包過濾網閘

① 殺毒軟體和防火牆的區別

1.防火牆是位於計算機和它所連接的網路之間的軟體，安裝了防火牆的計算機流入流出的所有網路通信均要經過此防火牆。使用防火牆是保障網路安全的第一步，選擇一款合適的防火牆，是保護信息安全不可或缺的一道屏障。

2.因為殺毒軟體和防火牆軟體本身定位不同，所以在安裝反病毒軟體之後，還不能阻止黑客攻擊，用戶需要再安裝防火牆類軟體來保護系統安全。

3.殺毒軟體主要用來防病毒，防火牆軟體用來防黑客攻擊。

4.病毒為可執行代碼，黑客攻擊為數據包形式。

5.病毒通常自動執行，黑客攻擊是被動的。

6.病毒主要利用系統功能，黑客更注重系統漏洞。

7.當遇到黑客攻擊時反病毒軟體無法對系統進行保護。

8.對於初級用戶，可以選擇使用防火牆軟體配置好的安全級別。

9.防火牆軟體需要對具體應用進行規格配置。

10.防火牆不處理病毒

不管是funlove病毒也好，還是CIH也好,在內部網路用戶下載外網的帶毒文件的時候，防火牆是不為所動的（這里的防火牆不是指單機/企業級的殺毒軟體中的實時監控功能，雖然它們不少都叫「病毒防火牆」）。

看到這里，或許您原本心目中的防火牆已經被我拉下了神台。是的，防火牆是網路安全的重要一環，但不代表設置了防火牆就能一定保證網路的安全。「真正的安全是一種意識，而非技術!」請牢記這句話。

不管怎麼樣，防火牆仍然有其積極的一面。在構建任何一個網路的防禦工事時，除了物理上的隔離和目前新近提出的網閘概念外，首要的選擇絕對是防火牆。

最後，要說的依然是那句「世界上沒有一種技術能真正保證絕對地安全。」安全問題，是從設備到人，從伺服器上的每個服務程序到防火牆、IDS等安全產品的綜合問題；任何一個環節工作，只是邁向安全的步驟。

附錄：

防火牆能夠作到些什麼？

1.包過濾

具備包過濾的就是防火牆？對，沒錯！根據對防火牆的定義，凡是能有效阻止網路非法連接的方式，都算防火牆。早期的防火牆一般就是利用設置的條件，監測通過的包的特徵來決定放行或者阻止的，包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出，但是包過濾依然是非常重要的一環，如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾，防火牆可以實現阻擋攻擊，禁止外部/內部訪問某些站點，限制每個ip的流量和連接數。

2.包的透明轉發

事實上，由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息，都需要經過防火牆的轉發,因此，很多防火牆具備網關的能力。

3.阻擋外部攻擊

如果用戶發送的信息是防火牆設置所不允許的，防火牆會立即將其阻斷，避免其進入防火牆之後的伺服器中。

4.記錄攻擊

如果有必要，其實防火牆是完全可以將攻擊行為都記錄下來的，但是由於出於效率上的考慮，目前一般記錄攻擊的事情都交給IDS（入侵檢測系統）來完成了。

以上是所有防火牆都具備的基本特性，雖然很簡單，但防火牆技術就是在此基礎上逐步發展起來的。

② 怎樣解決網路邊界安全問題

1、防火牆技術

網路隔離最初的形式是網段的隔離，因為不同的網段之間的通訊是通過路由器連通的，要限制某些網段之間不互通，或有條件地互通，就出現了訪問控制技術，也就出現了防火牆，防火牆是不同網路互聯時最初的安全網關。


防火牆的安全設計原理來自於包過濾與應用代理技術，兩邊是連接不同網路的介面，中間是訪問控制列表ACL，數據流要經過ACL的過濾才能通過。ACL有些象海關的身份證檢查，檢查的是你是哪個國家的人，但你是間諜還是遊客就無法區分了，因為ACL控制的是網路的三層與四層，對於應用層是無法識別的。後來的防火牆增加了NAT/PAT技術，可以隱藏內網設備的IP地址，給內部網路蒙上面紗，成為外部「看不到」的灰盒子，給入侵增加了一定的難度。但是木馬技術可以讓內網的機器主動與外界建立聯系，從而「穿透」了NAT的「防護」，很多P2P應用也採用這種方式「攻破」了防火牆。

防火牆的作用就是建起了網路的「城門」，把住了進入網路的必經通道，所以在網路的邊界安全設計中，防火牆成為不可缺的一部分。

防火牆的缺點是：不能對應用層識別，面對隱藏在應用中的病毒、木馬都好無辦法。所以作為安全級別差異較大的網路互聯，防火牆的安全性就遠遠不夠了。

2、多重安全網關技術

既然一道防火牆不能解決各個層面的安全防護，就多上幾道安全網關，如用於應用層入侵的IPS、用於對付病毒的AV、用於對付DDOS攻擊的…此時UTM設備就誕生了，設計在一起是UTM，分開就是各種不同類型的安全網關。

