隔离网闸与防火墙产品的比较
目录目录 一般应用功能比较. 3 技术原理比较. 4 产品的软硬件架构区别. 5 产品的定位区别. 5 网闸与防火墙配合使用. 6 1 1、基本对比表、基本对比表 应用领域应用领域 网闸网闸防火墙防火墙工业防火墙工业防火墙 隔离工业控制网、多用 于生产网不同安全域 (安全级别相同)的网 络边界之间。不用于生 产网与外网(办公网、 互联网)之间,其他行 业应用较少。 逻辑隔离 无 工业环境 单主机软件结构 支持工业以太网协议, 目前以公开的基准母协 议约 20 个左右,经过改 进和再开发的协议多大 几百种。 分级保护、等级保护的几乎所有的网络边界 不同安全域边界,公安, 金融、工业、军工、政 府等多个领域用于不同 安全级别的网络之间的 安全隔离 安全隔离(介于物理隔 离与逻辑隔离之间) 专属物理隔离部件 机房环境 2+1 物理结构 默 认 支 持 标 准 的 TCP/UDP 协议或基于上 述协议开发的自定义协 议,支持文件同步和数 据库同步,应用广泛, 特殊的非基于上述标准 协议的工业协议,需定 制开发。 在注重安全性基础上, 支持大多数应用,广泛 应用各个行业。 静态路由 相对同级别防火墙低 10%左右,各个层次均 有,目前有万兆设备; 逻辑隔离 无 机房环境 单主机软件结构 支持主要互联网协议, 高级防火墙可支持的协 议多大上千种 安全级别安全级别 隔离部件隔离部件 应用环境应用环境 硬件结构硬件结构 适应的协议适应的协议 功能功能功能丰富,几乎支持所 有业务应用 广泛路由功能 各层次均有 适用于工业环境,稳定 性好; 广泛路由功能 各层次均有 路由路由 性能性能 1 1 / 7 7 日志日志关注隔离数据交换的日 志和严重安全威胁记 录,支持 SYSlog; 10 万~几十万都有 全面具有公安部,保密 局、国家信息安全认证 中心,军队信息安全认 证中心等最高安全隔离 级别认证 多是安全领域的专属厂 商,需要较高的安全研 发生产水平,行业壁垒 高;多数厂家采用OEM 生产。 全面日志功能较全面日志 价格价格 资质资质 几百到几十万的都有 证书全面,均是逻辑隔 离安全类别证书,由低 级别到高级别均有 1~10 万左右 与防火墙类似,属逻辑 隔离类别证书;个别过 安全给级别认证均是二 级以下; 多是原工业研究所或三 产推出的,依托自身行 业背景定制开发工业应 用,在开源防火墙基础 上修改,自身研发实力 有限,行业壁垒体现在 行业背景。 开发商数量开发商数量公开技术,开发商和产 品众多,水平参差不齐 2 2、传统安全产品的主要问题、传统安全产品的主要问题 自身安全性不足。自身安全性不足。 安全产品的防御前提是自身安全性,目前防火墙、IDS 等安全产品均采用单 主机结构,其操作系统、系统软件和配置策略特征库等均直接面对外网,软件设 计的漏洞、系统策略配置失误,操作系统的漏洞等经常造成防火墙被攻破,绕过 和破坏,导致网关防御失效。 安全控制机制滞后。安全控制机制滞后。 防火墙、防病毒等普遍采用特征库、 制订静态访问规则的被动防御方式,需 要不断更新特征库和添加策略,无法适应现今网络攻击快速变种、传播的特征, 陷入不断升级的怪圈,并对安全管理人员提出了更高的技术要求和管理要求。 ▪内网安全防御不足。内网安全防御不足。 防火墙、IDS 等主流安全系统的设计主要考虑外网对内网的攻击,而内网用 户对外访问方面控制力度较弱,导致敏感信息泄漏、木马后门程序驻留等安全问 题。 