网闸和防火墙最大的区别是什么呢？

network

网闸和防火墙最大的区别是什么呢？

安全网闸技术是模拟人工拷盘的工作模式,通过电子开关的快速切换实现两个不同网段的数据交换的物理隔离安全技术。安全网闸技术在安全技术领域源于被称之为GAP，又称为Air Gap的安全技术，它本意是指由空气形成的用于隔离的缝隙。在网络安全技术中，主要指通过专用的硬件设备在物理不连通的情况下，实现两个独立网络之间的数据安全交换和资源共享。其原理如图：（略）


它由三个组件构成：A网处理机、B网处理机和GAP开关设备。我们可以很清楚地看到连接两个网络的GAP设备不能同时连接到相互独立的A网和B网中，即GAP在某一时刻只与其中某个网络相连。GAP设备连接A网时，它是与B网断开的，A网处理机把数据放入GAP中；GAP在接收完数据后自动切换到B网，同时，GAP与A网断开；B网处理机从GAP中取出数据，并根据合法数据的规则进行严格的检查，判断这些数据是否合法，若为非法数据，则删除它们。同理，B网也以同样的方式通过GAP将数据安全地交换到A网中。从A网处理机往GAP放入数据开始，到B网处理机从GAP中取出数据并检查结束，就完成了一次数据交换。GAP就这样在A网处理机与B网处理机之间来回往复地进行实时数据交换。在通过GAP交换数据的同时，A网和B网依然是隔离的。

安全网闸是如何来保证在两个网络之间的安全性呢？首先，这两个网络一直是隔离的，在两个网络之间只能通过GAP来交换数据，当两个网络的处理机或GAP三者中的任何一个设备出现问题时，都无法通过GAP进入另一个网络，因为它们之间没有物理连接；第二，GAP只交换数据，不直接传输TCP/IP，这样避免了TCP/IP的漏洞；第三，任何一方接收到数据，都要对数据进行严格的内容检测和病毒扫描，严格控制非法数据的交流。GAP的安全性高低关键在于其对数据内容检测的强弱。若不做任何检测，虽然是隔离的两个网络，也能传输非法数据、病毒、木马，甚至利用应用协议漏洞通过GAP设备从一个网络直接进入另一个网络。那么GAP的作用将大打折扣。

尽管作为物理安全设备，安全网闸提供的高安全性是显而易见的，但是由于其工作原理上的特性, 不可避免地决定了安全网闸存在一些缺陷：

1、    只支持静态数据交换，不支持交互式访问
这是安全网闸最明显得一个缺陷。类似于拷盘在两台主机间交换数据，安全网闸的数据是以存储转发模式工作的，在数据链路层其网段的两边始终是中断的，在其三个组件的任何一个节点上交换的都必须是完整的应用层数据。因此，它不支持诸如动态WEB页面技术中的ActiveX、Java甚至是客户端的cookie技术，目前安全网闸一般只支持静态WEB页，邮件文件等静态数据的交换。

2、    适用范围窄，必须根据具体应用开发专用的交换模块
由于数据链路层被忽略，安全网闸无法实现一个完整的ISO/OSI七层连接过程，所以安全网闸对所有交换的数据必须根据其特性开发专用的交换模块，而不是采用IS0/OSI七层模型提供的传统的层次封装的开放式编程接口。所以客户所能实现的数据交换类型均取决于产品提供商到底能提供多少种应用模块，甚至于要根据客户的要求临时开发各种应用模块，灵活性差，适用范围十分狭窄；

3、    系统配置复杂，安全性很大程度上取决于网管员的技术水平
安全网闸采用由其主动发起数据请求的方式进行工作，它不会接受和响应其它主机主动发起的数据请求，也不对外提供任何服务。对于取到的数据还要进行一些病毒、木马过滤和安全性检查等一系列功能，这都需要网管员根据网络应用的具体情况加以判断和设置。如果设置不当，比如对内部人员向外部提交的数据不进行过滤而导致信息外泄等，都可能造成安全网闸的安全功能大打折扣。