多重安全網關就是在城門上多設幾個關卡，有了職能的分工，有驗證件的、有檢查行李的、有查毒品的、有查間諜的……

多重安全網關的安全性顯然比防火牆要好些，起碼對各種常見的入侵與病毒都可以抵禦。但是大多的多重安全網關都是通過特徵識別來確認入侵的，這種方式速度快，不會帶來明顯的網路延遲，但也有它本身的固有缺陷，首先，應用特徵的更新一般較快，目前最長也以周計算，所以網關要及時地「特徵庫升級」；其次，很多黑客的攻擊利用「正常」的通訊，分散迂迴進入，沒有明顯的特徵，安全網關對於這類攻擊能力很有限；最後，安全網關再多，也只是若干個檢查站，一旦「混入」，進入到大門內部，網關就沒有作用了。這也安全專家們對多重安全網關「信任不足」的原因吧。

3、網閘技術

網閘的安全思路來自於「不同時連接」。不同時連接兩個網路，通過一個中間緩沖區來「擺渡」業務數據，業務實現了互通，「不連接」原則上入侵的可能性就小多了。

網閘只是單純地擺渡數據，近似於人工的「U盤擺渡」方式。網閘的安全性來自於它擺渡的是「純數據」還是「灰數據」，通過的內容清晰可見，「水至清則無魚」，入侵與病毒沒有了藏身之地，網路就相對安全了。也就是說，城門只讓一種人通過，比如送菜的，間諜可混入的概率就大大降低了。但是，網閘作為網路的互聯邊界，必然要支持各種業務的連通，也就是某些通訊協議的通過，所以網閘上大多開通了協議的代理服務，就象城牆上開了一些特殊的通道，網閘的安全性就打了折扣，在對這些通道的安全檢查方面，網閘比多重安全網關的檢查功效不見得高明。

網閘的思想是先堵上，根據「城內」的需要再開一些小門，防火牆是先打開大門，對不希望的人再逐個禁止，兩個思路剛好相反。在入侵的識別技術上差不多，所以採用多重網關增加對應用層的識別與防護對兩者都是很好的補充。

後來網閘設計中出現了存儲通道技術、單向通道技術等等，但都不能保證數據的「單純性」，檢查技術由於沒有新的突破，所以網閘的安全性受到了專家們的質疑。

但是網閘給我們帶來了兩點啟示：

1、建立業務互通的緩沖區，既然連接有不安全的可能，單獨開辟一塊地區，縮小不安全的范圍也是好辦法。

2、協議代理，其實防火牆也有應用代理是思想，不讓來人進入到成內，你要什麼服務我安排自己的人給你提供服務，網路訪問的最終目的是業務的申請，我替你完成了，不也達到目的了嗎？黑客在網路的大門外邊，不進來，威脅就小多啦。

4、數據交換網技術

火牆到網閘，都是採用的關卡方式，「檢查」的技術各有不同，但對黑客的最新攻擊技術都不太好用，也沒有監控的手段，對付「人」的攻擊行為來說，只有人才是最好的對手。

數據交換網技術是基於緩沖區隔離的思想，把城門處修建了一個「數據交易市場」，形成兩個緩沖區的隔離，同時引進銀行系統對數據完整性保護的Clark-Wilson模型，在防止內部網路數據泄密的同時，保證數據的完整性，即沒有授權的人不能修改數據，防止授權用戶錯誤的修改，以及內外數據的一致性。

數據交換網技術給出了邊界防護的一種新思路，用網路的方式實現數據交換，也是一種用「土地換安全」的策略。在兩個網路間建立一個緩沖地，讓「貿易往來」處於可控的范圍之內。

數據交換網技術比其他邊界安全技術有顯著的優勢：

1、綜合了使用多重安全網關與網閘，採用多層次的安全「關卡」。

2、有了緩沖空間，可以增加安全監控與審計，用專家來對付黑客的入侵，邊界處於可控制的范圍內，任何蛛絲馬跡、風吹草動都逃不過監控者的眼睛。

3、業務的代理保證數據的完整性，業務代理也讓外來的訪問者止步於網路的交換區，所有的需求由服務人員提供，就象是來訪的人只能在固定的接待區洽談業務，不能進入到內部的辦公區。

