防病毒網關和防火墻的區別

防病毒網關和防火墻作為網絡安全設備，在抵御外部攻擊和維護網絡穩定性方面均發揮著重要作用，二者存在相似之處但又有所區別。本文就防病毒網關和防火墻在功能特性、工作層次和部署位置等方面的區別進行簡要介紹。

發布時間：2022-10-27
點擊量：
點贊：

分享至

我想評論

1 引言

網絡安全需求的不斷提升推動著各類網絡安全設備的推陳出新，其中防病毒網關和防火墻作為兩類重要的防護設備，在抵御外部攻擊、保障內網安全和維護網絡穩定性方面發揮著重要作用。由于防病毒網關與防火墻均會對經過設備的流量進行檢測分析和攔截，在功能上有一定相似之處，許多人困惑于二者之間是否存在差異以及是否可相互替代。下面就為大家介紹一下防病毒網關和防火墻的區別。

2 防病毒網關和防火墻

2.1 防病毒網關概述

防病毒網關，又稱“防毒墻”，是一種能夠針對病毒、蠕蟲、垃圾郵件等惡意軟件進行有效防御的硬件網絡防護設備。防病毒網關通常部署于局域網出口，通過識別并阻斷病毒傳輸，能夠有效防止病毒進入到內網環境，大幅度降低惡意軟件傳播帶來的安全威脅。

常見防病毒網關所采用的病毒檢測方式分為以下兩種：

● 基于代理的掃描方式：將所有經過防病毒網關且需要進行病毒檢測的數據報文透明地轉交給網關自身的協議棧，通過網關自身的協議棧將文件全部緩存下來后，再送入病毒檢測引擎進行檢測。

● 基于流的掃描方式：依賴于狀態檢測技術以及協議解析技術，從數據報文中提取文件的特征，與病毒特征庫進行匹配。

其中，采用代理掃描方式的防病毒網關可以對病毒文件進行更多高級操作（如解壓，脫殼等），病毒捕獲率高，但是由于需要對文件進行全緩存，其性能和系統的開銷較大；而基于流掃描方式的防病毒網關工作效率高，系統開銷小，但病毒捕獲率有限，且無法應對加殼、壓縮等方式處理過的文件。

圖2-1 防病毒網關典型組網應用

2.1 防火墻概述

在網絡設備領域，防火墻是指部署于不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一種高級訪問控制設備，主要用于保護一個網絡區域免受來自另一個網絡區域的攻擊。作為不同網絡安全域間通信流的唯一通道，防火墻可以根據安全策略控制（允許、拒絕、監測或記錄）進出網絡的訪問行為，并通過限制和更改跨越防火墻的數據流，對外部屏蔽內部網絡信息，以此來保證內部網絡的安全。

防火墻設備通常支持以“路由模式”或“透明模式”部署于網絡：

● 路由模式場景：防火墻作為企業、酒店或校園網絡的出口網關，在承擔路由負載、NAT轉換功能的同時，對網絡邊界進行安全防護，保障內網安全。

圖2-2 防火墻路由模式典型組網應用

● 透明模式場景：防火墻橋接于網絡出口，作為內網邊界，能夠對鏈路進行實時監控，并根據精細化的訪問控制策略幫助內網抵御外部攻擊，實現對關鍵服務的有效保護。該場景下防火墻不承擔路由轉發功能，僅做數據轉發域的安全防護，設備接入無需改變原有網絡拓撲。

圖2-3 防火墻透明模式典型組網應用

3 防病毒網關和防火墻有什么區別？

由上可知，防病毒網關和防火墻均為網絡安全防護設備，且均可部署于網絡出口從而實現對內網的保護。那么他們之間的區別主要體現在哪些方面呢？

3.1 功能特性

防病毒網關的防護重點在于病毒過濾，其具備的功能基本圍繞著識別和阻斷病毒而設計，如對不同類型文件病毒的識別、病毒特征庫的快速更新等；而防火墻的防護重點在于控制非法授權訪問，能對經過設備的數據流進行細粒度且嚴格的控制，并識別多種類型的攻擊行為。

與防火墻相比，防病毒網關在功能上具有較大的局限性：

● 雖然防病毒網關具備一定的訪問控制功能，但往往難以滿足復雜的出口安全需求。

● 對于除病毒外其他類型的網絡安全隱患，如DDoS（Distributed denial of service，分布式拒絕服務）攻擊，防病毒網關在防御上顯得力不從心。

● 防火墻除了能夠保護內網免受外部攻擊，還能對內部不同業務網絡進行安全等級劃分和隔離，實施內網管控，而防病毒網關無法做到。

那么防火墻是否具備防病毒功能呢？

在過去，傳統的包過濾防火墻或狀態檢測防火墻主要對數據包的IP頭部和TCP頭部進行檢測，無法識別出數據包可能攜帶的惡意代碼，因此面對病毒威脅幾乎不具備防護能力。但隨著防護需求的不斷提升，當前主流的UTM（Unified Threat Management，統一威脅管理）防火墻和NGFW（Next Generation Firewall，下一代防火墻）大部分都集成了防病毒和入侵檢測功能，能夠在一定程度上實現對病毒的阻斷。

3.2 工作層次

OSI（Open System Interconnect，開放式系統互聯）參考模型將計算機網絡體系結構劃分為七層，從下往上分別為物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。

傳統防火墻主要基于端口和協議來識別應用，基于傳輸層的特征進行攻擊檢測，主要工作在OSI參考模型的2~4層，即數據鏈路層、網絡層和傳輸層；而下一代防火墻設備通常集成了傳統防火墻、IDS（Intrusion Detection System，入侵檢測系統）、IPS（Intrusion Prevention System，入侵防御系統）、AV（Anti Virus，反病毒）等功能，其工作范圍覆蓋了OSI模型的2~7層。

防病毒網關能夠有效地識別數據包IP并還原出傳輸文件，對數據包中傳輸的數據內容進行檢測分析，其工作范圍同樣覆蓋了OSI模型的2~7層。
3.3 部署位置

為了實現對病毒的及時攔截，防病毒網關通常需要部署于網絡出口（網關）或服務器邊界位置，發揮其邊界防護作用；而防火墻除了對網絡邊界進行防護，還可以部署在具有訪問控制或安全隔離需求的其他節點，對特定業務或區域進行安全防護。

在實際的網絡出口防護場景中，防病毒網關通常作為防火墻功能的補充，部署于防火墻之后，僅對通過防火墻的流量進行病毒檢測，以減輕設備負載和提高工作效率。

4 總結

作為兩種不同的網絡安全設備，防病毒網關和防火墻在功能特性、工作層次和部署位置等方面均有區別。在實際應用中，防病毒網關作為專注于病毒過濾的邊界防護設備，彌補了傳統防火墻難以抵御病毒的安全漏洞，是對傳統防火墻防護功能的重要補充；但對于集成了防病毒功能的下一代防火墻（NGFW），防火墻本身帶有病毒檢測和處理引擎，基本可以滿足常見場景下的病毒防護需求，因此可一定程度上替代防病毒網關。

相關推薦
防火墻的分類簡述

相關標簽：