网闸和防火墙的区别是什么？ 想了解网闸的客户，一定会有

网闸和防火墙的区别是什么？

想了解网闸的客户，一定会有这个疑问，到底网闸和防火墙的区别是什么？
我们先恶补一下防火墙的发展历史：
我记得我见过的第一台防火墙Cisco PIX 515E，记得当时R升级UR是要花钱的，美国发过来的货是不带3DES加密的。。。
是这个样子的:

防火墙的发展大致分为三个阶段：
第一阶段（1989-1994）
1、1989年产生了包过滤防火墙，可以实现简单的访问控制，属于第一代防火墙。
2、随后出现了代理防火墙，在应用层代理内部和外部的通讯，代理安全性很高，但是速度很慢，属于第二代防火墙。
3、1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙，通过分析报文状态来决定报文的动作，不需要为每个应用层序都进行代理，处理速度快而且安全性高，状态检测防火墙被称为第三代防火墙。
注：说实话我也不太了解这个阶段，因为我当时还是个小屁孩。。。
第二阶段（1995-2004）
1、状态检测已经称为趋势，防火墙开始增加一些功能，例如VPN功能，同时一些专用设备出现了雏形，比如专门保护Web服务器的WAF，有人读挖夫，有人读外夫。。。
2、2004年出现UTM（统一威胁管理）概念，就是将传统的防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上，实现全面的安全防护。
第三阶段（2005年至今）
1、2004年之后UTM得到了快速发展，但是出现了新的问题，针对应用层信息检测受限，此时就需要通过更高级的检测手段，使DPI技术得到了广泛应用，其次是性能问题，多个功能同时使用，UTM性能会严重下降。
2、2008年Palo Alto Networks发布了下一代防火墙，解决了多个功能同时运行性能下降的问题，下一代防火墙还可以基于用户、应用、内容进行管理。
3、2009年Gartner对下一代防火墙进行了定义，明确下一代防火墙应具备的特性，随后各个厂商推出了自己的下一代防火墙。
这里主要以下一代防火墙为例：
首先我们看看下一代防火墙的硬件构成，主要有三种硬件平台：
1、mips平台，早起的嵌入式开发平台，现在仍然有使用。
2、arm平台，属于低端平台，一般在低端使用。
3、x86平台，目前的主流平台

我们在说说防火墙的软件架构:
通常嵌入式开发有两种典型架构，1、VxWorks + 自研代码 2、Linux +自研代码，两种架构各有优势，前者的实时性非常好，后者的稳定性和扩展性非常好，现在第二种已经是主流架构，第一种基本处于淘汰边缘。
一般防火墙的软件分为：
管理平面：就是怎么管理设备，Web，CLI，SSH，telnet 等等。
控制平面：负责协议的交互，比如ARP，OSPF，等等
转发平面：负责转发数据，通过查找转发表，按照指定的业务流程处理。
软件的转发模式又包含 轮询、中断、轮询+中断，不做过多说明。
接下来我们说一说下一代防火墙到底安全不安全，不安全的原因在哪里，以我自己了解初略的分析一下：
1、防火墙的访问控制是通过ACL控制，你今天设置小A允许通过，明天小A的电脑被黑了，依然可以通过，当然了你可以说下一代防火墙支持很多功能可以防护，我们继续往下看。
2、除掉ACL功能，下一代防火墙还会做IPS入侵检测，入侵检测到底能不能保证我们的安全，我们在说说入侵检测是怎么工作的
我们以外网进入内网的流量为例进行说明，首先IPS模块是怎么来检测你是攻击还是正常的数据包，通过IPS规则进行检测数据包，规则是从哪里的来的？1、每个厂商根据自己的经验整理的 2、从国外开源的IDS软件弄下来的。（这里得感谢开源代码，否则国内不会有这么多做入侵检测的公司。）
我们假设两种情况：
1、黑客尝试入侵你的网络，被IPS规则检测到丢弃了。---网络安全
2、黑客尝试入侵你的网络，但是没有被IPS规则检测到。---网络沦陷
你可以说你的特征库是最新的，但是你确定能阻止掉未知的威胁么，答案是即使是下一代防火墙也存在风险，比如今天出现了一个0day漏洞，某个工程师深夜加班开发了一条IPS规则，先不说这个规则有多少误报，然后在更新到你的防火墙IPS模块上，有可能防住这种攻击，但是这种可能性大么？并且暗网0day漏洞直接交易的，并不是都会公开的，讲到这里相信你懂了。
从防火墙的硬件说：
防火墙的硬件一般都有Bypass功能，什么是Bypass，就是当软件系统崩溃时（不要觉得不可能，一切皆有可能），内外网可以直接连通，防火墙是先保证连通然后保证安全。
我们再来谈谈网闸：
首先是从产品定位来说，网闸产品是先考虑安全，其次考虑的连通性，上一篇文章讲过网闸的隔离和交换原理，这里就不在重复了
离技术的发展历程是什么样的？
第一阶段：物理隔离，物理隔离最早出现在美国、以色列等国家军方，目的是解决涉密网络与公共网络的安全问题，顾名思义就是不连接。
第二阶段：出现了双硬盘隔离卡，需要重启电脑切换内外网连接，主要解决成本问题，最开始是多台电脑插拔网线，双硬盘隔离卡只在原电脑增加一块硬盘，比用两台电脑划算得多。
第三阶段：传统网闸，通过在两套系统之间建立缓冲区，进行分时连接和切换，最开始的网闸是通过电子开关切换，传一次数据按一次开关，经过测试发现开关很容易坏，并且效率非常低。
第四阶段：安全隔离与信息交换系统，现在业界普遍使用的逻辑隔离网闸产品。
具体网闸的工作原理和硬件架构，请参见文章 什么是网闸？，有介绍网闸的隔离交换原理。
通过以上对两种产品进行剖析，我们发现两种产品产生的背景和侧重是不同的，网闸主要功能是防止泄密，而防火墙主要是对一些常见攻击进行防御，所以两者的不同点在于定位不同，读到这里您应该知道是需要网闸还是需要防火墙了。

谢谢分享~~~

防火墙和网闸是两种不同的产品，防火墙用在网络层以上，网闸用在数据链路层，层数越低管控越安全；

很基础，温习了

谢谢分享

感谢分享，学到行业的一些基础知识

挺不错 学习了

好东西 谢谢楼主

相当于网闸主要抵挡黑客的远程控制？如果漏洞攻击或者病毒攻击的话，非法数据还是和合法数据一起通过网闸到到达内网，这是和外网不是实时通信罢了