數據交換網技術針對的是大數據互通的網路互聯，一般來說適合於下面的場合：

1、頻繁業務互通的要求：

要互通的業務數據量大，或有一定的實時性要求，人工方式肯定不夠用，網關方式的保護性又顯不足，比如銀行的銀聯系統、海關的報關系統、社保的管理系統、公安的出入境管理系統、大型企業的內部網路（運行ERP）與Internet之間、公眾圖書館系統等等。這些系統的突出特點都是其數據中心的重要性是不言而喻，但又與廣大百姓與企業息息相關，業務要求提供互聯網的訪問，在安全性與業務適應性的要求下，業務互聯需要用完整的安全技術來保障，選擇數據交換網方式是適合的。

2、高密級網路的對外互聯：

高密級網路一般涉及國家機密，信息不能泄密是第一要素，也就是絕對不允許非授權人員的入侵。然而出於對公眾信息的需求，或對大眾網路與信息的監管，必須與非安全網路互聯，若是監管之類的業務，業務流量也很大，並且實時性要求也高，在網路互聯上選擇數據交換網技術是適合的。

四、總結「魔高道高，道高魔高」。網路邊界是兩者長期博弈的「戰場」，然而安全技術在「不斷打補丁」的同時，也逐漸在向「主動防禦、立體防護」的思想上邁進，邊界防護的技術也在逐漸成熟，數據交換網技術就已經不再只是一個防護網關，而是一種邊界安全網路，綜合性的安全防護思路。也許安全的話題是永恆的，但未來的網路邊界一定是越來越安全的，網路的優勢就在於連通。

③ 殺毒軟體和防火牆軟體有什麼區別

1.防火牆是位於計算機和它所連接的網路之間的軟體，安裝了防火牆的計算機流入流出的所有網路通信均要經過此防火牆。使用防火牆是保障網路安全的第一步，選擇一款合適的防火牆，是保護信息安全不可或缺的一道屏障。

2.因為殺毒軟體和防火牆軟體本身定位不同，所以在安裝反病毒軟體之後，還不能阻止黑客攻擊，用戶需要再安裝防火牆類軟體來保護系統安全。

3.殺毒軟體主要用來防病毒，防火牆軟體用來防黑客攻擊。

4.病毒為可執行代碼，黑客攻擊為數據包形式。

5.病毒通常自動執行，黑客攻擊是被動的。

6.病毒主要利用系統功能，黑客更注重系統漏洞。

7.當遇到黑客攻擊時反病毒軟體無法對系統進行保護。

8.對於初級用戶，可以選擇使用防火牆軟體配置好的安全級別。

9.防火牆軟體需要對具體應用進行規格配置。

10.防火牆不處理病毒

不管是funlove病毒也好，還是CIH也好,在內部網路用戶下載外網的帶毒文件的時候，防火牆是不為所動的（這里的防火牆不是指單機/企業級的殺毒軟體中的實時監控功能，雖然它們不少都叫「病毒防火牆」）。

看到這里，或許您原本心目中的防火牆已經被我拉下了神台。是的，防火牆是網路安全的重要一環，但不代表設置了防火牆就能一定保證網路的安全。「真正的安全是一種意識，而非技術!」請牢記這句話。

不管怎麼樣，防火牆仍然有其積極的一面。在構建任何一個網路的防禦工事時，除了物理上的隔離和目前新近提出的網閘概念外，首要的選擇絕對是防火牆。

最後，要說的依然是那句「世界上沒有一種技術能真正保證絕對地安全。」安全問題，是從設備到人，從伺服器上的每個服務程序到防火牆、IDS等安全產品的綜合問題；任何一個環節工作，只是邁向安全的步驟。

附錄：

防火牆能夠作到些什麼？

1.包過濾

具備包過濾的就是防火牆？對，沒錯！根據對防火牆的定義，凡是能有效阻止網路非法連接的方式，都算防火牆。早期的防火牆一般就是利用設置的條件，監測通過的包的特徵來決定放行或者阻止的，包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出，但是包過濾依然是非常重要的一環，如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾，防火牆可以實現阻擋攻擊，禁止外部/內部訪問某些站點，限制每個 ip的流量和連接數。

2.包的透明轉發

事實上，由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息，都需要經過防火牆的轉發,因此，很多防火牆具備網關的能力。

