隔离网闸与防火墙产品比较

目录

一般应用功能比较 ............................................................. 3

技术原理比较 ................................................................. 4

产品的软硬件架构区别 ......................................................... 5

产品的定位区别 .............................................工作述职报告 .................. 5

网闸与防火墙配合使用 ......................................................... 6

1、基本对比表

网闸 防火墙 工业防火墙

应用领域 隔离工业控制网、多用分级保护、等级保护的几乎所有的网络边界

于生产网不同安全域不同安全域边界，公安，

（安全级别相同）的网金融、工业、军工、政

络边界之间。不用于生府等多个领域用于不同

产网与外网（办公网、安全级别的网络之间的

互联网）之间，其他行安全隔离

业应用较少。

逻辑隔离 安全隔离（介于物理隔逻辑隔离 安全级别

无 专属物理隔离部件 无 隔离部件

工业环境 机房环境 机房环境 应用环境

单主机软件结构 2+1物理结构 单主机软件结构 硬件结构

支持工业以太网协议，默认支持标准的支持主要互联网协议，适应的协议

目前以公开的基准母协TCP/UDP协议或基于上高级防火墙可支持的协

议约20个左右，经过改述协议开发的自定义协议多大上千种

进和再开发的协议多大议，支持文件同步和数

几百种。 据库同步，应用广泛，

离与逻辑隔离之间）

特殊的非基于上述标准

协议的工业协议，需定

制开发。

在注重安全性基础上，功能 功能丰富，几乎支持所适用于工业环境，稳定

支持大多数应用，广泛有业务应用 性好；

应用各个行业。

静态路由 广泛路由功能 广泛路由功能 路由

相对同级别防火墙低各层次均有 各层次均有 性能

10%左右，各个层次均

有，目前有万兆设备；

1 / 7

日志 关注隔离数据交换的日全面日志功能 较全面日志

志和严重安全威胁记

录，支持SYSlog；

10万~几十万都有 价格 几百到几十万的都有 1~10万左右

全面具有公安部，保密资质 证书全面，均是逻辑隔与防火墙类似，属逻辑

局、国家信息安全认证离安全类别证书，由低隔离类别证书；个别过

中心，军队信息安全认级别到高级别均有 安全给级别认证均是二

证中心等最高安全隔离级以下；

级别认证

多是安全领域的专属厂多是原工业研究所或三开发商数量 公开技术，开发商和产

商，需要较高的安全研产推出的，依托自身cad圆弧标注 行品众多，水平参差不齐

发生产水平，行业壁垒业背景定制开发工业应

高；多数厂家采用OEM用，在开源防火墙基础

生产。 上修改，自身研发实力

有限，行业壁垒体现在

行业背景。

2、传统安全产品的主要问题

 自身安全性不足。

安环保的英语 全产品的防御前提是自身安全性，目前防火墙、IDS等安全产品均采用单

主机结构，其操作系统、系统软件和配置策略特征库等均直接面对外网，软件设

计的漏洞、系统策略配置失误，操作系统的漏洞等经常造成防火墙被攻破，绕过

和破坏，导致网关防御失效。

 安全控制机制滞后。

防火墙、防病毒等普遍采用特征库、制订静态访问规则的被动防御方式，需

要不断更新特征库和添加策略，无法适应现今网络攻击快速变种、传播的特征，

陷入不断升级的怪圈，并对安全管理人员提出了更高的技术要求和管理要求。

 内网安全防御不足。

防火墙、IDS等主流安全系统的设计主要考虑外网对内网的攻击，而内网用

户对外访问方面控制力度较弱，导致敏感信息泄漏、木马后门程序驻留等安全问

题。

1、 从硬件架构来说，网闸是双主机+隔离硬件，防火墙、入侵检测是单主机系统；防火墙

2 / 7

和入侵检测的主机操作系统、系统软件和应用软件，访问控制策略和特征库等均运行在

直接面对公网的主机上，安全风险和被渗透的可能性比较高；网闸学习啦 所以的安全策略和防

护控制规则均运行在内网主机上，外网访问经过协议剥离与重组，采用裸数据方式摆渡

到内网，无法对安全策略和访问规则造成破坏，因此，设备系统自身的安全性网闸要高

得多；

2、 网闸工作在应用层，而大多数防火墙、入侵检测工作在网络层，采用包过滤和特征库匹

配方式进行安全检测和防护，对应用层、内容检查控制的级别低；虽然有代理型防火墙

能够做到一些内容级检查，但是对应用类型支持有限，基本上只支持浏览、邮件功能；

同时网闸具备很多防火墙不具备的功能，数据库、文件同步、定制开发接口；

3、 在数据交换机理上也不同，防火墙是工作在路由模式，入侵检测采用特征检查方式，直

接进行数据包转发，网闸夜了好吗 工作在主机模式，所有数据需要落地转换，完全进行协议剥离

和重组，全面防护网络层和系统层的已知和未知攻击行为，并且完全屏蔽内部网络、主

机信息，仅提供虚拟信息对外提供服务；

4、 防火墙内部、入侵检测内部均所有的TCP/IP会话都是在网络之间进行保持，存在被劫

持和复用的风险；网闸上不存在内外网之间的回话，连接终止于内外网主机。

从上边得知，无论从功能还是实现原理上讲，网闸和防火墙、入侵检测是完全不同的两

