隔离网闸与防火墙产品的比较

隔离网闸与防火墙产品的比较

ID:42640394

大小:1.34 MB

页数:7页

时间:2019-09-19

隔离网闸与防火墙产品的比较_第1页
隔离网闸与防火墙产品的比较_第2页
隔离网闸与防火墙产品的比较_第3页
隔离网闸与防火墙产品的比较_第4页
隔离网闸与防火墙产品的比较_第5页
资源描述:

《隔离网闸与防火墙产品的比较》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、目录一般应用功能比较1技术原理比较1产品的软硬件架构区别2产品的定位区别2网闸与防火墙配合使用31、基本对比表 网闸防火墙工业防火墙应用领域分级保护、等级保护的不同安全域边界,公安,金融、工业、军工、政府等多个领域用于不同安全级别的网络之间的安全隔离几乎所有的网络边界隔离工业控制网、多用于生产网不同安全域(安全级别相同)的网络边界之间。不用于生产网与外网(办公网、互联网)之间,其他行业应用较少。安全级别安全隔离(介于物理隔离与逻辑隔离之间)逻辑隔离逻辑隔离隔离部件专属物理隔离部件无无应用环境机房环境机房环境工业环境硬件结构2+1物理结构单主机软件结构单

2、主机软件结构适应的协议默认支持标准的TCP/UDP协议或基于上述协议开发的自定义协议,支持文件同步和数据库同步,应用广泛,特殊的非基于上述标准协议的工业协议,需定制开发。支持主要互联网协议,高级防火墙可支持的协议多大上千种支持工业以太网协议,目前以公开的基准母协议约20个左右,经过改进和再开发的协议多大几百种。功能在注重安全性基础上,支持大多数应用,广泛应用各个行业。功能丰富,几乎支持所有业务应用适用于工业环境,稳定性好;路由静态路由广泛路由功能广泛路由功能性能相对同级别防火墙低10%左右,各个层次均有,目前有万兆设备;各层次均有各层次均有7/7日志关

3、注隔离数据交换的日志和严重安全威胁记录,支持SYSlog;全面日志功能较全面日志价格10万~几十万都有几百到几十万的都有1~10万左右资质全面具有公安部,保密局、国家信息安全认证中心,军队信息安全认证中心等最高安全隔离级别认证证书全面,均是逻辑隔离安全类别证书,由低级别到高级别均有与防火墙类似,属逻辑隔离类别证书;个别过安全给级别认证均是二级以下;开发商数量多是安全领域的专属厂商,需要较高的安全研发生产水平,行业壁垒高;多数厂家采用OEM生产。公开技术,开发商和产品众多,水平参差不齐多是原工业研究所或三产推出的,依托自身行业背景定制开发工业应用,在开源

4、防火墙基础上修改,自身研发实力有限,行业壁垒体现在行业背景。2、传统安全产品的主要问题l自身安全性不足。安全产品的防御前提是自身安全性,目前防火墙、IDS等安全产品均采用单主机结构,其操作系统、系统软件和配置策略特征库等均直接面对外网,软件设计的漏洞、系统策略配置失误,操作系统的漏洞等经常造成防火墙被攻破,绕过和破坏,导致网关防御失效。l安全控制机制滞后。防火墙、防病毒等普遍采用特征库、制订静态访问规则的被动防御方式,需要不断更新特征库和添加策略,无法适应现今网络攻击快速变种、传播的特征,陷入不断升级的怪圈,并对安全管理人员提出了更高的技术要求和管理要

5、求。§内网安全防御不足。防火墙、IDS等主流安全系统的设计主要考虑外网对内网的攻击,而内网用户对外访问方面控制力度较弱,导致敏感信息泄漏、木马后门程序驻留等安全问题。1、从硬件架构来说,网闸是双主机+隔离硬件,防火墙、入侵检测是单主机系统7/7;防火墙和入侵检测的主机操作系统、系统软件和应用软件,访问控制策略和特征库等均运行在直接面对公网的主机上,安全风险和被渗透的可能性比较高;网闸所以的安全策略和防护控制规则均运行在内网主机上,外网访问经过协议剥离与重组,采用裸数据方式摆渡到内网,无法对安全策略和访问规则造成破坏,因此,设备系统自身的安全性网闸要高得

6、多;1、网闸工作在应用层,而大多数防火墙、入侵检测工作在网络层,采用包过滤和特征库匹配方式进行安全检测和防护,对应用层、内容检查控制的级别低;虽然有代理型防火墙能够做到一些内容级检查,但是对应用类型支持有限,基本上只支持浏览、邮件功能;同时网闸具备很多防火墙不具备的功能,数据库、文件同步、定制开发接口;2、在数据交换机理上也不同,防火墙是工作在路由模式,入侵检测采用特征检查方式,直接进行数据包转发,网闸工作在主机模式,所有数据需要落地转换,完全进行协议剥离和重组,全面防护网络层和系统层的已知和未知攻击行为,并且完全屏蔽内部网络、主机信息,仅提供虚拟信息

7、对外提供服务;3、防火墙内部、入侵检测内部均所有的TCP/IP会话都是在网络之间进行保持,存在被劫持和复用的风险;网闸上不存在内外网之间的回话,连接终止于内外网主机。从上边得知,无论从功能还是实现原理上讲,网闸和防火墙、入侵检测是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具、入侵检测是根据特征库对可能的入侵行为进行分析并阻断(IPS),而安全隔离网闸重点是完全割断内外网的网络协议直接连通,采用裸数据转发机制,保护内部网络和主机的安全。因此两种产品由于定位的不同,因此不能相互取代。3、一般应用功能比较1.网闸采用2+1结构,核心隔离部件采用原

8、始数据(文件)摆渡机制,较防火墙单主机,协议包转发机制安全性更高。2.网闸安全控制策略存储在内

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。