3.阻擋外部攻擊

如果用戶發送的信息是防火牆設置所不允許的，防火牆會立即將其阻斷，避免其進入防火牆之後的伺服器中。

4.記錄攻擊

如果有必要，其實防火牆是完全可以將攻擊行為都記錄下來的，但是由於出於效率上的考慮，目前一般記錄攻擊的事情都交給IDS（入侵檢測系統）來完成了。

以上是所有防火牆都具備的基本特性，雖然很簡單，但防火牆技術就是在此基礎上逐步發展起來的。
參考資料：網路

④ 誰了解電子政務專網 「網閘」 的原理

雲海OA電子政務方案，處理過網閘問題；
網閘的基本原理是：切斷網路之間的通用協議連接；將數據包進行分解或重組為靜態數據；對靜態數據進行安全審查，包括網路協議檢查和代碼掃描等；確認後的安全數據流入內部單元；內部用戶通過嚴格的身份認證機制獲取所需數據。
網閘是在兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息才可以通過。其信息流一般為通用應用服務。
註：網閘的「閘」字取自於船閘的意思，在信息擺渡的過程中內外網（上下游）從未發生物理連接，所以網閘產品必須要有至少兩套主機和一個物理隔離部件才可完成物理隔離任務。現在市場上出現的的單主機網閘或單主機中有兩個及多個處理引擎的過濾產品不是真正的網閘產品，不符合物理隔離標准。其只是一個包過濾的安全產品，類似防火牆。
註：單主機網閘多以單向網閘來掩人耳目。
隔離網閘是一種由專用硬體在電路上切斷網路之間的鏈路層連接，能夠在物理隔離的網路之間進行適度的安全數據交換的網路安全設備。

⑤ 網閘的其它問題

（一）安全隔離網閘通常布置在什麼位置？
安全隔離網閘通常布置在兩個安全級別不同的兩個網路之間，如信任網路和非信任網路，管理員可以從信任網路一方對安全隔離網閘進行管理。
（二）安全隔離網閘的部署是否需要對網路架構作調整？
採用透明方式的網閘只需要在兩個網路各提供一個有效的IP地址即可。採用路由模式的網閘要求一定的改動。有的網閘支持兩種連接方式。有的只支持一種。只支持路由模式的網閘就會要求對網路結構有改動。
（三）安全隔離網閘是否可以在網路內部使用？
可以，網路內部安全級別不同的兩個網路之間也可以安裝安全隔離網閘進行隔離。
（四）安全隔離網閘支持互動式訪問嗎？
鑒於安全隔離網閘保護的主要是內部網路，一旦支持互動式訪問如支持建立會話，那麼無法防止信息的泄漏以及內部系統遭受攻擊，因此，安全隔離網閘不支持互動式訪問.
（五）支持反向代理的安全隔離網閘安全嗎？
支持反向代理意味著可以從非信任網路間接授權訪問信任網路上的資源，一旦代理軟體在安全檢查或者軟體實現上出現問題，那麼很有可能會被黑客利用並非法存取內部資源。因此從安全性上講，支持反向代理的安全隔離網閘不安全。
（六）如果對應網路七層協議，安全隔離網閘是在哪一層斷開？
如果針對網路七層協議，安全隔離網閘是在硬體鏈路層上斷開。
（七）安全隔離網閘支持百兆網路嗎？千兆網路如何支持？
安全隔離網閘支持百兆網路，目前國內最快的可以達到120MBps。對於千兆網路，可以採用多台安全隔離網閘進行負載均衡。
（八）安全隔離網閘自身的安全性如何？
安全隔離網閘雙處理單元上都採用了安全加固的操作系統，包括強制訪問控制、基於內核的入侵檢測等安全功能，並且該系統得到國家權威部門的認證。
（九）安全隔離網閘有身份認證機制嗎？
有。安全隔離網閘在用於郵件轉發和網頁瀏覽的時候，對用戶進行用戶名/口令、證書認證等多種形式的身份認證。
（十）有了防火牆和IDS，還需要安全隔離網閘嗎？
防火牆是網路層邊界檢查工具，可以設置規則對內部網路進行安全防護，而IDS一般是對已知攻擊行為進行檢測，這兩種產品的結合可以很好的保護用戶的網路，但是從安全原理上來講，無法對內部網路做更深入的安全防護。安全隔離網閘重點是保護內部網路，如果用戶對內部網路的安全非常在意，那麼防火牆和IDS再加上安全隔離網閘將會形成一個很好的防禦體系。
（十一）受安全隔離網閘保護的內部網路需要不斷升級嗎？
安全隔離網閘首先在鏈路層斷開，徹底切斷網路連接，並僅允許僅有的四種指定靜態數據進行交換，對外不接受請求，並且在內部用戶訪問外部網路時採用靜態頁面返回（過濾ActiveX、Java、cookie等），並且木馬無法通過安全隔離網閘進行通訊，因此內部網路針對外部的攻擊根本無需升級。
（十二）為什麼受防火牆保護的內部網路需要不斷升級？
防火牆是在網路層對數據包作安全檢查，並不切斷網路連接，很多案例證明無論包過濾還是代理防火牆都很難防止木馬病毒的入侵內部網路，Nimda繞過很多防火牆的檢查並在全世界肆虐就是一個很好的例證，因此需要用戶的內部網路不斷升級自己的客戶端如瀏覽器。
（十三）安全隔離網閘能否防止內部無意信息泄漏？
由於安全隔離網閘在數據交換時採用了證書機制，對所有的信息進行證書驗證，因此對於那些病毒亂發郵件所造成的無意信息泄漏起到很好的防範作用。
（十四）使用安全隔離網閘時需要安裝客戶端嗎？
有的網閘管理員使用通用的瀏覽器即可對其進行管理配置，使用安全隔離網閘時不需安裝其他客戶端。 但是這種方式具有極大的安全風險，因為遠程連接會引入安全威脅，而這種對於控制口的攻擊更為嚴重。所以安全性要求高的網閘，不允許通過遠程進行配置，只允許通過專有的配置程序，也就是客戶端通過串口進行配置。一些重要部門均不允許對網閘具有遠程配置的功能。
（十五）安全隔離網閘接受外來請求嗎？
不接受，安全隔離網閘上的數據交換全部由管理員來進行配置，其所有的請求都由安全隔離網閘主動發起，不接受外來請求，不提供任何系統服務。 如果接受遠程配置，就會接受外來的請求，造成嚴重的安全問題。
（十六）安全隔離網閘是否支持所連接的兩個網路的網段地址相同？
支持。
（十七）安全隔離網閘的主機系統是否經過安全加固？
由於從網路架構上來講，安全隔離網閘是處在網關的位置，因此其自身安全性非常重要，兩個處理單元 加固包括硬體加固、操作系統加固以及協議的加固。詳情見擴展閱讀3.
（十八）安全隔離網閘採用什麼樣的介面？有幾個介面？
安全隔離網閘通常提供2個標准乙太網百兆介面。
（十九）安全隔離網閘如何管理，支持遠程管理嗎？
安全性高的安全隔離網閘不支持遠程管理。
（二十）安全隔離網閘適用於大規模的部署嗎？
安全隔離網閘的安全部署不需對現有網路作調整，同時支持多台冗餘
（二十一）安全隔離網閘適用於什麼樣的場合？
如果用戶的網路上存儲著重要的數據、運行著重要的應用，通過防火牆等措施不能提供足夠高的安全性保護的情況下，可以考慮使用安全隔離網閘。
（二十二）安全隔離網閘直接轉發IP包嗎？
否。安全隔離網閘從不直接或者間接地轉發IP包形式的數據。安全隔離網閘的安全性體現在鏈路層斷開，直接處理應用層數據，對應用層數據進行內容檢查和控制，在網路之間交換的數據都是應用層的數據。如果直接轉發IP的話，由於單個IP包中一般不包含完整的應用數據，所以無法進行全面的內容檢查和控制，也就無法保證應用層的安全。因此，如果直接轉發IP包，則背離了安全隔離網閘的安全性要求，不能稱為安全隔離網閘。

