网闸与防火墙区别

网闸与防火墙都是网络安全边界的安全产品，其发挥的作用都不可轻视。

但它们究竟有哪些不一样？是不是有了防火墙安全性就高枕无忧？或是网闸的出现是为了取替防火墙？

一、主要区别

1、从硬件架构来说，网闸是双主机+隔离硬件，防火墙是单主机系统，系统自身的安全性网闸要高得多；

2、网闸工作在应用层，而大多数防火墙工作在网络层，对内容检查控制的级别低；虽然有代理型防火墙能够做到一些内容级检查，但是对应用类型支持有限，基本上只支持浏览、邮件功能；同时网闸具备很多防火墙不具备的功能，数据库、文件同步、定制开发接口；

3、在数据交换机理上也不同，防火墙是工作在路由模式，直接进行数据包转发，网闸工作在主机模式，所有数据需要落地转换，完全屏蔽内部网络信息；

4、最后，防火墙内部所有的TCP/IP会话都是在网络之间进行保持，存在被劫持和复用的风险；网闸上不存在内外网之间的回话，连接终止于内外网主机。

 

从上边得知，无论从功能还是实现原理上讲，网闸和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具（如通常的非军事化区），而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同，因此不能相互取代。

两者的定位已经有明显的区别，彼此的作用都各适其所。也可以说，两者在发挥作用方面没有重复，只有互补。

以下是网闸与防火墙在概念及安全手段上的处理结果：

二、网闸与防火墙的安全概念区别

安全隔离与信息交换系统（网闸）	防火墙
在保证网络隔离的前提下进行有限的信息交换。	在保证网络通畅访问的同时，进行一些安全过滤（IP、端口）。

 

三、网闸与防火墙的安全功能区别

 

面临的威胁	网闸的处理及结果	防火墙的处理及结果
物理层窃听、攻击、干扰	物理通路的切断使之无法实施	无法避免
链路、网络及通讯层威胁	物理通路的切断使之上的协议终止，相应的攻击行为无法奏效	通过白名单+黑名单的机制，控制IP、端口等手段可避免部分协议层攻击行为
应用攻击（CC、溢出、越权访问等）	由于物理通路的切断、单向控制及其之上的协议的终止，使此类攻击行为无法进入内网（安全域）。 专有定制的应用服务提供，使大多数对网闸的非安全域一端的处理单元的通用攻击行为无法奏效。即便是将外网端的处理单元攻陷，其攻击者也无法通过不受任何一端控制的安全通道进入内网（安全域）。	包过滤型防火墙，无处理，无法抵挡 高端应用级防火墙可抵挡部分应用攻击
数据（敏感关键字、病毒、木马等）	信息摆渡的机制使的数据如同一个人拿着U盘在两台计算机之间拷贝文件，并且在拷贝之前会基于文件的检查（内容审查、病毒查杀等），可使数据的威胁减至最低。	可过滤部分明文关键字