4. 防火墙与网闸的区别和等保中的适用性

如今，网络隔离技术已经得到越来越多的用户重视，因为信息的安全关系着个人、社会，乃至国家安全及稳定。网闸和防火墙一种是网络安全边界的安全卫士，其发挥的作用都不可轻视。

1.防火墙

防火墙是访问控制类产品，会在不破坏网络连通的情况下进行访问控制，要尽可能的保证连通。如果企业内网要支持FTP、组播、VLAN等业务，但是这些业务的数据不被放通，防火墙就要遭受被淘汰的命运。防火墙并不保证放行数据的安全性，用户必须开放80端口来提供web服务，那么基于80端口的DDOS拒绝服务攻击就很难避免了。

2.网闸

网闸则是在网络断开的情况下，以非网络方式进行文件交换，实现信息的共享。隔离网闸的原则是网络断开，而不是数据交换。网络断开就是不通，不支持任何应用，没有功能。网闸的核心技术是如何实现断开，如何以非网络方式安全地交换数据，如何满足用户的应用要求。

3.防火墙与网闸的区别

（1）概念区别

（2）硬件区别
防火墙是单主机架构，早期使用包过滤的技术；网闸是双主机2+1架构，通过私有的协议摆渡的方式进行数据交换，基于会话的检测机制。由于网闸是双主机结构，即使外网端被攻破，由于内部使用私有协议互通，没办法攻击到内网；防火墙是单主机结构，如果被攻击了，就会导致内网完全暴露给别人。
（3）功能区别
防火墙的工作原理，源端发起访问，防火墙收到后判断符合规则给与放通，目的端被访问；网闸的工作原理，我主动抓取放到另外一侧，两侧都是文件或数据库服务器，这个过程中终端不知道网闸的存在，因为对外没有开放端口，安全性更高，防火墙的端口是对外开放的。

4.防火墙与网闸在等级保护中的适用范围

①安全通信网络——>网络架构——>d) 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；
可在应用系统区、数据库系统区等需要对外提供服务网络区域采取防火墙与其他网络区域进行访问控制。
在政府建立内部网的工程中，安全保密问题一直是工程建设的重点内容，这是因为内部网中的信息常常是涉密或内部信息。可在政府专网与外网之间采用网闸进行隔离。

②安全区域边界——>边界防护——>d）应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。
可在无线AP与内网相连的过程中接入防火墙，对其进行访问控制。
由于无线网络的主要作用是为大量终端提供通信服务，而网闸的主要作用是隔离，所以网闸不适用。

③安全区域边界——>访问控制——>a）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。b）应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。c）应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出。
由于传统防火墙内部就是由大量的访问控制规则组成的，所以适用于上述条款。
由于网闸的主要作用是安全隔离而不是访问控制，所以不适用于上述条款。

④ 安全区域边界——>访问控制——>d）应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。e）应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
上述条款是用于可以提供会话状态检测和应用层检测从而进行访问控制的下一代防火墙。
由于网闸的主要作用是安全隔离而不是访问控制，所以不适用于上述条款。

④安全区域边界——>入侵防范——>a）应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
防火墙设备不适用。
由于网闸对于物理通路的切断单向控制及其之上的协议的终止，使得此类攻击行为无法进入内网，所以网闸适用于此项条款。

⑤ 安全区域边界——>恶意代码防范——>a)应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。
该项条款适用于内部装有防病毒模块的防火墙设备。
网闸的信息摆渡机制使得数据如同一个人拿着U盘在2台计算机之间拷贝文件（有效的防范了双向互动型的攻击，例如webshell），并且在拷贝之前会进行基于文件的检查（有效的防范了单向的网络攻击，例如外部发过来的格式化磁盘命令），因此网闸适用于此项条款。