4、    结构复杂，实施费用较高
安全网闸的三个组件都必须为大容量存储设备，特别在支持多种应用的情况下，存储转发决定了必须采用较大的存储器来存储和缓存大量的交换数据。另外，安全网闸由于处在两个网段的结合部，具有网关的地位，一旦当机就会使两边数据无法交换，所以往往需要配置多台网闸设备作为冗余，使购置和实施费用不可避免地上升了；

5、    技术不成熟，没有形成体系化
安全网闸技术是一项新兴的网络安全技术，尚无专门的国际性研究组织对其进行系统的研究和从事相关体系化标准的制定工作。对其工作原理的界定也很模糊，在国外，一些应用的比较多的安全网闸产品，比如国外的e-Gap（Whale公司）和Air Gap AG系列（Spearhead公司），本质上它们是一种内容过滤型防火墙，由于支持交互式会话，严格意义上已经不属于物理隔离产品。国内的安全网闸成熟产品少，由于诸多原因，也并未得到充分推广；

6、    可能造成其他安全产品不能正常工作，并带来瓶颈问题
安全性和易用性始终是一对矛盾，在已有的防火墙，VPN，AAA认证设备等安全设施的多重构架环境中，安全网闸产品的加入，使网络日趋复杂化，正常的访问连接越来越多的被各种不可见和不易见因素所干扰和影响，已经配置好的各种网络产品和安全产品，可能由于安全网闸的配置不当而受到影响。由于多重过滤的安全设施结构，安全网闸的加入使瓶颈问题更加突出。因为电子开关切换速率的固有特性和安全过滤内容功能的复杂化，目前安全网闸的交换速率已接近该技术的理论速率极限，可以预见在不久的将来，随着高速网络技术的发展，安全网闸在交换速率上的问题将会成为阻碍网络数据交换的重要因素。

network

网闸多用于双网隔离的情况
双网隔离又有几种不同的情况
1. 单硬盘，自动或者手动在内网和外网间转换
这里的外网指的是可以和互联网联通的网络
内网指的是需要和互联网相隔离的网络，下同
2. 双硬盘，在启动系统的时候选择进入哪一个网络环境。
3. 专用计算机，专门的计算机仅仅连接内网
绝对不允许连接外网

网闸多使用在双网隔离，但是内网需要访问互联网的时候
比如说，在内网部署了企业版防病毒软件，病毒库升级是个大问题
对于单硬盘的情况，完全可以不使用网闸，直接切换到外网就可以了
切换到外网之后防病毒服务器可以顺利升级
之后在切换回来，进行内网各个主机的病毒库升级
或者是各个主机自助连接到外网进行升级

对于第二种情况：双硬盘
要么使用网闸，使防病毒服务器可以顺利升级病毒库
之后各个内网客户端通过内部防病毒服务器升级病毒库
要么就只能麻烦管理人员手工的方式来升级病毒库了
确实是很麻烦的事情呀
同情一下辛苦的管理员^^

对于第三种情况：专用计算机
因为保密，或者是其他原因
也许根本不允许使用移动存储设备接入
其他的设备：cdrom等等的使用
也是受到极其严格的限制的
这样也好，也许其安全性因此有所提高
病毒，蠕虫的危害会小一些
除非是用户自己编写了

network

首先我觉得网络隔离不是你说的什么单硬盘、双硬盘，这只是为了省钱，采用的技术，把一台电脑虚拟成多台。在很多地方都不是使用隔离卡的。至于病毒升级根本就不麻烦，管理员每天只要把升级包放到内网的服务器上就可以了。
网闸并不是说用在两个隔离网中间的，只要用了网闸，在物理上这两个网络就属于连通了。因此我们只能说用在两个具有不同安全要求的安全域之间，对于国家要求一定要物理隔离的网络，其实是不允许用任何设备来连通网络的。不知道这样说是不是对的。
第3我觉得应该是防火墙可以替代网闸而不是网闸可以替代防火墙。网闸从理论上说，设备本身的安全性可能高于防火墙，但从使用上来说，网闸不过就是在两个应用代理而已，中间走了私有协议。所谓的安全性高，也就是通过网闸走的应用少了，如果和防火墙也这样设置，安全性一样会得到提高的。网闸还有一个说法就是，网闸设备本身的漏洞问题，设备本身的漏洞不会影响到内部网络的安全性，外部被攻击，网络就断开了。但是这种说法只是注重了安全的一个侧面，即保密性加完整性，可是他牺牲了安全的另一个要素，可用性。也就是说，通过损失可用性来提高保密性和完整性，因此我们可以看见，这个设备的局限性，它适合对保密性要求高而对可用性要求低的场合。另外网闸是否如厂商所说的那样，真的不存在被穿透的可能性还是要等实践来证明。
网闸替代防火墙我觉得不可能，网闸的技术融入到防火墙中，或者网闸成为防火墙的一种形式的可能性倒是更大一些。其实我个人一直认为网闸不过是防火墙的一种。


