防病毒墙和防火墙的区别（堡垒机和防火墙的区别）

防毒墙的概念，早在几年前TrendMicro就推出了，并且就此在美国申请了“概念专利”。顾名思义，防毒墙与防火墙类似，是指位于网络入口处（网关），用于对网络传输中的病毒进行过滤的网络安全设备。通俗的说，防毒墙可以部署在企业局域网和互联网交界的地方，阻止病毒从互联网侵入内网。

凡是病毒都有一定的特征。防毒墙会扫描通过网关的数据包，然后对这些数据进行病毒扫描，如果是病毒，则将其清除。理论上讲，防毒墙可以阻止任何病毒从网关处侵入企业内部网络。

防火墙对网络数据流连接的合法性进行分析，它对从正常电脑上发送过来的病毒数据流是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况；防毒墙则是为了解决防火墙天生的防毒缺陷而产生的一种安全设备。它可以进行网关处的查毒工作，对病毒的界定则更准确、更可靠。

防火墙是一个或一组系统，它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决哪类访问，你可以让其他人或某些产品根据他（它）们认为应当做的事来配置防火墙，然后他（它）们会为你的机构全面地制定访问策略。

许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下，防火墙更显得十分重要，因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业，连接到Internet上的最难做的工作经常不是费用或所需做的工作，而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性，而且还起到了为管理层盖上一条安全的毯子的重要作用。

防毒墙即通常所说的防病毒网关。目前市场上对防毒墙的概念仍未达到共识。一般认为，防毒墙包括以病毒扫描为首要目的的代理服务器；以及需要与防火墙配合使用的专用防毒墙；而以防火墙功能为主，辅有部分防病毒过滤功能的产品，一般不认为是防毒墙。因此，包括象Fortigate和德科安软的图腾防火墙，以至它们的OEM衍生防火墙产品，都不算是正式的防毒墙产品。

如此分割的一部分原因，是因为这种以防火墙功能为主的防火墙，不可能因为需要防病毒而改做专门的病毒墙，在经济上不划算；而且，使用防病毒功能后，防火墙的性能会遭受大幅度的削弱，也使这部分功能只适合在较小的网络范围内使用。防毒墙与防火墙的最大区别在于，前者主要基于协议栈工作，或称工作在OSI的第七层；而后者基于IP栈工作，即OSI的第三层。因此决定了防火墙必须以管理所有的TCP/IP通讯为己任，而防毒墙却是以重点加强某几种常用通讯的安全性为目的。因此，对于用户而言，两种产品并不存在着互相取代的问题，防毒墙是对防火墙的重要补充，而防火墙是更为基本的安全设备。

在实际应用中，防毒墙的作用在于对所监控的协议通讯中所带文件中是否含有特定的病毒特征，防毒墙并不能象防火墙一样阻止攻击的发生，也不能防止蠕虫型病毒的侵扰，相反，防毒墙本身或所在的系统有可能成为网络入侵的目标（如趋势的Interscan安装在windows上的时侯）；而这一切的保护，必须由防火墙完成。

防毒墙和防火墙的共同之处是两者都是工作在网关。在小范围的网络中，与互联网联网的需求相对简单，一般就是SMTP和HTTP等少数几种协议，这时，防毒墙只要所基于的操作系统没有明显的漏洞，作用与防火墙基本相同。