防火墙和网闸的区别

防火墙：所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。

网闸：网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。因此，网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全。

下面是常见的防火墙和网闸在网络中的位置：

防火墙：最终目的是为了内网的安全防护，防止外网对内网的攻击，同时对内网访问互联网的行为进行控制。

网闸：工作原理是信息摆渡，也就是可以实现完全隔离的不同网段之间的有条件访问，这是防火墙实现不了的。

举个例子：如果有两个网段想互相访问，通过防火墙设置的话只是通过策略和路由实现，而通过网闸的话是用它自己的协议重新封装ip包再进行访问。网闸因为是用自己的协议重新封装ip包，所以处理数据多，速度慢。

它们究竟有哪些不一样内？
1、硬件架构：网闸是双主机+隔离硬件，防火墙是单主机系统，系统自身的安全性网闸要高得多。

2、OSI层级：网闸工作在应用层。防火墙分为“包过滤型”和“应用代理型”两大类。包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

大多数防火墙工作在网络层，对内容检查控制的级别低；虽然有代理型防火墙能够做到一些内容级检查，但是对应用类型支持有限，基本上只支持浏览、邮件功能；同时网闸具备很多防火墙不具备的功能，数据库、文件同步、定制开发接口。

3、数据交换机理：防火墙是工作在路由模式，直接进行数据包转发；网闸工作在主机模式，所有数据需要落地转换，完全屏蔽内部网络信息；

4、TCP/IP会话：防火墙内部所有的TCP/IP会话都是在网络之间进行保持，存在被劫持和复用的风险；网闸上不存在内外网之间的会话，连接终止于内外网主机。

总结：网闸和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具，安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同，因此不能相互取代，只有互补。