个产品，防火墙是保证网络层安全的边界安全工具、入侵检测是根据特征库对可能的入侵行

为进行分析并阻断（IPS），而安全隔离网闸重点是完全割断内外网的网络协议直接连通，采

用裸数据转发机制，保护内部网络和主机的安全。因此两种产品由于定位的不同，因此不能

相互取代。

3、一般应用功能比较

1. 网闸采用2＋1结构，核心隔离部件采用原始数据（文件）摆渡机制，较防

火墙单主机，协议包转发机制安全性更高。

2. 网闸安全控制策略存储在内网主机，较防火墙策略直接面对公网更安全；

3. 网闸可采取主动提取数据方式从内外网获得数据进行内外网数据交换、进行

内外网数据同步，且设备本身不开放端口，外网攻击行为无任何可能进入内

网，防火墙无此功能；

4. 网闸的管理配置均在内网进行，在外网无任何管理控制接口，防火墙的管理

配置直接面对公网，安全风险较高；

隔离网闸的系统内部设计架构如下图所示：

3 / 7

从硬件架构来说，网闸是双主机+独立隔离开关硬件，防火墙是单主机系统；

防火墙主机操作系统、系统软件和应用软件，访问控制策略和特征库等均运行在直接面对不

可信端的单主机上，安全风险和被渗透的可能性比较高；

4、

技术原理比较

1．防火墙是基于特征库匹配的运作模式，因此它只能防80后图片 止已知的攻击，对

未知的攻击，它无能为力。对于新发现的攻击，即使现在是已知的攻击，但是由

于可能未加入到它的特征库中（通过版本（补丁）升级实现），也起不到保护的

作用。升级的过程网络系统要中断服务，影响服务质量。而ViGap不是基于特

征库匹配的运作模式，它没有特征库的概念，它是通过基于协议RFC检查、拆

包处理（只传送有效数据部分）和反射GAP实现它的保护能力的，既它能防止

已知和未知的基于网络层和OS层的攻击，它不需要为特征库而打补丁。

2．防火墙和GAP的硬红烧排骨土豆 件结构不同，这才是它们的本质的不同。防火墙内外

两个网络没有物理隔离装置，内外的客户/服务器存在实际的连接，可能被黑客

通过使用IP碎片包攻击或通过未知的攻击来旁路防火墙规则库的检查，并通过

修改规则库使之成为一个网络层的简单路由器，这是防火墙就象一座没有士兵看

守的桥一样，随便通行，此时，内部网络安全性可想而知。而ViGap内外两个

网络是物理隔离的，因此黑客是不可能入侵到GAP的后端，即可信网络端服务

器和可信网络（内部网络），并且网络安全策略放在可信网络端，黑客不能访问

到，更不能修改它。当然GAP的前端（即不可信网络端服务器）是暴露在外部

的攻击下，它也是我们系统的替罪羊，黑客可能攻击到它，并可能使它不能正常

工作。即使这样，黑客也不能通过隔离的GAP入侵到可信网络端服务器。可信

网络端服务器会时时检测不可信网络端服务器的运行情况，在不可信网络端服务

器不能工作时，自动重新启动它，使它恢复正常，并有效地减少系统中断的时间，

提高服务质量。同时，在不可信网络端服务器上我们安装了IDS系统来尽量避

4 / 7

免它遭受起名诗经 来自外部的攻击。

3．ViGap能防止针对网络层和OS层的已知的和未知的攻击，而防火墙不

能防止未知的攻击。大家知道，半数以上的攻击是基于网络层和OS层的攻击，

其中多数成功的攻击是采用人们还未知的攻击，特别是新OS的引入，各种漏洞

和后门都潜在，容易被黑客利用，对于未知的攻击防火墙无能为力。这也是防火

墙屡屡被攻穿的主要原因之一。

5、

产品的软硬件架构区别

外网内网

安全

策略

ViGap300

安全阻断应用

6、

产品的定位区别



Internet

应安

用全

Z隔离网闸

F/W



物理隔离

5 / 7

7、

网闸与防火墙配合使用

防火墙作用：防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算

机流入流出的所有网络通信均要经过此防火墙。

防火墙的功能：防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，

以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁

止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访

问，从而防止来自不明入侵者的所有通信。

为什么使用防火墙：防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的

安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高

级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

网闸和防火墙配合使用：

 国家保密局定义网闸为“安全隔离产品”，认为其安全性介乎“物理隔离产

品物理隔离卡”和”逻辑隔离产品防火墙“之间；

 网闸可以完全屏蔽内部网络的结构，具有更高的安全作用，因此利用其隔离

安全特性，可以更加有效的保护内部网络、服务器的安全；

 防火墙支持多个网络划分应用，科连接多个子网，隔离网闸的隔离部件仅有

一套，因此一般用于两个网络或内外网两个服务器之间的数据交换；

 防火墙与网闸由于其安全作用不同，在网络中可以相互配合，构建纵深防御

体系，更加全面的保护内部网络。

 防火墙与网闸配合使用，可以实现安全强度叠加效应，如防火墙安全强度是

 两者的配合使用如下图：

6 / 7

7 / 7