网闸和防火墙
1. 网闸是什么
-
介绍
网闸,又名安全隔离网闸,物理隔离网闸;一般用于实现:不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。
目前国内网络安全公司:启明星辰、奇安信、绿盟科技、深信服、安恒信息、山石网科、天行网安、金电网安、国保金泰;据我所知网闸好像奇安信多些。
-
用途
最早用于军方,之后随着互联网的发展,主要用于高安全网络和其他低安全网络之间:如涉密网与非涉密网之间、局域网与互联网之间、办公网与业务网之间、电子政务的内网与专网之间、业务网与互联网之间进行的数据交换。
etrans应该用的就是网闸吧?
-
原理
网闸实现了内外网的逻辑隔离,在技术特征上,主要表现在网络模型各层的断开:物理层断开、链路层断开、TCP/IP协议隔离、应用协议隔离。
-
缺陷
(1)只支持静态数据交换,不支持交互式访问。
(2)适用范围窄。
(3)系统配置复杂,安全性很大程度上取决于网络管理员的技术水平。
(4)结构复杂,成本较高。
(5)技术不成熟,没有形成体系化。
(6)带来网络通信的“瓶颈”问题。
2. 防火墙是什么
-
介绍
防火墙像一种过滤塞,你可以自定义可以通过的东西,剩下的都无法通过。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包,防火墙的作用就是分析出入防火墙的数据包,其他的统统不要。防火墙种类,又有软件防火墙、硬件防火墙、芯片防火墙;例如华为云Web应用防火墙WAF,可以对网站业务流量进行多维度检测和防护。
防火墙可以部署在不同OSI协议层,数据层、应用层等。
3. 网闸和防火墙的区别是什么
总的来说,网闸是一种隔离设备,在保障安全的基础上实现通讯,而防火墙是保障通讯的基础上尽量做到安全。
针对网闸,大家有想过水电站上游和下游那么大的落差,上下的船只如何同行呢?比如,三峡升船机;那么网闸就像一个升船机。
- 对比图
| 项目 | 安全隔离网闸 | 防火墙 |
|---|---|---|
| **访问控制**特点 | 基于物理隔离的白名单控制 | 基于连通网络的黑名单控制 |
| 硬件特点 | 多主机形成纵深防御,保证隔离效果 | 单主机多宿主 |
| 隔离类型 | 专用隔离硬件 | 无专用数据交换硬件 |
| 软件特点 | 不允许TCP会话 | 允许TCP会话 |
| 访问类型 | 不允许从外到内的访问 | 允许从外到内的访问 |
| 安全性特点 | 可以最大程度防止未知攻击 | 不能防止未知攻击 |
| 性能与应用特点 | 确保安全性能所需的管理和维护工作量小 | 需要7x24监控,确保安全性能 |
| 数据通过性 | 性能适中 | 高性能 |
| 隔离方式 | 需要与应用系统结合 | 对应用透明 |
- 对比图
| 功能项 | 防火墙 | 安全隔离网闸 |
|---|---|---|
| 产品定位 | 在保障互联互通的前提下,尽可能保障安全。 | 在保证高度安全的前提下,尽可能实现互联互通。 |
| 设计思想 | 网络访问控制设备。防火墙部署于网络边界,在保证双方网络访问连接的同时,根据策略对数据报文进行访问控制,并在不影响设备性能的前提下进行内容过滤。 | 网络隔离交换设备。模拟人工拷盘实现数据信息在两个网络之间交换。对于网络间通过网闸实现数据同步的应用,网闸主动监控并读取所隔离的两个网络中的服务器数据从而实现数据同步,而非服务器主动发起连接请求;对于网络间的客户端和服务器之间通过网闸访问控制的应用,网闸的一个主机系统中断访问连接,另一主机系统重新建立连接,两主机系统中在应用层进行数据报文重组,重在进行数据内容的检查。 |
| 硬件结构设计 | 防火墙为单主机结构,报文在同一个主机系统上经过安全检测后,根据策略转发。 | 安全隔离网闸基于“2+1”的体系结构,即由两个主机系统和一个隔离交换硬件组成,隔离交换硬件为专有硬件,不受主机系统控制。数据信息流经网闸时是串行流经三个系统的。 |
| 操作系统设计 | 防火墙一般采用单一的专用操作系统。 | 安全隔离网闸的两个主机系统各自有专用操作系统,相互独立。 |
| 协议处理程度 | 不同类型的防火墙,可能分别或综合采用分组包过滤、状态包过滤、NAT、应用层内容检查等安全技术,工作在OSI协议栈的第三至七层,通过匹配安全策略规则,依据IP头、TCP头信息、应用层明文信息,对进出防火墙的会话进行过滤。 | 所有到达安全隔离网闸外网的会话都被中断原有的TCP/IP连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。对所有数据在应用层进行协议还原的基础上,以专有协议格式进行数据摆渡,综合了访问控制、 内容过滤、病毒查杀等技术,具备全面的安全防护功能。 |