⑥ 誰能詳細的描述一下網閘的工作流程

題：
網閘的工作原理是什麼？
解答：
網閘的基本原理是：切斷網路之間的通用協議連接；將數據包進行分解或重組為靜態數據；對靜態數據進行安全審查，包括網路協議檢查和代碼掃描等；確認後的安全數據流入內部單元；內部用戶通過嚴格的身份認證機制獲取所需數據。

問題：
什麼是網閘？
解答：
網閘是在兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息才可以通過。其信息流一般為通用應用服務。註：網閘的「閘」字取自於船閘的意思，在信息擺渡的過程中內外網（上下游）從未發生物理連接，所以網閘產品必須要有至少兩套主機和一個物理隔離部件才可完成物理隔離任務。現在市場上出現的的單主機網閘或單主機中有兩個及多個處理引擎的過濾產品不是真正的網閘產品，不符合物理隔離標准。其只是一個包過濾的安全產品，類似防火牆。註：單主機網閘多以單向網閘來掩人耳目。

問題：
隔離網閘是什麼設備？
解答：
隔離網閘是一種由專用硬體在電路上切斷網路之間的鏈路層連接，能夠在物理隔離的網路之間進行適度的安全數據交換的網路安全設備。

問題：
隔離網閘是硬體設備還是軟體設備？
解答：
隔離網閘是由軟體和硬體組成的設備。

問題：
隔離網閘硬體設備是由幾部分組成？
解答：
隔離網閘的硬體設備由三部分組成:外部處理單元、內部處理單元、隔離硬體。

問題：
單向傳輸用單主機網閘可以嗎？
解答：
隔離網閘的組成必須是由物理的三部分組成，所以單主機（包括多處理器）的安全產品並不是網閘產品，無法完成物理隔離任務。其所謂的單向傳輸只是基於數據包的過濾，類似防火牆產品，並不是物理隔離產品。

