1、 应用场景区别

网闸和防火墙的应用场景是不同的，网络已经存在考虑安全问题上防火墙，但首先要保证网络的连通性，其次才是安全问题，网闸是保证安全的基础上进行数据交换，网闸是两个网络已经存在，现在两个网络不得不互联，互联就要保证安全，网闸是现在唯一最安全的网络边界安全隔离的产品，只有网闸这种产品才能解决这个问题，所以必须用网闸。

2、 硬件区别

防火墙是单主机架构，早期使用包过滤的技术，网闸是双主机2+1架构，通过私有的协议摆渡的方式进行数据交换，基于会话的检测机制，由于网闸是双主机结构，即使外网端被攻破，由于内部使用私有协议互通，没办法攻击到内网，防火墙是单主机结构，如果被攻击了，就会导致内网完全暴露给别人。

图1：防火墙单主机架构

图2：网闸双主机2+1架构

3、 功能区别

网闸主要包含两大类功能（1）访问类功能 （2）同步类功能，访问类功能类似于防火墙，网闸相对于防火墙安全性更高的是同步类功能。

（1）访问类功能

代理模式：

目前认为代理模式是最安全的模式，但是防火墙不支持代理模式，网闸是支持代理模式的，所以防火墙是不能用在涉密和非涉密网的安全隔离的，网闸是可以的。

图3：代理模式举例

（2）同步类功能

文件同步和数据库同步：

防火墙的工作原理，放在网络中间，源端发起访问，目的端被访问，防火墙收到判断一下，给你转过去，网闸的工作原理，我主动抓取放到另外一侧，两侧都是文件或数据库服务器，这个过程终端不知道网闸的存在，因为对外没有开放端口，安全性更高，防火墙的端口是对外开放的。

图4：防火墙工作原理

图5：网闸的工作原理

作者：李凯强