日期：2007-12-04 来源：

      随着网络技术的不断发展，企业和网吧的IT环境变得越来越复杂，安全威胁更加多样和严重，而且网络攻击和各种病毒的破坏也由以前的外网环境逐渐转移到内网范围，这给传统的安全防御手段和安全设备提出很多难题，不少管理员也慢慢发现像以前那样单纯通过一台防火墙或者是直接利用路由器的安全功能已经很难解决网络安全问题。在这种情况下，管理员十分需要一个内网的安全管理平台解决方案来帮助他们实现实时的监控，并做出快速响应。
   
　　于是，专门安装在局域网内部PC或者监控服务器上的免疫墙、防水墙软件便应运而生了。

　　防水墙：

      从名称上，防火墙和防水墙是一对非常类似的名字。我们知道，防火墙通过隔离来防止外部网对内部网进行攻击，它被动地检查所有流过的网络数据包，以阻断违反安全策略的通信。防火墙的工作都基于一个基本假设：它位于内外网的接入点，并且内外网间不存在其它旁路，正是基于这个假设，防火墙才成为内网的保护神。但是，很明显，对于内部的安全问题，防火墙无能为力。

      防水墙由此应运而生，它是一个内网监控系统，处于内部网络中，随时监控内部主机的安全状况。如果说防火是指防止外部威胁向内部蔓延的话，防水就是指防止内部信息的泄漏。可见，防水墙是对这样的内网监控系统非常形象的一种称呼。

      最简单的防水墙由探针和监控中心组成。而以苏富特内网监控系统来说，它由三层结构组成：高层的用户接口层，以实时更新的内网拓扑结构为基础，提供系统配置、策略配置、实时监控、审计报告、安全告警等功能；低层的功能模块层，由分布在各个主机上的探针组成；中层的安全服务层，从低层收集实时信息，向高层汇报或告警，并记录整个系统的审计信息，以备查询或生成报表。

      各个厂家的防水墙的功能类似，但并不尽相同，我们用实例来看防水墙的一些基本功能：

中软防水墙系统 WaterBox

      中软防水墙系统是内网安全管理的有力武器，是加强个人计算机内部安全管理的重要五金|工具，它充分利用透明加解密、身份认证、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程，实施安全保护；最大限度地防止敏感信息泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志，以便日后审计或追究相关的泄密责任。防水墙系统从内部安全体系架构和网络管理层面上，实现了内部安全的完美统一，有效降低了“堡垒从内部攻破”的可能性。它作为国内市场上第一款成熟的内网安全管理软件，填补了国内在该领域空白，为我国信息安全保障工作注入了新的活力。

      WaterBox的主要功能是对数据本身进行保护，利用透明加解密技术，保证数据的存储安全，用户在不知不觉中享受了安全。同时，防水墙结合信息泄密的途径，创造性地提出了以数据本是安全为内涵，网络、存储器、打印、外设接口监控为外延的立体化层次化防御体系，从根本上防止个人桌面系统的信息泄漏。

      WaterBox从以下五个方面保障内部安全：

文档安全服务

      文档安全服务采用透明加解密技术可彻底保护企业涉密数据。只要用户有读写磁盘的操作，文件就自动进行了加密或是解密，但并不控制文件的传播共享，也不影响文件打开，文件在制作过程和传输过程中始终是密文。安全策略由企业统一制定，并集中发布，对于不同性质的用户群体（财务、研发、销售）可制定不同的策略，从根本上保护了企业数据的安全。文档安全服务根据应用场景不同，支持强制加密文件服务和自主加密文件服务，保证用户的需求的完整性。

失泄密防护

      失泄密防护是中软防水墙系统的重要功能之一。个人计算机系统信息外传的途径就是可能的泄密途径，主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。中软防水墙系统针对这三种泄密途径做了全面的防护，可以根据实际情况选择启用或禁用，同时还可记录日志以备事后追踪。

      除了针对以上三种泄密途径做出了全面防护之外，WaterBox™7.2R5还针对可能造成泄密的外设接口，提供了启用和禁用主机上外设接口的功能，作为实施失泄密防护在硬件层次上的辅助手段。

运行状况监控

      记录了受监控主机的运行状况历史日志，以便审计和监控。

系统资产管理

      防水墙系统能够查看所选节点客户端软硬件信息，实时监测、记录客户端软硬件的变化情况，并根据用户所设置的策略和使用状态的阈值，对客户端主机的运行状态进行监测。当发现某种指标超过设定阈值时，防水墙系统将记录相应的越阈信息。

可信移动存储管理

      可信移动存储管理提供了对可信移动存储介质从购买、使用到销毁整个过程的管理和控制，借助于注册授权、身份验证、密级识别、锁定自毁、驱动级加解密、日志审计等技术手段，对可移动存储介质进行失泄密防护，真正做到了“未授权的移动存储器拿进来使不了”、“授权的移动存储器拿出去不能用”。

[功能描述]

基于透明加解密技术的安全文档管理功能
安全文件传输功能
网络通讯方式信息泄漏防护
存储介质信息泄漏防护
可信移动存储介质管理功能
打印机信息泄漏防护
外设接口信息泄漏防护
安全文件柜功能
文件安全服务功能
系统资源安全管理功能
系统运行状况监控功能
系统资产管理
系统运行状况黑匣子功能
扩展身份认证功能
客户端远程安装
数据报表功能
违规报警功能

[体系架构]

