山西
大家好,我是老张。
前阵子跑了一趟广州,去一个客户单位的机房上架设备。项目不大:12台服务器,一台防火墙,一台网闸,还有一些零碎的配件。
活儿干完,随行的小伙子一边收拾工具,一边憋不住问我:“张哥,我有点没想明白。咱们这儿已经配了一台防火墙了,怎么还要再配一台网闸?这俩不都是做安全防护的吗?是不是有点重复投资、多此一举?”
我听完笑了。这个问题,还真不是他一个人问过。很多刚入行的兄弟,甚至有些干了几年弱电的,都搞不清防火墙和网闸到底有什么区别。今天老张就借着这个机会,用大白话跟大伙儿唠一唠。
网闸
防火墙:你家小区大门口的保安
先说说防火墙。
你可以把防火墙理解成小区大门口的保安。他的职责是:看进出的人和车。
· 你骑个电动车想进去,保安看你面生,问你找谁,登记一下,放行。
· 送外卖的小哥想进去,保安拦住,让业主下来取或者打电话确认。
· 坏人想混进去,保安看出来不对劲,直接挡在外面。
防火墙干的就是这个事儿:基于规则,允许或者禁止网络数据包通过。它能过滤IP地址、端口、协议,能做NAT,能防一些常见的扫描和攻击。
但是——这个保安有个特点:门是一直开着的。只不过他站在门口,看到不该进的不让进。但只要你被放行了,进去之后在里面干什么,他就不太管了。而且,保安和小区里面的人是可以直接对话的。
所以,防火墙能做到的是“逻辑隔离”——它挡的是不符合规则的数据,但它本身和网络是连通的。
网闸:你家楼下的“铁门+传菜口”
那网闸是什么东西?
你想象一下,你家单元楼底下,原来是一扇普通防盗门。现在换成了一堵实心墙,墙上只有一个非常小的传递窗口。外面的人不能直接进来,里面的人不能直接出去。双方只能把东西放在那个窗口上,然后由另一个“机器人”在中间搬东西。
这个窗口和机器人,就是网闸。
网闸的全称叫“安全隔离与信息交换系统”。它的核心是:物理隔离或者协议隔离。
简单说,网闸的两端(内网和外网)在硬件层面是不直接连通的。数据不是“流”过去的,而是被切分成小块,通过私有协议、摆渡机制、单向传输等方式,一块一块地“搬”过去。
还是那个比喻:防火墙是保安,门开着,他负责查票。网闸是直接砌了一堵墙,墙上挖个带锁的洞,两边各伸出一只手,通过洞传递东西,两只手永远不会穿过洞去对面。
那么问题来了:网闸到底解决了什么防火墙解决不了的问题?
我给你们举几个真实的场景。
场景一:政府单位的涉密内网
一个政府单位,一边是运行内部办公系统的内网(里面有红头文件、人员信息),另一边是连接互联网的外网(员工要上网查资料、收邮件)。
如果只用防火墙做隔离,万一防火墙被人攻破或者配置出了漏洞,黑客就有可能从外网直接进入内网,把机密数据偷走。
用上网闸之后,内外网物理上不直连。就算黑客控制了外网那台服务器,他也无法直接访问内网。数据交换只能通过网闸预设好的“摆渡”规则来执行——比如内网往外网发送某个特定格式的文件,网闸检查合规后才允许传出去。攻击面小了不知道多少个数量级。
场景二:医院的内外网
很多医院把HIS系统(挂号、收费、病历)放在内网,CT、核磁这些影像设备也在内网。同时,医院要接入医保专网,医生还要上互联网查医学文献。
如果只用防火墙,内网和医保网互通,一旦医保网那边有病毒,很容易感染内网,导致全院挂号系统瘫痪——这种事新闻里没少见。
上了网闸之后,内网和医保网之间数据交换是“摆渡”的。即使医保网那边中了勒索病毒,病毒也过不了网闸,内网安然无恙。
场景三:工业控制(工控安全)
一个电厂的控制网络(DCS系统)如果被人攻破,可能造成停电事故。控制网络绝对不能直接连办公网或者互联网。用网闸把控制网和管理网隔开,收集上来的监控数据通过摆渡方式单向传出去,但任何外来指令都别想反向进来。这叫“单向导入”。
防火墙+网闸,不是替代关系,是纵深防御
回到开头小伙伴的问题:有了防火墙,还上不上网闸?
答案是:取决于你的安全等级要求。
如果只是一个普通公司网站,或者一个小超市的收银系统,那防火墙足够了。网闸不仅贵,而且配置复杂,数据传输效率也不如直接通着快,属于“杀鸡用牛刀”。
但如果你面对的是:
· 等保三级及以上系统(政府、医疗、金融、电力、军工)
· 涉及个人隐私数据(医保、社保、学生信息)
· 有可能成为APT(高级持续性威胁)攻击目标
· 或者上级单位明确要求“内外网物理隔离”
那网闸就不是多此一举,而是刚需。
防火墙解决的是“谁能进来”的问题,网闸解决的是“网络该不该通着”的问题。
一个形象的总结:
防火墙:门开着,我给你查票。
网闸:门焊死了,我单独开个传菜口,菜给我,我帮你递过去。
两者压根不是一个维度的东西。在很多高安全场景里,它们是串联工作的:外网数据先经过防火墙初步过滤,然后送到网闸进行隔离交换,最后进入内网。谁也不代替谁。
老张的心里话
我当时跟小伙子说完这些,他恍然大悟:“哦——原来那个看着不起眼的铁盒子,才是真正的‘一夫当关,万夫莫开’啊!”
我拍拍他肩膀:“干咱们这行,不能只会拧螺丝、插网线。客户为什么要上这个设备,解决什么问题,你得心里有数。否则哪天客户问你‘这钱花得值不值’,你答不上来,那才叫丢人。”
网闸这东西,采购价动不动几万甚至几十万,比普通防火墙贵多了。但它的价值就在于:当防火墙被攻破的那一天,它是最后一道、也是最硬的一道防线。
当然,我希望大家的项目里,这道防线永远用不上。
好了,今天就聊到这儿。如果觉得这篇文章对你有帮助,点个赞、转发给做弱电的兄弟,咱们下期见!
(PS:下一期聊聊网闸的选型和常见避坑,想看的评论区扣1)
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