| 安全机制 | 采用包过滤、代理服务等安全机制。 | 在GAP技术的基础上,综合了访问控制、内容过滤、病毒查杀等技术,具有全面的安全防护功能。 |
| 抵御基于操作系统漏洞攻击行为 | 防火墙通过防止对内扫描等设置,可以部分防止黑客发现主机的操作系统漏洞。但无法阻止黑客通过防火墙允许的策略利用漏洞进行攻击。 | 安全隔离网闸的双主机之间是物理阻断的,无连接的,因此,黑客不可能扫描内部网络的所有主机的操作系统漏洞,无法攻击内部,包括安全隔离网闸的内部主机系统。 |
| 抵御基于TCP/IP漏洞的攻击 | 防火墙需要制定严格的访问控制策略对连接进行检查以抵御TCP/IP漏洞攻击,只能对大部分已知TCP/IP攻击实施阻断。 | 由于安全隔离网闸的主机系统把TCP/IP协议头全部剥离,以原始数据方式在两主机系统间进行“摆渡”,网闸的接受请求的主机系统与请求主机之间建立会话,因此,对于目前所有的如源地址欺骗、伪造TCP序列号、SYN攻击等TCP/IP漏洞攻击是完全阻断的。 |
| 抵御木马将数据外泄 | 防火墙部署时,一般对于内部网络向外部的访问控制是全部开放的,因此内部主机上的木马会很容易将数据外泄。并且黑客也容易通过木马主动建立的对外连接实现对内主机的远程控制。 | 安全隔离网闸对于每个应用都是在应用层进行处理,并且策略需按照应用逐个下达,同时对于目的地址也要唯一性指定,因此内部主机上的木马是无法实现将数据外泄的。并且木马主动发起的对外连接也将直接被隔离设备切断。 |
| 抵御基于文件的病毒传播 | 防火墙可以根据应用层访问控制策略对经过防火墙的文件进行检查,或根据对文件类型的控制,只允许低级文件格式,如无病毒的文本格式内容穿过防火墙。等方式来抵御病毒传播。 | 安全隔离网闸在理论上是完全可以防止基于文件的攻击,如病毒等。病毒一般依附在高级文件格式上,低级文件格式则不会有病毒,因此进行文件“摆渡”的时候,可以限制文件的类型,如只有文本文件才可以通过“摆渡”,这样就不会有病毒。另外一种方式,是剥离重组方式。剥离高级格式,就消除了病毒的载体,重组后的文件,不会再有病毒。这种方式会导致效率的下降,一些潜在的危险的格式可能会被禁止。 |
| 抵御DoS/DDoS攻击 | 防火墙通过SYN代理或SYN网关等技术,可以较好的抵御现有的各种DoS攻击类型。但对于大规模DDoS攻击方式,还没有有效的防护手段。 | 安全隔离网闸自身特有的无连接特性,能够很好的防止DoS或DDoS攻击穿过隔离设备攻击服务器。但也不能抵御针对安全隔离设备本身的DDoS攻击。 |
| 管理安全性 | 通过网络接口远程管理。但如攻击者获得了管理权限,可以通过远程调整防火墙的安全策略,从而达到攻击目的。 | 内外网主机系统分别有独立于网络接口的专用管理接口,同时对于运行的安全策略需要在两个系统分别下达,并通过统一的任务号进行对应。以此达到高安全。 |
| 可管理性 | 管理配置有一定复杂性。 | 个人认为管理配置不比防火墙简单。 |
| 遭攻击后果 | 被攻破的防火墙只是个简单的路由器,将危及内网安全。 | 即使系统的外网处理单元瘫痪,网络攻击也无法触及内网处理单元。 |
| 与其它安全设备联动性 | 目前防火墙基本都可以与IDS设备联动。 | 可结合防火墙、IDS、VPN等安全设备运行,形成综合网络安全防护平台。 |
4. 参考资料
- https://baike.baidu.com/item/%E5%AE%89%E5%85%A8%E9%9A%94%E7%A6%BB%E7%BD%91%E9%97%B8
- OSI七层协议
- 中国网络安全领域产业
OSI七层协议
| OSI中的层 | 功能 | TCP/IP协议族 |
|---|---|---|
| 7 应用层 | 文件传输,电子邮件,文件服务,虚拟终端 | TFTP,HTTP,SNMP,FTP,SMTP,DNS,Telnet 等等 |
| 6 表示层 | 数据格式化,代码转换,数据加密 | 没有协议 |
| 5 会话层 | 解除或建立与别的接点的联系 | 没有协议 |
| 4 传输层 | 提供端对端的接口 | TCP,UDP |
| 3 网络层 | 为数据包选择路由 | IP,ICMP,OSPF,EIGRP,IGMP |
| 2 数据链路层 | 传输有地址的帧以及错误检测功能 | SLIP,CSLIP,PPP,MTU |
| 1 物理层 | 以二进制数据形式在物理媒体上传输数据 | ISO2110,IEEE802,IEEE802.2 |
扫一扫
7195
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
