防火墙与网闸对比文档网闸与防火墙的区别:防火墙与安全隔离网闸的最大区别可以从两个方面来谈:1.设计理念的不同在设计理念方面,防火墙是以应用为主安全为辅,也就是说在支持尽可能多的应用的前提下,来保证使用的安全。防火墙的这一设计理念使得它可以广泛地用于尽可能多的领域,拥有更加广泛的市场。而网闸则是以安全为主,在保证安全的前提下,支持尽可能多地应用。网闸主要用于安全性要求极高的领域,例如对政府网络,工业控制系统的保护等等。显然,由于把安全性放在首位,这样就会有更加严格的安全规则和更多地限制,因此可以应用的范围也较防火墙少一些,主要用于那些对安全性要求较高的环境下。相反防火墙可以应用于非常广泛的应用领域,甚至包括个人电脑都可以使用,但是它的安全性往往就差强人意人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络攻击都是发生在有防火墙的情况下,根据美国财经杂志统计资料表明,30%的入侵发生在有防火墙的情况下。由于这种设计理念的区别,因此可以有软件防火墙,但是却不会有软件网闸。2.系统的整体设计完全不同由于设计理念的不同也导致系统的整体设计也完全不同。硬件防火墙虽然可以有多种设计方式,但是一般来说,它都是单一的计算机系统由一个操作系统来控制构的,用户的内网和外网都连接在这同一个系统上,一旦这个系统的操作系统或协议栈被攻破,那么这个防火墙的不仅不能保护内网,还会被入侵者或黑客作为攻击内外的平台,因为这里只有一道防线。然而安全隔离网闸却完全不同,它自少由三部分组成,内网处理单元,外网处理单元和一个隔离岛,也就是所谓的 2+1 结构。一般来说,内外网处理单元是两个完全独立计算机的系统构,拥有各自独立的操作系统。内网处理单元与用户的内网相连,外网处理单元与外部网络相连,内外网处理系统之间通过隔离岛进行非协议的信息交换。可以看得出来,网闸的结构较防火墙要复杂的多,显然有两个独立的系统分别连接内外网,中间再由隔离岛隔离,数据首先从信息包里被剥离出来,然后经隔离岛交换。在网闸内部的两个处理单元间的数据交换是非标准协议的传输。由于标准协议要支持尽可能完善的网络功能以及适应不同的网络环境和协议,所以及其负杂,也容易造成漏洞,而且通用协议的漏洞被广泛地暴露和传播,非常易于被攻击。相反,由于在网闸的内部两个处理单元经由隔离岛的数据交换不存在适应不同的网络环境和协议的问题,只是内部数据的交...
