能修改它。當(dāng)然GAP的前端〔即不可信網(wǎng)絡(luò)端效勞器〕是暴露在外部的攻擊下，它也是我們系統(tǒng)的替罪羊，黑客可能攻擊到它，并可能使它不能正常工作。即使這樣，黑客也不能通過(guò)隔離的GAP入侵到可信網(wǎng)絡(luò)端效勞器?？尚啪W(wǎng)絡(luò)端效勞器會(huì)時(shí)時(shí)檢測(cè)不可信網(wǎng)絡(luò)端效勞器的運(yùn)行情況，在不可信網(wǎng)絡(luò)端效勞器不能工作時(shí)，自動(dòng)重新啟動(dòng)它，使它恢復(fù)正常，并有效地減少系統(tǒng)中斷的時(shí)間，提高效勞質(zhì)量。同時(shí)，在不可信網(wǎng)絡(luò)端效勞器上我們安裝了IDS系統(tǒng)來(lái)盡量防止它遭受來(lái)自外部的攻擊。3．ViGap能防止針對(duì)網(wǎng)絡(luò)層和OS層的的和未知的攻擊，而防火墻不能防止未知的攻擊。大家知道，半數(shù)以上的攻擊是基于網(wǎng)絡(luò)層和OS層的攻擊，其中多數(shù)成功的攻擊是采用人們還未知的攻擊，特別是新OS的引入，各種漏洞和后門都潛在，容易被黑客利用，對(duì)于未知的攻擊防火墻無(wú)能為力。這也是防火墻屢屢被攻穿的主要原因之一。5、產(chǎn)品的軟硬件架構(gòu)區(qū)別6、產(chǎn)品的定位區(qū)別F/WF/W平安應(yīng)用物理隔離InternetZ隔離網(wǎng)閘7、網(wǎng)閘與防火墻配合使用防火墻作用：防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。防火墻的功能：防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)展掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能制止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以制止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。為什么使用防火墻：防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的平安防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)制止一些效勞，如視頻流等，但至少這是你自己的保護(hù)選擇。網(wǎng)閘和防火墻配合使用：國(guó)家局定義網(wǎng)閘為“平安隔離產(chǎn)品〞，認(rèn)為其平安性介乎“物理隔離產(chǎn)品物理隔離卡〞和〞邏輯隔離產(chǎn)品防火墻“之間；網(wǎng)閘可以完全屏蔽部網(wǎng)絡(luò)的構(gòu)造，具有更高的平安作用，