問題：
為什麼要使用隔離網閘？
解答：
當用戶的網路需要保證高強度的安全，同時又與其它不信任網路進行信息交換的情況下，如果採用物理隔離卡，信息交換的需求將無法滿足；如果採用防火牆，則無法防止內部信息泄漏和外部病毒、黑客程序的滲入，安全性無法保證。在這種情況下，隔離網閘能夠同時滿足這兩個要求，又避免了物理隔離卡和防火牆的不足之處，是物理隔離網路之間數據交換的最佳選擇。

問題：
政府機關上網計算機為什麼必須內外網物理隔離？
解答：
在政府建立內部網的工程中，安全保密問題一直是工程建設的重點內容，這是因為內部網中的信息常常是涉密或內部信息。為此，國家明確規定涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其它公共信息網路相聯接，必須實行物理隔離，以確保國家秘密的安全。

問題：
為什麼說隔離網閘能夠防止未知和已知木馬攻擊？
解答：
通常見到的木馬大部分是基於TCP的，木馬的客戶端和伺服器端需要建立連接，而隔離網閘從原理實現上就切斷所有的TCP連接，包括UDP、ICMP等其他各種協議，使各種木馬無法通過隔離網閘進行通訊。從而可以防止未知和已知的木馬攻擊。

問題：
隔離網閘與防火牆有何不同？
解答：
主要有以下幾點不同：
A、隔離網閘採用雙主機系統，內端機與需要保護的內部網路連接，外端機與外網連接。這種雙系統模式徹底將內網保護起來，即使外網被黑客攻擊，甚至癱瘓，也無法對內網造成傷害。防火牆是單主機系統。
B、隔離網閘採用自身定義的私有通訊協議，避免了通用協議存在的漏洞。防火牆採用通用通訊協議即TCP/IP協議。
C、隔離網閘採用專用硬體控制技術保證內外網之間沒有實時連接。而防火牆必須保證實時連接。
D、隔離網閘對外網的任何響應都保證是內網合法用戶發出的請求應答，即被動響應，而防火牆則不會對外網響應進行判斷，也即主動響應。這樣，網閘就避免了木馬和黑客的攻擊。

問題：
隔離網閘能取代防火牆嗎？
解答：
無論從功能還是實現原理上講，隔離網閘和防火牆是完全不同的兩個產品，防火牆是保證網路層安全的邊界安全工具（如通常的非軍事化區），而隔離網閘重點是保護內部網路的安全。因此兩種產品由於定位的不同，因此不能相互取代。

問題：
隔離網閘通常布置在什麼位置？
解答：
隔離網閘通常布置在兩個安全級別不同的兩個網路之間，如信任網路和非信任網路，管理員可以從信任網路一方對安全隔離網閘進行管理。

問題：
隔離網閘是否可以在網路內部使用？
解答：
可以，網路內部安全級別不同的兩個網路之間也可以安裝隔離網閘進行隔離。

問題：
如果對應網路七層協議，隔離網閘是在哪一層斷開？
解答：
如果針對網路七層協議，隔離網閘是在硬體鏈路層上斷開。

問題：
有了防火牆和IDS，還需要隔離網閘嗎？
解答：
防火牆是網路層邊界檢查工具，可以設置規則對內部網路進行安全防護，而IDS一般是對已知攻擊行為進行檢測，這兩種產品的結合可以很好的保護用戶的網路，但是從安全原理上來講，無法對內部網路做更深入的安全防護。隔離網閘重點是保護內部網路，如果用戶對內部網路的安全非常在意，那麼防火牆和IDS再加上隔離網閘將會形成一個很好的防禦體系。

問題：
隔離網閘適用於什麼樣的場合？
解答：
第1種場合：涉密網與非涉密網之間。
第2種場合：區域網與互聯網之間。有些區域網絡，特別是政府辦公網路，涉及敏感信息，有時需要與互聯網在物理上斷開，用物理隔離網閘是一個常用的辦法。
第3種場合：辦公網與業務網之間
由於辦公網路與業務網路的信息敏感程度不同，例如，銀行的辦公網路和銀行業務網路就是很典型的信息敏感程度不同的兩類網路。為了提高工作效率，辦公網路有時需要與業務網路交換信息。為解決業務網路的安全，比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘，實現兩類網路的物理隔離。
第4種場合：電子政務的內網與專網之間
在電子政務系統建設中，要求政府內網與外網之間用邏輯隔離，在政府專網與內網之間用物理隔離。現常用的方法是用物理隔離網閘來實現。
第5種場合：業務網與互聯網之間
電子商務網路一邊連接著業務網路伺服器，一邊通過互聯網連接著廣大民眾。為了保障業務網路伺服器的安全，在業務網路與互聯網之間應實現物理隔離。

