防病毒网关和防火墙的区别

防病毒网关和防火墙作为网络安全设备，在抵御外部攻击和维护网络稳定性方面均发挥着重要作用，二者存在相似之处但又有所区别。本文就防病毒网关和防火墙在功能特性、工作层次和部署位置等方面的区别进行简要介绍。

发布时间：2022-10-27
点击量：
点赞：

分享至

我想评论

1 引言

网络安全需求的不断提升推动着各类网络安全设备的推陈出新，其中防病毒网关和防火墙作为两类重要的防护设备，在抵御外部攻击、保障内网安全和维护网络稳定性方面发挥着重要作用。由于防病毒网关与防火墙均会对经过设备的流量进行检测分析和拦截，在功能上有一定相似之处，许多人困惑于二者之间是否存在差异以及是否可相互替代。下面就为大家介绍一下防病毒网关和防火墙的区别。

2 防病毒网关和防火墙

2.1 防病毒网关概述

防病毒网关，又称“防毒墙”，是一种能够针对病毒、蠕虫、垃圾邮件等恶意软件进行有效防御的硬件网络防护设备。防病毒网关通常部署于局域网出口，通过识别并阻断病毒传输，能够有效防止病毒进入到内网环境，大幅度降低恶意软件传播带来的安全威胁。

常见防病毒网关所采用的病毒检测方式分为以下两种：

● 基于代理的扫描方式：将所有经过防病毒网关且需要进行病毒检测的数据报文透明地转交给网关自身的协议栈，通过网关自身的协议栈将文件全部缓存下来后，再送入病毒检测引擎进行检测。

● 基于流的扫描方式：依赖于状态检测技术以及协议解析技术，从数据报文中提取文件的特征，与病毒特征库进行匹配。

其中，采用代理扫描方式的防病毒网关可以对病毒文件进行更多高级操作（如解压，脱壳等），病毒捕获率高，但是由于需要对文件进行全缓存，其性能和系统的开销较大；而基于流扫描方式的防病毒网关工作效率高，系统开销小，但病毒捕获率有限，且无法应对加壳、压缩等方式处理过的文件。

图2-1 防病毒网关典型组网应用

2.1 防火墙概述

在网络设备领域，防火墙是指部署于不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一种高级访问控制设备，主要用于保护一个网络区域免受来自另一个网络区域的攻击。作为不同网络安全域间通信流的唯一通道，防火墙可以根据安全策略控制（允许、拒绝、监测或记录）进出网络的访问行为，并通过限制和更改跨越防火墙的数据流，对外部屏蔽内部网络信息，以此来保证内部网络的安全。

防火墙设备通常支持以“路由模式”或“透明模式”部署于网络：

● 路由模式场景：防火墙作为企业、酒店或校园网络的出口网关，在承担路由负载、NAT转换功能的同时，对网络边界进行安全防护，保障内网安全。

图2-2 防火墙路由模式典型组网应用

● 透明模式场景：防火墙桥接于网络出口，作为内网边界，能够对链路进行实时监控，并根据精细化的访问控制策略帮助内网抵御外部攻击，实现对关键服务的有效保护。该场景下防火墙不承担路由转发功能，仅做数据转发域的安全防护，设备接入无需改变原有网络拓扑。

图2-3 防火墙透明模式典型组网应用

3 防病毒网关和防火墙有什么区别？

由上可知，防病毒网关和防火墙均为网络安全防护设备，且均可部署于网络出口从而实现对内网的保护。那么他们之间的区别主要体现在哪些方面呢？

3.1 功能特性

防病毒网关的防护重点在于病毒过滤，其具备的功能基本围绕着识别和阻断病毒而设计，如对不同类型文件病毒的识别、病毒特征库的快速更新等；而防火墙的防护重点在于控制非法授权访问，能对经过设备的数据流进行细粒度且严格的控制，并识别多种类型的攻击行为。

与防火墙相比，防病毒网关在功能上具有较大的局限性：

● 虽然防病毒网关具备一定的访问控制功能，但往往难以满足复杂的出口安全需求。

● 对于除病毒外其他类型的网络安全隐患，如DDoS（Distributed denial of service，分布式拒绝服务）攻击，防病毒网关在防御上显得力不从心。

● 防火墙除了能够保护内网免受外部攻击，还能对内部不同业务网络进行安全等级划分和隔离，实施内网管控，而防病毒网关无法做到。

那么防火墙是否具备防病毒功能呢？

在过去，传统的包过滤防火墙或状态检测防火墙主要对数据包的IP头部和TCP头部进行检测，无法识别出数据包可能携带的恶意代码，因此面对病毒威胁几乎不具备防护能力。但随着防护需求的不断提升，当前主流的UTM（Unified Threat Management，统一威胁管理）防火墙和NGFW（Next Generation Firewall，下一代防火墙）大部分都集成了防病毒和入侵检测功能，能够在一定程度上实现对病毒的阻断。

3.2 工作层次

OSI（Open System Interconnect，开放式系统互联）参考模型将计算机网络体系结构划分为七层，从下往上分别为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

传统防火墙主要基于端口和协议来识别应用，基于传输层的特征进行攻击检测，主要工作在OSI参考模型的2~4层，即数据链路层、网络层和传输层；而下一代防火墙设备通常集成了传统防火墙、IDS（Intrusion Detection System，入侵检测系统）、IPS（Intrusion Prevention System，入侵防御系统）、AV（Anti Virus，反病毒）等功能，其工作范围覆盖了OSI模型的2~7层。

防病毒网关能够有效地识别数据包IP并还原出传输文件，对数据包中传输的数据内容进行检测分析，其工作范围同样覆盖了OSI模型的2~7层。
3.3 部署位置

为了实现对病毒的及时拦截，防病毒网关通常需要部署于网络出口（网关）或服务器边界位置，发挥其边界防护作用；而防火墙除了对网络边界进行防护，还可以部署在具有访问控制或安全隔离需求的其他节点，对特定业务或区域进行安全防护。

在实际的网络出口防护场景中，防病毒网关通常作为防火墙功能的补充，部署于防火墙之后，仅对通过防火墙的流量进行病毒检测，以减轻设备负载和提高工作效率。

4 总结

作为两种不同的网络安全设备，防病毒网关和防火墙在功能特性、工作层次和部署位置等方面均有区别。在实际应用中，防病毒网关作为专注于病毒过滤的边界防护设备，弥补了传统防火墙难以抵御病毒的安全漏洞，是对传统防火墙防护功能的重要补充；但对于集成了防病毒功能的下一代防火墙（NGFW），防火墙本身带有病毒检测和处理引擎，基本可以满足常见场景下的病毒防护需求，因此可一定程度上替代防病毒网关。

相关推荐
防火墙的分类简述