在实际当中，也许只有军队系统，或者是其他具有强制约束力的部门
才能完全按照要求去做，保持绝对的物理隔离。
自己接触到的很多部门，工商等
上一级部门，省级，市级可以做得非常好
但是到了县一级，各个工商所一级就不容乐观了
而且，地区差异也很大，条件好可以配备多台终端机
条件不好的就只能有有限的一台终端机了


始的时候，隔离网闸的生产商都想把网闸作为物理隔离设备；不过后来还是被定性为逻辑隔离和交换设备。

按照生产厂家的说法：网闸在物理上是两台设备，中间利用单向电子开关、交换池实现数据的摆渡。没有同时的内外网连接，所以安全。

而防火墙是一台物理机器，利用不同的网卡连接到不同安全区域。

现在的网闸已经可以实现上网浏览、文件交换、数据库交换、邮件收发！估计安全特性要有所下降。

据我所知，在公安、水利、工商、劳动、社保、国土等行业，通过网闸实现内外网的数据交换的案例很多。

network

一个放开控制策略的网闸其实就是一个代理方式的防火墙，其自身的安全性在此时已经无关紧要了。网闸主要用于保密程序高的网络之间互联，如果两个网全是涉密网，也就是说两边都是自己人，存在对防火墙自身安全性的威胁吗？网闸技术面临很大的尴尬。我觉得认证网关＋VPN遂道＋防火墙的强度和适用性比网闸强。

network

网闸安不安全还是要看网闸厂商实现网闸的原理。
1、高安全性网闸
双机处理单元＋隔离卡方式，网闸通过自己的专用客户端来向用户提供应用服务。原理：专用客户端从用户指定的服务器上提取数据（存在病毒查杀功能），通过SSL加密通信方式，把数据送到网闸－侧，网闸对数据经过预处理，然后通过隔离卡摆渡到网闸（后期代理间存在特定协议认证）另一侧，另一侧程序接到数据后，把数据还原，然后通过SSL通道发送到另一侧的服务器，这就完成一次数据交换，我想这种方式的网闸安全是最高的，但是，性能可能比较底，大概5－6MBps左右，现在方式的网闸正在结合第三方的内容检查接口进行内容检查，我想安全性就更高了。

2、中等安全，中等可用性网闸
硬件架构和第一种样，差别是，它不是通过专用客户端，不是以文件的方式交换，其他都是一样的，这样网闸的速度大概是7－8MBps。

3、低安全性，高可用性
硬件还是双机架构，但是不是使用隔离卡进行隔离，而是通过逻辑通道进行隔离，其他处理方式和第二种一样，这样方式的网闸性能大概是8－9MBps。

所以说，网闸安不安全还是要看网闸的实现方式。

network

防火墙和网闸从本质上就不是一样的安全产品
防火墙是访问控制设备 大家很熟悉就不多说
网闸主要是数据摆渡设备 分内网和外网2个部分 外网和内网是不能进行直接连接的
网闸有多种应用 象工商 税务的一般保护内网服务器多使用前置机(通过前置机数据摆渡)
电力调度和公安等安全性要求高的实行内外隔离,不能实行数据的传输,或者是单向的传输.
后面有写网闸原理PPT文档(部分啦,内部东西不能泄密啦) 大家可以参考一下
楼上有讨论扫描WEB的测试和木马传送问题,可以分开讨论一下
首先有的网闸确实可以做到外网不能扫描到内网 (具体就不做广告了) 但是内网可以实现代理和单向传输的,需要做规则啦
再次 数据中含有病毒程序 木马程序 就要看网闸数据剥离后 看中间存储区查杀能力了(实际上大部分厂商在这一块都没什么投入,不然都去做杀毒软件去了)