在项目实施过程中我发现好多人对网闸和防火墙的概念其实存在混淆，有的甚至感觉网闸和防火墙在功能上没什么太大区别。其实网闸和防火墙是两个完全不同的产品，那么我们该如何区分网闸与防火墙，又该如何根据业务场景选择合适的产品呢，借此机会根据自身工作经验来简单说一说网闸与防火墙。

1、为了更好的区分网闸和防火墙，首先我们来看一下网闸和防火墙的的通用定义：

网闸（GAP）是一个简称，全称安全隔离与数据交换系统。网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

防火墙（Firewall）是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组，强制执行对内部和外部网的访问控制。通过建立一套规则和策略来监测、限制、更改跨越防火墙的数据流，达到保护指定网络的目的。

2、接下来我们在从设备的构造上对比一下网闸与防火墙：

网闸：目前接触最多的网闸仍然是“2+1”架构，由三部分构成，2代表内端机、外端及，1代表数据隔离卡，网闸架构简图如下：

防火墙：防火墙是单主机架构，通过结合防火墙系统内部通过IPS库，AV库，信誉库，地址库等特征库提高信息连接安全性。

3、数据交互方向对比网闸与防火墙

网闸：网闸分为双向网闸和单向网闸，双向网闸可以设置内端到外端的策略，也可以设置外端到内端的策略，单向网闸只能单独设置内端到外端的转发策略或者单独设置外端到内端的转发策略。

防火墙：防火墙根据内部安全策略控制数据交互，在防火墙上设置不同的安全域，根据不同的需求下发不同安全域的交互策略。

4、通信原理对比网闸与防火墙

网闸：简单来讲网闸是通过数据隔离卡将交互数据进行数据摆渡结合私有协议达到数据交互安全的目的。网闸内部的数据隔离卡类似一个单刀双路开关，任何情况下都只连接一个网络，要不连接至内网，要么连接至外网，通过代理和私有协议打断了实时的TCP/IP连接，在逻辑层次上实现了两个不同网络的物理隔离。网闸可以说是保障安全的前提下实现数据交互。

防火墙：简单来讲防火墙是采用通用协议通过包过滤技术进行数据报文检测控制达到安全连接的目的，在防火墙上建立的连接是实时的。防火墙可以说是连接成功的前提下实现保护连接安全。

5、网闸防火墙对比总结

通过简单分析，可以发现网闸和防火墙是两个完全不同的设备。在安全架构设计时网闸更主要的适用于需要物理隔离的网络边界。通过通信协议对比发现网闸内部采用私有协议，打断原来的连接，采用数据抛包的技术进行数据交换机，在一定程度上比防火墙更安全一些。但是一般网闸内部没有AV库、IPS规则库，为了达到更高的网络安全如果预算允许可以在设计时采用防火墙和网闸结合的方式部署在网络互联边界。

6、网闸和防火墙选择

一般情况下我们在网络出口边界选择部署防火墙设备来实现网络互通，而在内部不通区域网络边界处选择部署网闸来达到实现保护网络安全的目的。当然这也不是一成不变的，也要根据实际需求充分考虑然后再进行选择。