⑦ 物理隔離網閘的組成有

網閘的工作原理是什麼？
解答：
網閘的基本原理是：切斷網路之間的通用協議連接；將數據包進行分解或重組為靜態數據；對靜態數據進行安全審查，包括網路協議檢查和代碼掃描等；確認後的安全數據流入內部單元；內部用戶通過嚴格的身份認證機制獲取所需數據。
問題：
什麼是網閘？
解答：
網閘是在兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息才可以通過。其信息流一般為通用應用服務。註：網閘的「閘」字取自於船閘的意思，在信息擺渡的過程中內外網（上下游）從未發生物理連接，所以網閘產品必須要有至少兩套主機和一個物理隔離部件才可完成物理隔離任務。現在市場上出現的的單主機網閘或單主機中有兩個及多個處理引擎的過濾產品不是真正的網閘產品，不符合物理隔離標准。其只是一個包過濾的安全產品，類似防火牆。註：單主機網閘多以單向網閘來掩人耳目。
問題：
隔離網閘是什麼設備？
解答：
隔離網閘是一種由專用硬體在電路上切斷網路之間的鏈路層連接，能夠在物理隔離的網路之間進行適度的安全數據交換的網路安全設備。

問題：
隔離網閘是硬體設備還是軟體設備？
解答：
隔離網閘是由軟體和硬體組成的設備。

問題：
隔離網閘硬體設備是由幾部分組成？
解答：
隔離網閘的硬體設備由三部分組成:外部處理單元、內部處理單元、隔離硬體。

問題：
單向傳輸用單主機網閘可以嗎？
解答：
隔離網閘的組成必須是由物理的三部分組成，所以單主機（包括多處理器）的安全產品並不是網閘產品，無法完成物理隔離任務。其所謂的單向傳輸只是基於數據包的過濾，類似防火牆產品，並不是物理隔離產品。
問題：
為什麼說隔離網閘能夠防止未知和已知木馬攻擊？
解答：
通常見到的木馬大部分是基於TCP的，木馬的客戶端和伺服器端需要建立連接，而隔離網閘從原理實現上就切斷所有的TCP連接，包括UDP、ICMP等其他各種協議，使各種木馬無法通過隔離網閘進行通訊。從而可以防止未知和已知的木馬攻擊。

問題：
隔離網閘與防火牆有何不同？
解答：
主要有以下幾點不同：
A、隔離網閘採用雙主機系統，內端機與需要保護的內部網路連接，外端機與外網連接。這種雙系統模式徹底將內網保護起來，即使外網被黑客攻擊，甚至癱瘓，也無法對內網造成傷害。防火牆是單主機系統。
B、隔離網閘採用自身定義的私有通訊協議，避免了通用協議存在的漏洞。防火牆採用通用通訊協議即TCP/IP協議。
C、隔離網閘採用專用硬體控制技術保證內外網之間沒有實時連接。而防火牆必須保證實時連接。
D、隔離網閘對外網的任何響應都保證是內網合法用戶發出的請求應答，即被動響應，而防火牆則不會對外網響應進行判斷，也即主動響應。這樣，網閘就避免了木馬和黑客的攻擊。

問題：
隔離網閘能取代防火牆嗎？
解答：
無論從功能還是實現原理上講，隔離網閘和防火牆是完全不同的兩個產品，防火牆是保證網路層安全的邊界安全工具（如通常的非軍事化區），而隔離網閘重點是保護內部網路的安全。因此兩種產品由於定位的不同，因此不能相互取代。

問題：
隔離網閘通常布置在什麼位置？
解答：
隔離網閘通常布置在兩個安全級別不同的兩個網路之間，如信任網路和非信任網路，管理員可以從信任網路一方對安全隔離網閘進行管理。

問題：
隔離網閘是否可以在網路內部使用？
解答：
可以，網路內部安全級別不同的兩個網路之間也可以安裝隔離網閘進行隔離。

問題：
如果對應網路七層協議，隔離網閘是在哪一層斷開？
解答：
如果針對網路七層協議，隔離網閘是在硬體鏈路層上斷開。

問題：
有了防火牆和IDS，還需要隔離網閘嗎？
解答：
防火牆是網路層邊界檢查工具，可以設置規則對內部網路進行安全防護，而IDS一般是對已知攻擊行為進行檢測，這兩種產品的結合可以很好的保護用戶的網路，但是從安全原理上來講，無法對內部網路做更深入的安全防護。隔離網閘重點是保護內部網路，如果用戶對內部網路的安全非常在意，那麼防火牆和IDS再加上隔離網閘將會形成一個很好的防禦體系。

