×

网闸和防火墙的区别是什么? 想了解网闸的客户,一定会有
  

玖零网络 6452

{{ttag.title}}
网闸和防火墙的区别是什么?

想了解网闸的客户,一定会有这个疑问,到底网闸和防火墙的区别是什么?
我们先恶补一下防火墙的发展历史:
我记得我见过的第一台防火墙Cisco PIX 515E,记得当时R升级UR是要花钱的,美国发过来的货是不带3DES加密的。。。
是这个样子的:

防火墙的发展大致分为三个阶段:
第一阶段(1989-1994)
1、1989年产生了包过滤防火墙,可以实现简单的访问控制,属于第一代防火墙。
2、随后出现了代理防火墙,在应用层代理内部和外部的通讯,代理安全性很高,但是速度很慢,属于第二代防火墙。
3、1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙,通过分析报文状态来决定报文的动作,不需要为每个应用层序都进行代理,处理速度快而且安全性高,状态检测防火墙被称为第三代防火墙。
注:说实话我也不太了解这个阶段,因为我当时还是个小屁孩。。。
第二阶段(1995-2004)
1、状态检测已经称为趋势,防火墙开始增加一些功能,例如VPN功能,同时一些专用设备出现了雏形,比如专门保护Web服务器的WAF,有人读挖夫,有人读外夫。。。
2、2004年出现UTM(统一威胁管理)概念,就是将传统的防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。
第三阶段(2005年至今)
1、2004年之后UTM得到了快速发展,但是出现了新的问题,针对应用层信息检测受限,此时就需要通过更高级的检测手段,使DPI技术得到了广泛应用,其次是性能问题,多个功能同时使用,UTM性能会严重下降。
2、2008年Palo Alto Networks发布了下一代防火墙,解决了多个功能同时运行性能下降的问题,下一代防火墙还可以基于用户、应用、内容进行管理。
3、2009年Gartner对下一代防火墙进行了定义,明确下一代防火墙应具备的特性,随后各个厂商推出了自己的下一代防火墙。
这里主要以下一代防火墙为例:
首先我们看看下一代防火墙的硬件构成,主要有三种硬件平台:
1、mips平台,早起的嵌入式开发平台,现在仍然有使用。
2、arm平台,属于低端平台,一般在低端使用。
3、x86平台,目前的主流平台

我们在说说防火墙的软件架构:
通常嵌入式开发有两种典型架构,1、VxWorks + 自研代码 2、Linux +自研代码,两种架构各有优势,前者的实时性非常好,后者的稳定性和扩展性非常好,现在第二种已经是主流架构,第一种基本处于淘汰边缘。
一般防火墙的软件分为:
管理平面:就是怎么管理设备,Web,CLI,SSH,telnet 等等。
控制平面:负责协议的交互,比如ARP,OSPF,等等
转发平面:负责转发数据,通过查找转发表,按照指定的业务流程处理。
软件的转发模式又包含 轮询、中断、轮询+中断,不做过多说明。
接下来我们说一说下一代防火墙到底安全不安全,不安全的原因在哪里,以我自己了解初略的分析一下:
1、防火墙的访问控制是通过ACL控制,你今天设置小A允许通过,明天小A的电脑被黑了,依然可以通过,当然了你可以说下一代防火墙支持很多功能可以防护,我们继续往下看。
2、除掉ACL功能,下一代防火墙还会做IPS入侵检测,入侵检测到底能不能保证我们的安全,我们在说说入侵检测是怎么工作的
我们以外网进入内网的流量为例进行说明,首先IPS模块是怎么来检测你是攻击还是正常的数据包,通过IPS规则进行检测数据包,规则是从哪里的来的?1、每个厂商根据自己的经验整理的 2、从国外开源的IDS软件弄下来的。(这里得感谢开源代码,否则国内不会有这么多做入侵检测的公司。)
我们假设两种情况:
1、黑客尝试入侵你的网络,被IPS规则检测到丢弃了。---网络安全
2、黑客尝试入侵你的网络,但是没有被IPS规则检测到。---网络沦陷
你可以说你的特征库是最新的,但是你确定能阻止掉未知的威胁么,答案是即使是下一代防火墙也存在风险,比如今天出现了一个0day漏洞,某个工程师深夜加班开发了一条IPS规则,先不说这个规则有多少误报,然后在更新到你的防火墙IPS模块上,有可能防住这种攻击,但是这种可能性大么?并且暗网0day漏洞直接交易的,并不是都会公开的,讲到这里相信你懂了。
从防火墙的硬件说:
防火墙的硬件一般都有Bypass功能,什么是Bypass,就是当软件系统崩溃时(不要觉得不可能,一切皆有可能),内外网可以直接连通,防火墙是先保证连通然后保证安全。
我们再来谈谈网闸:
首先是从产品定位来说,网闸产品是先考虑安全,其次考虑的连通性,上一篇文章讲过网闸的隔离和交换原理,这里就不在重复了
离技术的发展历程是什么样的?
第一阶段:物理隔离,物理隔离最早出现在美国、以色列等国家军方,目的是解决涉密网络与公共网络的安全问题,顾名思义就是不连接。
第二阶段:出现了双硬盘隔离卡,需要重启电脑切换内外网连接,主要解决成本问题,最开始是多台电脑插拔网线,双硬盘隔离卡只在原电脑增加一块硬盘,比用两台电脑划算得多。
第三阶段:传统网闸,通过在两套系统之间建立缓冲区,进行分时连接和切换,最开始的网闸是通过电子开关切换,传一次数据按一次开关,经过测试发现开关很容易坏,并且效率非常低。
第四阶段:安全隔离与信息交换系统,现在业界普遍使用的逻辑隔离网闸产品。
具体网闸的工作原理和硬件架构,请参见文章 什么是网闸?,有介绍网闸的隔离交换原理。
通过以上对两种产品进行剖析,我们发现两种产品产生的背景和侧重是不同的,网闸主要功能是防止泄密,而防火墙主要是对一些常见攻击进行防御,所以两者的不同点在于定位不同,读到这里您应该知道是需要网闸还是需要防火墙了。


打赏鼓励作者,期待更多好文!

打赏
4人已打赏

新手835383 发表于 2019-2-16 08:17
  
谢谢分享~~~
金诺网络_JET 发表于 2019-2-28 17:24
  
防火墙和网闸是两种不同的产品,防火墙用在网络层以上,网闸用在数据链路层,层数越低管控越安全;
houhongtao 发表于 2019-3-8 15:50
  
很基础,温习了
开莱陈瑞 发表于 2019-3-14 13:40
  
谢谢分享
凡鸟末世 发表于 2019-3-15 11:05
  
感谢分享,学到行业的一些基础知识
福州办小程 发表于 2019-3-24 21:29
  
挺不错 学习了
zhoufuchen 发表于 2019-3-29 20:54
  
好东西 谢谢楼主
发表于 2020-10-18 15:10
  
相当于网闸主要抵挡黑客的远程控制?如果漏洞攻击或者病毒攻击的话,非法数据还是和合法数据一起通过网闸到到达内网,这是和外网不是实时通信罢了
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人