1、 从硬件架构来说,网闸是双主机+隔离硬件,防火墙、入侵检测是单主机系统;防火墙 2 2 / 7 7 和入侵检测的主机操作系统、系统软件和应用软件,访问控制策略和特征库等均运行在 直接面对公网的主机上,安全风险和被渗透的可能性比较高;网闸所以的安全策略和防 护控制规则均运行在内网主机上,外网访问经过协议剥离与重组,采用裸数据方式摆渡 到内网,无法对安全策略和访问规则造成破坏,因此,设备系统自身的安全性网闸要高 得多; 2、 网闸工作在应用层,而大多数防火墙、入侵检测工作在网络层,采用包过滤和特征库匹 配方式进行安全检测和防护,对应用层、内容检查控制的级别低;虽然有代理型防火墙 能够做到一些内容级检查,但是对应用类型支持有限,基本上只支持浏览、邮件功能; 同时网闸具备很多防火墙不具备的功能,数据库、文件同步、定制开发接口; 3、 在数据交换机理上也不同,防火墙是工作在路由模式,入侵检测采用特征检查方式,直 接进行数据包转发,网闸工作在主机模式,所有数据需要落地转换,完全进行协议剥离 和重组,全面防护网络层和系统层的已知和未知攻击行为,并且完全屏蔽内部网络、主 机信息,仅提供虚拟信息对外提供服务; 4、 防火墙内部、入侵检测内部均所有的 TCP/IP 会话都是在网络之间进行保持,存在被劫 持和复用的风险;网闸上不存在内外网之间的回话,连接终止于内外网主机。 从上边得知,无论从功能还是实现原理上讲, 网闸和防火墙、入侵检测是完全不同的两 个产品, 防火墙是保证网络层安全的边界安全工具、 入侵检测是根据特征库对可能的入侵行 为进行分析并阻断(IPS) ,而安全隔离网闸重点是完全割断内外网的网络协议直接连通, 采 用裸数据转发机制,保护内部网络和主机的安全。 因此两种产品由于定位的不同, 因此不能 相互取代。 3 3、一般应用功能比较、一般应用功能比较 1.网闸采用 2+1 结构,核心隔离部件采用原始数据(文件)摆渡机制,较防 火墙单主机,协议包转发机制安全性更高。 2.网闸安全控制策略存储在内网主机,较防火墙策略直接面对公网更安全; 3.网闸可采取主动提取数据方式从内外网获得数据进行内外网数据交换、进行 内外网数据同步,且设备本身不开放端口,外网攻击行为无任何可能进入内 网,防火墙无此功能; 4.网闸的管理配置均在内网进行,在外网无任何管理控制接口,防火墙的管理 配置直接面对公网,安全风险较高; 隔离网闸的系统内部设计架构如下图所示: 3 3 / 7 7 从硬件架构来说,网闸是双主机+独立隔离开关硬件,防火墙是单主机系统; 防火墙主机操作系统、 系统软件和应用软件, 访问控制策略和特征库等均运行在直接面对不 可信端的单主机上,安全风险和被渗透的可能性比较高; 4、技术原理比较 技术原理比较 1.防火墙是基于特征库匹配的运作模式,因此它只能防止已知的攻击,对 未知的攻击,它无能为力。对于新发现的攻击,即使现在是已知的攻击,但是由 于可能未加入到它的特征库中(通过版本(补丁)升级实现) ,也起不到保护的 作用。升级的过程网络系统要中断服务,影响服务质量。而 ViGap 不是基于特 征库匹配的运作模式,它没有特征库的概念,它是通过基于协议 RFC 检查、拆 包处理(只传送有效数据部分)和反射 GAP 实现它的保护能力的,既它能防止 已知和未知的基于网络层和 OS 层的攻击,它不需要为特征库而打补丁。 2.防火墙和GAP 的硬件结构不同,这才是它们的本质的不同。防火墙内外 两个网络没有物理隔离装置,内外的客户/服务器存在实际的连接,可能被黑客 通过使用 IP 碎片包攻击或通过未知的攻击来旁路防火墙规则库的检查,并通过 修改规则库使之成为一个网络层