[讨论]网闸比代理更安全吗？

zeroflag

看了很多网闸的资料，我不由得有一个疑问，网闸比代理更安全吗？\r\n网闸号称是物理隔离的一个设备，采用的所谓摆渡的方法，没有真实连接存在等等，可以提供更好的安全性。但是如果单看一个连接实现的过程的话，我发现我真的无法把网闸和代理区分开来。\r\n\r\n以HTTP为例：\r\n\r\n网闸连接方式：发起方<->网闸<->服务器。\r\n发起方发起TCP连接以后，网闸缓存这些连接，为了防止连接超时，会与发起方完成相对应的三次握手，并记录HTTP请求，然后与内网断开连接，摆渡到外网口，与服务器建立连接，发送HTTP请求，得到回应，断开外网摆渡到内网，将回应的数据传给发起方。完成连接。\r\n\r\n代理连接方式：发起方<->代理<->服务器。\r\n发起方与代理建立连接，发送HTTP请求，代理服务器与服务器建立连接发送请求，服务器响应，代理将响应会传给发起方。\r\n\r\n比较两个过程，网闸不过是多了一个摆渡的过程，而无论摆渡的过程是否存在，发起方和服务器之间都没有实际的连接存在。如果从本质上看，完全可以将网闸当作一个透明的代理服务器来使用（类似功能防火墙就有）。我实在难以理解网闸究竟提供了比代理服务器更高级的安全功能呢？\r\n\r\n如果代理服务器本身不安全可能成为跳板的话，那么网闸难道就不会吗？网闸内部的所谓断开连接也不过是逻辑上断开，物理链路始终是连接的，别告诉我你的网闸是用继电器来断开链路的。况且通过防火墙等设置完全可以给代理服务器很高的安全级别，由于代理服务器不需要给外网访问，完全可以定义不允许外网访问代理服务器，还可以通过NAT来隐藏代理服务器的IP，这样主动的攻击就可以避免了，而所谓的网页木马等等由于代理服务器根本不会执行这些东西也不会中着。如此比较下来，网闸的安全性比代理究竟高在哪里高多少呢？\r\n\r\n开贴讨论，欢迎拍砖，泼脏水免谈。谢谢！！！

colddawn

据说“网闸”内部甚至都不是tcp/ip协议的实现，觉得有些玄乎。\r\n除非有产品拿出来给人评价，否则这东西也只能是传说。

safedead

非TCP/IP内部通信很简单\r\n重新设计链路层就可以了\r\n这年头网闸已经是炒烂了\r\n\r\n网闸真正的麻烦是应用, 物理隔离环境的应用才是麻烦事情\r\n所谓的硬件摆渡的核心, 搞ASIC都知道是怎么回事, 三年前可以拿来吹牛, 现在就那么回事\r\n\r\n网闸最大的应用意义在于代理连接的彻底割裂, 是典型的双代理服务器(分别代理服务器和客户端)\r\n\r\n网闸不是内容安全设备, 尽管有人加了一点可怜的内容安全功能

追忆逝水流年

前些天刚做了一个网闸的项目，对所谓的物理隔离功能也很困惑，lenovo的售前讲网闸摆渡时和双边的网络是断开的，我想这样对防物理层和链路层的攻击是不是有些作用。\r\n还请哪个大牛出来说明一下啊。

JohnBull

相信自己，皇帝没穿衣服。