防水墙还是防火墙?

 

一般来讲,大型机构在网络化过程中面临的安全问题可包括网络系统安全和数据安全。针对网络系统安全方面,通常分为两种:1.机构需要防止网络系统遭到没有授权的存取或破坏以及非法入侵;在数据安全方面机构则需要防止机要、敏感数据被窃取或非法复制、使用等,这种一般为外部着火。2.各类计算机病毒、系统陷阱(Trapdoors)、隐蔽访问通道、黑客攻击等造成敏感数据泄密、Web站点瘫痪等等问题,都是机构实现网络化面临的外部威胁,这种为内部漏水。如何搭建安全的网络架构,如何将非法入侵者拒之门外、如何防止内部信息外泄,这些都是企业/机构在进行网络化过程中必须解决的问题。 

  网络防火墙和网络防水墙无疑解决了这方面的问题,近代计算机科学的重点就在于此。但是往往人们把防火墙和防水墙混为一团,何为防火墙?何为防水墙? 

  到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(FireWall)。随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能传统意义上的防火墙技术分为三大类,“包过滤”(Packet Filtering)、“应用代理”(Application Proxy)和“状态监视”(Stateful Inspection),无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。 

  那防水墙又是什么呢?从名称上,防火墙和防水墙是一对非常类似的名字。我们知道,防火墙通过隔离来防止外部网对内部网进行攻击,它被动地检查所有流过的网络数据包,以阻断违反安全策略的通信。防火墙的工作都基于一个基本假设:它位于内外网的接入点,并且内外网间不存在其它旁路,正是基于这个假设,防火墙才成为内网的保护神。但是,很明显,对于内部的安全问题,防火墙无能为力。防水墙由此应运而生,它是一个内网监控系统,处于内部网络中,随时监控内部主机的安全状况。如果说防火是指防止外部威胁向内部蔓延的话,防水就是指防止内部信息的泄漏。可见,防水墙是对这样的内网监控系统非常形象的一种称呼。 

  最简单的防水墙由探针和监控中心组成。而以苏富特内网监控系统来说,它由三层结构组成:高层的用户接口层,以实时更新的内网拓扑结构为基础,提供系统配置、策略配置、实时监控、审计报告、安全告警等功能;低层的功能模块层,由分布在各个主机上的探针组成;中层的安全服务层,从低层收集实时信息,向高层汇报或告警,并记录整个系统的审计信息,以备查询或生成报表。 

  最后,我们来看防水墙的一些基本功能。 

  各个厂家的防水墙的功能类似,但并不尽相同,以上海山丽信息技术有限公司(山丽是最早提出“防水墙”概念的)出品的山丽防水墙5.0为例,它具有以下六大功能:信息泄漏防范,防止在内部网主机上,通过网络、存储介质、打印机等媒介,有意或无意的扩散本地机密信息;系统用户管理,记录用户登录系统的信息,为日后的安全审计提供依据;系统资源安全管理,限制系统软硬件的安装、卸载,控制特定程序的运行,限制系统进入安全模式,控制文件的重命名和删除等操作;系统实时运行状况监控,通过实时抓取并记录内部网主机的屏幕,来监视内部人员的安全状况,威慑怀有恶意的内部人员,并在安全问题发生后,提供分析其来源的依据,在必要时,也可直接控制涉及安全问题的主机的I/O设备,如键盘、鼠标等;信息安全审计,记录内网安全审计信息,并提供内网主机使用状况、安全事件分析等报告。 

  综上所述,防水墙是对防火墙、虚拟专用网、入侵检测系统等多种安全设备,所提供安全服务的有效补充。对整体安全系统来说,它也是不可或缺的一部分。

你可能感兴趣的:(防水墙还是防火墙?)