| 特性/功能 | 安全网关 | 防火墙 | NAT技术 |
| 定义 | 位于内部网络和外部网络之间的安全设备,用于监控和控制进出网络的数据流 | 一种网络安全系统,用于根据预设的安全规则允许或阻止数据包 | 网络地址转换,允许内部网络使用私有IP地址并通过单个或多个公有IP地址访问外部网络 |
| 工作原理 | 检查通过它的数据包,根据策略决定放行或阻止 | 根据预设规则检查和过滤数据包 | 将内部网络的私有IP地址转换为公有IP地址,以便与外部网络通信 |
| 状态 | 可以是有状态的(维护连接状态)或无状态的(不维护连接状态) | 可以是无状态的(仅检查单个数据包)或有状态的(检查整个会话) | 通常是无状态的,但也可以在高级实现中维护状态信息 |
| 主要功能 | 访问控制
网络地址转换
VPN支持
日志记录和监控 | 包过滤
状态检测
应用层网关(代理)
VPN支持 | 地址转换(SNAT/DNAT)
端口映射
PAT(端口地址转换) |
| 优势 | 保护内部网络免受外部威胁
防止未授权访问
支持远程访问 | 控制进出网络的数据流
防止恶意攻击
可以提供深度包检查 | 节省公网IP地址
提供内部网络对外部网络的隐藏
简化内部网络结构 |
| 应用场景 | 企业网络
云服务
工业自动化 | 网络边界保护
数据中心
分支机构 | 小型到大型企业内部网络
任何需要内部和外部网络隔离的场景 |
| 技术类型 | 包过滤
应用代理
状态检测 | 包过滤
代理
有状态检测 | 静态NAT
动态NAT
PAT(端口地址转换) |
| 额外特性 | 支持VLAN
多WAN端口
高度集成安全功能 | 支持DMZ
深度包检查
安全策略管理 | 支持NAT穿越技术(如STUN, TURN, ICE, UPnP)
多播支持 |
