有了防火墙，还上网闸？老张：这个真不是多此一举

大家好，我是老张。

前阵子跑了一趟广州，去一个客户单位的机房上架设备。项目不大：12台服务器，一台防火墙，一台网闸，还有一些零碎的配件。

活儿干完，随行的小伙子一边收拾工具，一边憋不住问我：“张哥，我有点没想明白。咱们这儿已经配了一台防火墙了，怎么还要再配一台网闸？这俩不都是做安全防护的吗？是不是有点重复投资、多此一举？”

我听完笑了。这个问题，还真不是他一个人问过。很多刚入行的兄弟，甚至有些干了几年弱电的，都搞不清防火墙和网闸到底有什么区别。今天老张就借着这个机会，用大白话跟大伙儿唠一唠。

打开网易新闻 查看精彩图片

网闸

防火墙：你家小区大门口的保安

先说说防火墙。

你可以把防火墙理解成小区大门口的保安。他的职责是：看进出的人和车。

· 你骑个电动车想进去，保安看你面生，问你找谁，登记一下，放行。

· 送外卖的小哥想进去，保安拦住，让业主下来取或者打电话确认。

· 坏人想混进去，保安看出来不对劲，直接挡在外面。

防火墙干的就是这个事儿：基于规则，允许或者禁止网络数据包通过。它能过滤IP地址、端口、协议，能做NAT，能防一些常见的扫描和攻击。

但是——这个保安有个特点：门是一直开着的。只不过他站在门口，看到不该进的不让进。但只要你被放行了，进去之后在里面干什么，他就不太管了。而且，保安和小区里面的人是可以直接对话的。

所以，防火墙能做到的是“逻辑隔离”——它挡的是不符合规则的数据，但它本身和网络是连通的。

网闸：你家楼下的“铁门+传菜口”

那网闸是什么东西？

你想象一下，你家单元楼底下，原来是一扇普通防盗门。现在换成了一堵实心墙，墙上只有一个非常小的传递窗口。外面的人不能直接进来，里面的人不能直接出去。双方只能把东西放在那个窗口上，然后由另一个“机器人”在中间搬东西。

这个窗口和机器人，就是网闸。

网闸的全称叫“安全隔离与信息交换系统”。它的核心是：物理隔离或者协议隔离。

简单说，网闸的两端（内网和外网）在硬件层面是不直接连通的。数据不是“流”过去的，而是被切分成小块，通过私有协议、摆渡机制、单向传输等方式，一块一块地“搬”过去。

还是那个比喻：防火墙是保安，门开着，他负责查票。网闸是直接砌了一堵墙，墙上挖个带锁的洞，两边各伸出一只手，通过洞传递东西，两只手永远不会穿过洞去对面。

那么问题来了：网闸到底解决了什么防火墙解决不了的问题？

我给你们举几个真实的场景。

场景一：政府单位的涉密内网

一个政府单位，一边是运行内部办公系统的内网（里面有红头文件、人员信息），另一边是连接互联网的外网（员工要上网查资料、收邮件）。

如果只用防火墙做隔离，万一防火墙被人攻破或者配置出了漏洞，黑客就有可能从外网直接进入内网，把机密数据偷走。

用上网闸之后，内外网物理上不直连。就算黑客控制了外网那台服务器，他也无法直接访问内网。数据交换只能通过网闸预设好的“摆渡”规则来执行——比如内网往外网发送某个特定格式的文件，网闸检查合规后才允许传出去。攻击面小了不知道多少个数量级。

场景二：医院的内外网

很多医院把HIS系统（挂号、收费、病历）放在内网，CT、核磁这些影像设备也在内网。同时，医院要接入医保专网，医生还要上互联网查医学文献。

如果只用防火墙，内网和医保网互通，一旦医保网那边有病毒，很容易感染内网，导致全院挂号系统瘫痪——这种事新闻里没少见。

上了网闸之后，内网和医保网之间数据交换是“摆渡”的。即使医保网那边中了勒索病毒，病毒也过不了网闸，内网安然无恙。

场景三：工业控制（工控安全）

一个电厂的控制网络（DCS系统）如果被人攻破，可能造成停电事故。控制网络绝对不能直接连办公网或者互联网。用网闸把控制网和管理网隔开，收集上来的监控数据通过摆渡方式单向传出去，但任何外来指令都别想反向进来。这叫“单向导入”。

防火墙+网闸，不是替代关系，是纵深防御

回到开头小伙伴的问题：有了防火墙，还上不上网闸？

答案是：取决于你的安全等级要求。

如果只是一个普通公司网站，或者一个小超市的收银系统，那防火墙足够了。网闸不仅贵，而且配置复杂，数据传输效率也不如直接通着快，属于“杀鸡用牛刀”。

但如果你面对的是：

· 等保三级及以上系统（政府、医疗、金融、电力、军工）

· 涉及个人隐私数据（医保、社保、学生信息）

· 有可能成为APT（高级持续性威胁）攻击目标

· 或者上级单位明确要求“内外网物理隔离”

那网闸就不是多此一举，而是刚需。

防火墙解决的是“谁能进来”的问题，网闸解决的是“网络该不该通着”的问题。

一个形象的总结：

防火墙：门开着，我给你查票。

网闸：门焊死了，我单独开个传菜口，菜给我，我帮你递过去。

两者压根不是一个维度的东西。在很多高安全场景里，它们是串联工作的：外网数据先经过防火墙初步过滤，然后送到网闸进行隔离交换，最后进入内网。谁也不代替谁。

老张的心里话

我当时跟小伙子说完这些，他恍然大悟：“哦——原来那个看着不起眼的铁盒子，才是真正的‘一夫当关，万夫莫开’啊！”

我拍拍他肩膀：“干咱们这行，不能只会拧螺丝、插网线。客户为什么要上这个设备，解决什么问题，你得心里有数。否则哪天客户问你‘这钱花得值不值’，你答不上来，那才叫丢人。”

网闸这东西，采购价动不动几万甚至几十万，比普通防火墙贵多了。但它的价值就在于：当防火墙被攻破的那一天，它是最后一道、也是最硬的一道防线。

当然，我希望大家的项目里，这道防线永远用不上。

好了，今天就聊到这儿。如果觉得这篇文章对你有帮助，点个赞、转发给做弱电的兄弟，咱们下期见！

（PS：下一期聊聊网闸的选型和常见避坑，想看的评论区扣1）