      完整的WaterBox系统由三部分组成，防水墙服务器（WaterBox Server）、防水墙控制台（WaterBox Console）和防水墙客户端（WaterBox Client），支持多级部署。

防水墙服务器

      防水墙服务器，包括服务器端软件、支持数据库和授权硬件。建议在专用主机上安装防水墙服务器。支持操作系统为Microsoft Windows 2000、Windows XP、Windows Server 2003系列，推荐Windows 2000 Advanced Server版本。防水墙服务器以Microsoft SQL Server 2000为后台数据库。

防水墙控制台

      防水墙控制台是实现系统管理、参数配置、策略管理和系统审计的人机交互界面软件系统。控制台采用分权分级的授权模式，以提高系统的安全性和用户管理的灵活性，保证监测信息的保密性。系统运行平台为Microsoft Windows 2000、Windows XP、Windows Server 2003系列，推荐采用Windows 2000 Professional版本。

防水墙客户端

      防水墙客户端是安装于受控主机上的监测软件。防水墙客户端可远程自动升级，并采用了严密措施防止本地用户自行卸载、关闭监控程序。防水墙客户端的工作平台目前支持Microsoft Windows系列操作系统，包括Windows 2000系列版本、Windows XP系列版本和Windows 2003系列版本。

免疫墙：

　　免疫墙这种产品的概念并不是非常普及，它是由国内一家公司首先提出的：2007年7月底，作为国内率先倡导“免疫网络”概念的巡路公司正式发布了巡路“免疫墙”软件，这是一款适用于所有大中型网络的软件工具。

　　“免疫墙”定位于局域网，是目前市面上最强大的内网安全和管理工具，是“免疫网络”这一创新概念的核心组成部分。巡路公司经过多年对国内网络环境的分析和实践，进行设计和研发，独立拥有“免疫墙”完整的知识产权。“免疫墙”充分体现了“网络问题，网络解决”的创新思维，填补了国内安全管理工具的空白，建立起防火墙、毒墙、免疫墙三位一体的网络安全体系。

　　作为国内首款建立在底层的安全管理软件，“免疫墙”专门针对网络的各种攻击设计，是目前最有效的防止TCP/UDP洪水攻击，SYN攻击，分片攻击，ARP攻击的成熟软件。最重要的是，“免疫墙”将整个局域网作为一个整体来统一管理。在功能上， “免疫墙”不仅可以作到“攻击定位”，更可以将攻击和病毒限制在单机范围内，完全避免其对网络的伤害，同时管理员还可以制定带宽管理策略，内外网流量分开的控管方式，可以实现真正的限速。具体功能如下：

　　1.分布式ARP防火墙：ARP看守式绑定(静态)+ ARP欺骗拦截(报警)+ IP冲突过滤——ARP彻底终结。

　　2.洪水防范：IP洪水防范+SYN攻击防范+ARP洪水防范，彻底解决交换机和路由器的拥堵。

　　3.限速：内外网﹑上传下载分别控制，杜绝各种攻击隐患，合理利用带宽。

　　4.分片攻击：分片攻击识别 + 过滤 + 报警，目前最完善的分片攻击防范策略。

　　5.虚假主机：虚假MAC + 虚假IP——防火墙无可奈何的攻击，免疫墙通通搞定。

　　6.大ping包攻击(可能是分片或拒绝服务)：识别+过滤+报警，最原始的DoS攻击方式。

　　7.内网主机可以划分成不同的组，指定不同的控制权限，采用不同的报警策略，极端灵活。

　　“免疫墙”与交换机和路由器等网络设备无关，是独立运行的强大网络管理系统。尤其在中低档路由器的网络中，以及在软路由环境中，可以大大提高网络的稳定性，减少内网病毒对路由器的攻击，限制非法应用对带宽的占用，是目前最先进的具有网络二层协议防御功能的安全管理系统，也是首款同时具备二层防御和带宽管理的系统软件。“欣向”全国数万家网吧、企业用户是“免疫墙”的第一批受益者，“欣向”路由器与“巡路”免疫墙构建的整套“免疫网络”方案为网吧运营和企业安全保驾护航，“免疫墙”已成为保障网络正常运行不可或缺的利器。

　　作为欣全向科技的兄弟单位，巡路累积了深厚的网络技术实力和大量网络实践经验，这一优势在“免疫墙”的研发过程中得到完美的体现，成为国内少数同时具备网络软、硬件研发能力的企业之一。巡路将进一步扩大研发内涵，提升“免疫墙”网络安全和管理的功能，将企业网络普遍关心的上网行为管理融入“免疫墙”体系中。不同于毒墙的针对终端安全和防火墙的针对局域网、公网之间通讯安全，“免疫墙”的主要关注点是局域网内的通讯安全。“免疫墙”的不断发展，网吧和企业可以通过毒墙、防火墙、免疫墙的组合方案构建网络安全和管理的完整体系，作为独树一帜的内网安全和管理工具，“免疫墙”将会为国内网吧提升价值和企业信息化贡献自己的一份力量。

总结：

      综上所述，防水墙其实是对防火墙、虚拟专用网、入侵检测系统等多种安全设备，所提供安全服务的有效补充；而免疫墙侧重网络安全和管理的功能，将企业网络普遍关心的上网行为管理融入免疫墙体系中，不同于毒墙的针对终端安全和防火墙的针对局域网、公网之间通讯安全，免疫墙的主要关注点是局域网内的通讯安全。对整体安全系统来说，防水墙和免疫墙一家成为不可或缺的一部分。