技术文章-物理隔离网闸与隔离卡以及防火墙的对比35.docVIP

物理隔离网闸与隔离卡的对比 物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，需要对每台计算机进行配置，每次切换都需要开关机一次，使用起来极为不便。双硬盘的硬件平台管理很繁琐，也会使得整个网络的架设和维护费用显著升高。此外，用隔离卡设计的网络要有两套完全一样的网络（双倍的连线，双倍的网络设备），每台机器上要双网卡，双硬盘。不仅仅安装维护极不方便，维护费用也高，升级和扩展的费用多成倍增加。 物理隔离卡安全性低，只能通过手动的开关达到所谓“物理隔离”的效果。最重要的，物理隔离网闸是对整个网络进行隔离，只要安装一台物理隔离网闸，而不是每台计算机上安装一块物理隔离卡，就可以防护内网的所有计算机，网络结构极为简单，不像使用物理隔离卡需要增添额外的硬盘和网卡和网络设备，使用物理隔离网闸时 添加新的计算机没有任何额外费用。内网的用户不必为了登录英特网而在内外网间进行繁琐的切换和重新启动计算机了。通过这一改变还实现了用户的实时在线，在确保内网安全的同时用户可以随意畅游英特网。在设备维护方面一台物理隔离网闸和多块网卡的维护量也有着巨大的差别。只对物理隔离网闸单一设备进行管理和维护将大大减轻网络管理员的工作！ 防火墙也是一种被人们广泛使用的连接互联网的网络安全设备。然而，人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络攻击都是发生在有防火墙的情况下，根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下。 防火墙的弊病很多，其中最突出的就是它的自身防护能力，本身就很容易被攻击和入侵。一个自身难保的网络安全设备如何能够保护其他网络和其他计算机系统的信息安全？ 大部分的防火墙是建立在工控机的硬件架构上。所谓工控机就是工业版的PC使用标准的操作系统（WINDOS或LINUX）。大家知道PC和它的操作系统都是一些极易被攻击的对象。它们本身就存在着许多安全漏洞和问题。也就是说自身难保，一个连自身的安全都无法保证的安全装置又如何去保护一个网络的安全呢？ 工控机是普通PC机的工业版，使用标准的PC硬件平台和操作系统（WINDOS或LINUX）等软件平台，因此继承PC软硬件平台的所有缺点和问题。他们表现在： 安全性极差：PC软硬件平台是目前使用最广泛的计算机系统也是最易受攻击的系统： 使用有后门的外国芯片（例如奔腾等等） 操作系统有大量的漏洞 使用具有安全漏洞的通用TCP/IP协议栈,即已收到黑客的攻击和入侵 同样由于使用工控机作为硬件平台，这些产品的可靠性、使用方便性和可维护性也存在着诸多问题。 可靠性差：使用PC的人都知道，PC软硬件平台可靠性差，死机是常见的现象。此外由于工控机使用的集成电路功耗极高，发热量大，使用温度高也是一个造成系统不稳定的重要因素。如果其中的散热风扇发生故障，将可能造成电路的烧毁和火灾。 性能极差：工控机的软硬件平台是一种工业控制版的PC机，它的软硬件设计均不适合于作为一个网络传输设备，更不用说作为一个网络安全设备。因此它的传输性能也是极差的。 使用方便性：更换软件或配置后要重新启动。这是PC软硬件平台的一个通病，对一个网络产品来说，重启动将中断整个网络的通讯，造成整个网络的服务的中断，在许多应用场合，这是不允许的。所以，只能采用在半夜进行配置的方法来避免在正常工作时间里对网络服务的中断。但这不仅给网络的维护带来了极大的不便，同时也使得许多急需的安全配置无法及时地实施，从而带了极大的安全隐患。 启动时间很长：和所有的PC一样，启动将需要1-2分多钟的时间。 功耗大：PC的功耗在130-150瓦 噪音很大：用工控机实现的防火墙有两个风扇，pc散发大量的热量，全部通过两个风扇散发热量。 既然工控机架构有这样多的缺点，为什么大家还要使用它呢？主要的原因是：使用工控不需要单独设计硬件，也可以利用大量现存的PC软件用，极大地简化了设计难度，缩短了产品设计周期。然而工控机的设计的对象主要是满足工业控制设备的需要、并非为网络安全装置设计的，因此他不仅带来了许多无用的功能和硬件而且带来了许多意想不到的严重问题和安全漏洞。 配置繁琐也是防火墙的一缺点防火墙的安全、管理、维护等环节都要求管理人员具有较高的专业技能，因此有部分用户购买防火墙之后，就让它一直闲置着或是没有充分利用。安全隔离网闸（也称：物理隔离网闸或安全隔离与信息交换系统）解决了部分防火墙安全性不足的问题。但是由于工控机可以极大的简化设计过程和大幅度缩短设计时间，许多安全隔离网闸仍然采用工控机设计，这种设计会带来前面提到的自身防护性差、稳定性差、功耗大等PC常见的严重问题。 在防范网络攻击方面物理隔离网闸设计往往采用工控机作为其硬件平台。这种设计无需单独设计硬件，极大地简化了设计难度，缩短了产品设计周期。然而工控机的设计的对象主要