問題：
隔離網閘適用於什麼樣的場合？
解答：
第1種場合：涉密網與非涉密網之間。
第2種場合：區域網與互聯網之間。有些區域網絡，特別是政府辦公網路，涉及敏感信息，有時需要與互聯網在物理上斷開，用物理隔離網閘是一個常用的辦法。
第3種場合：辦公網與業務網之間
由於辦公網路與業務網路的信息敏感程度不同，例如，銀行的辦公網路和銀行業務網路就是很典型的信息敏感程度不同的兩類網路。為了提高工作效率，辦公網路有時需要與業務網路交換信息。為解決業務網路的安全，比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘，實現兩類網路的物理隔離。
第4種場合：電子政務的內網與專網之間
在電子政務系統建設中，要求政府內網與外網之間用邏輯隔離，在政府專網與內網之間用物理隔離。現常用的方法是用物理隔離網閘來實現。
第5種場合：業務網與互聯網之間
電子商務網路一邊連接著業務網路伺服器，一邊通過互聯網連接著廣大民眾。為了保障業務網路伺服器的安全，在業務網路與互聯網之間應實現物理隔離。

⑧ 網關與防火牆的區別

簡單點來說，路由器是網路間數據交換的設備，防火牆是區域網對外數據交換過濾設備。
路由器（router）又稱網關設備（gateway），是連接網際網路中各區域網、廣域網的設備。一般是在第三層，即網路層下工作。成為各種骨幹網內部連接、骨幹網間互聯和骨幹網與互聯網互聯互通業務的主要設備。
防火牆（firewall），也稱防護牆，它是一種位於內部網路與外部網路之間的網路安全系統。一項信息安全的防護系統，依照特定的規則，來允許或是限制傳輸的數據通過。防火牆可以是一種硬體、固件或者軟體，例如專用防火牆設備就是硬體形式的防火牆，包過濾路由器是嵌有防火牆固件的路由器，而代理伺服器等軟體就是軟體形式的防火牆。
從結構上來分，防火牆有兩種：即代理主機結構和路由器+過濾器結構，後一種結構如下所示：內部網路過濾器（filter）路由器（router）internet
從原理上來分，防火牆則可以分成4種類型：特殊設計的硬體防火牆、數據包過濾型、電路層網關和應用級網關。安全性能高的防火牆系統都是組合運用多種類型防火牆，構築多道防火牆「防禦工事」。

⑨ 網閘的競爭力

1.概念：在一個受保護的網路與Internet之間，或與其他的網路之間，用來限制其存取的一個或一組元件，此元件可以是裝在一般PC或是Server上的軟體或是經過特殊設計的硬體設備。
2.為什麼需要防火牆？

A：Internet防火牆主要是為了防範黑客三種蓄意破壞的方式：

（1）入侵：最常見的破壞方式，入侵後就可以正當使用電腦。入侵者希望自己能變成合法的使用者，任意使用電腦。
（2）拒絕服務：最容易且不直接破壞系統的方式，黑客只要發出如洪水般的垃圾封包就可以癱瘓某部電腦，使得系統無法正常提供服務。

（3）資訊竊盜：黑客竊取使用者的帳號及密碼，就可以進入電腦竊取所需的資訊。

3.防火牆能作些什麼？

（1）防火牆是保全決策的重點
防火牆為一個咽喉點，所有進入和出去的傳輸都必須通過這個狹窄、唯一的檢查點，在網路安全防護上，防火牆提供非常大的杠桿效益，因為它把安全措施集中在這個檢查點上。

（2）防火牆可以執行保全政策
防火牆強制執行站台的保全政策，只讓『核準的』服務通過，而這些服務設定在Policy中。

（3）防火牆能有效率的記錄Internet的活動
由於所有的傳輸都經過防火牆，所以它成為收集系統和網路的使用或誤用資訊的最佳地點。

（4）防火牆可以減少網路暴露的危機
防火牆可以使得在防火牆內部的伺服主機與外界網路隔絕，避免有問題的封包影響到內部主機的安全。
4.防火牆無法作些什麼？
（1）防火牆管不到內部惡人
如果惡人已經在防火牆內可以無須接近防火牆，就可以偷竊資料、損壞硬體和軟體，並巧妙的修改程式。內部威脅需要內部安全措施，例如機房安全管理措施及人員訓練

（2）防火牆管不到不經過它的連線
對於不經過防火牆的傳輸，防火牆就無法發揮作用。例如某些站台允許直接通到內部主機的撥入存取或是技術及系統管理者會為他們自己設置進入網路的『後門』等。

（3）防火牆無法防範全新的威脅
防火牆的設計是為了防範已知的威脅，一個設計完善的防火牆或許可以防範一些新威脅，如：除了少數可靠的服務外，拒絕一切其他的服務就可以防止使用者設置新的極不安全的服務。

（4）防火牆無法防範病毒
防火牆無法防範PC和Macintosh病毒進入網路，雖然防火牆會就來源位址、目的位址及port號碼作掃描，但不是細部資料，且使用最精巧的封包過濾或代理軟體對於防火牆而言也不太實際。