| 产品定位 | 在保障互联互通的前提下,尽可能保障安全。 | 在保证高度安全的前提下,尽可能实现互联互通。 |
| 设计思想 | 网络访问控制设备。防火墙部署于网络边界,在保证双方网络访问连接的同时,根据策略对数据报文进行访问控制,并在不影响设备性能的前提下进行内容过滤。 | 网络隔离交换设备。模拟人工拷盘实现数据信息在两个网络之间交换。对于网络间通过网闸实现数据同步的应用,网闸主动监控并读取所隔离的两个网络中的服务器数据从而实现数据同步,而非服务器主动发起连接请求;对于网络间的客户端和服务器之间通过网闸访问控制的应用,网闸的一个主机系统中断访问连接,另一主机系统重新建立连接,两主机系统中在应用层进行数据报文重组,重在进行数据内容的检查。 |
| 硬件结构设计 | 防火墙为单主机结构,报文在同一个主机系统上经过安全检测后,根据策略转发。 | 安全隔离网闸基于“2+1”的体系结构,即由两个主机系统和一个隔离交换硬件组成,隔离交换硬件为专有硬件,不受主机系统控制。数据信息流经网闸时是串行流经三个系统的。 |
| 操作系统设计 | 防火墙一般采用单一的专用操作系统。 | 安全隔离网闸的两个主机系统各自有专用操作系统,相互独立。 |
| 协议处理程度 | 不同类型的防火墙,可能分别或综合采用分组包过滤、状态包过滤、NAT、应用层内容检查等安全技术,工作在OSI协议栈的第三至七层,通过匹配安全策略规则,依据IP头、TCP头信息、应用层明文信息,对进出防火墙的会话进行过滤。 | 所有到达安全隔离网闸外网的会话都被中断原有的TCP/IP连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。对所有数据在应用层进行协议还原的基础上,以专有协议格式进行数据摆渡,综合了访问控制、 内容过滤、病毒查杀等技术,具备全面的安全防护功能。 |
| 安全机制 | 采用包过滤、代理服务等安全机制。 | 在GAP技术的基础上,综合了访问控制、内容过滤、病毒查杀等技术,具有全面的安全防护功能。 |
| 抵御基于操作系统漏洞攻击行为 | 防火墙通过防止对内扫描等设置,可以部分防止黑客发现主机的操作系统漏洞。但无法阻止黑客通过防火墙允许的策略利用漏洞进行攻击。 | 安全隔离网闸的双主机之间是物理阻断的,无连接的,因此,黑客不可能扫描内部网络的所有主机的操作系统漏洞,无法攻击内部,包括安全隔离网闸的内部主机系统。 |
| 抵御基于TCP/IP漏洞的攻击 | 防火墙需要制定严格的访问控制策略对连接进行检查以抵御TCP/IP漏洞攻击,只能对大部分已知TCP/IP攻击实施阻断。 | 由于安全隔离网闸的主机系统把TCP/IP协议头全部剥离,以原始数据方式在两主机系统间进行“摆渡”,网闸的接受请求的主机系统与请求主机之间建立会话,因此,对于目前所有的如源地址欺骗、伪造TCP序列号、SYN攻击等TCP/IP漏洞攻击是完全阻断的。 |
| 抵御木马将数据外泄 | 防火墙部署时,一般对于内部网络向外部的访问控制是全部开放的,因此内部主机上的木马会很容易将数据外泄。并且黑客也容易通过木马主动建立的对外连接实现对内主机的远程控制。 | 安全隔离网闸对于每个应用都是在应用层进行处理,并且策略需按照应用逐个下达,同时对于目的地址也要唯一性指定,因此内部主机上的木马是无法实现将数据外泄的。并且木马主动发起的对外连接也将直接被隔离设备切断。 |
| 抵御基于文件的病毒传播 | 防火墙可以根据应用层访问控制策略对经过防火墙的文件进行检查,或根据对文件类型的控制,只允许低级文件格式,如无病毒的文本格式内容穿过防火墙。等方式来抵御病毒传播。 | 安全隔离网闸在理论上是完全可以防止基于文件的攻击,如病毒等。病毒一般依附在高级文件格式上,低级文件格式则不会有病毒,因此进行文件“摆渡”的时候,可以限制文件的类型,如只有文本文件才可以通过“摆渡”,这样就不会有病毒。另外一种方式,是剥离重组方式。剥离高级格式,就消除了病毒的载体,重组后的文件,不会再有病毒。这种方式会导致效率的下降,一些潜在的危险的格式可能会被禁止。 |
| 抵御DoS/DDoS攻击 | 防火墙通过SYN代理或SYN网关等技术,可以较好的抵御现有的各种DoS攻击类型。但对于大规模DDoS攻击方式,还没有有效的防护手段。 | 安全隔离网闸自身特有的无连接特性,能够很好的防止DoS或DDoS攻击穿过隔离设备攻击服务器。但也不能抵御针对安全隔离设备本身的DDoS攻击。 |
| 管理安全性 | 通过网络接口远程管理。但如攻击者获得了管理权限,可以通过远程调整防火墙的安全策略,从而达到攻击目的。 | 内外网主机系统分别有独立于网络接口的专用管理接口,同时对于运行的安全策略需要在两个系统分别下达,并通过统一的任务号进行对应。以此达到高安全。 |
| 可管理性 | 管理配置有一定复杂性。 | 个人认为管理配置不比防火墙简单。 |
| 遭攻击后果 | 被攻破的防火墙只是个简单的路由器,将危及内网安全。 | 即使系统的外网处理单元瘫痪,网络攻击也无法触及内网处理单元。 |
| 与其它安全设备联动性 | 目前防火墙基本都可以与IDS设备联动。 | 可结合防火墙、IDS、VPN等安全设备运行,形成综合网络安全防护平台 |
