防水墙和防火墙.docx

1、防水墙和防火墙 一般来讲，大型机构在网络化过程中面临的安全问题可包括网络系统安全和数据安全。针对网络系统安全方面，通常分为两种： 1. 各类计算机病毒、系统陷阱（Trapdoors）、隐蔽访问通道、黑客攻击等造成敏感数据泄密、Web站点瘫痪等等问题，都是机构实现网络化面临的外部威胁，这种为内部漏水。 2. 机构需要防止网络系统遭到没有授权的存取或破坏以及非法入侵；在数据安全方面机构则需要防止机要、敏感数据被窃取或非法复制、使用等，这种一般为外部着火。 网络防水墙和网络防火墙无疑解决了这方面的问题。 一．防水墙 1.定义 防水墙，用于内网防泄漏产品，是一种防止内部信息泄漏的安全产

2、品。网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径，在事前、事中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。 2．组成结构 最简单的防水墙由客户端和管理中心、服务器三层结构组成：高层的用户接口层，以实时更新的内网拓扑结构为基础，提供系统配置、策略配置、实时监控、审计报告、安全告警等功能；低层的功能模块层，由分布在各个主机上的探针组成；中层的安全服务层，从低层收集实时信息，向高层汇报或告警，并记录整个系统的审计信息，以备查询或生成报表。 3.主要功能 各个厂家的防水墙的功能类似，但并不尽相同，一般内网监控系统具有以下功能：

3、 （1） 信息泄漏防范，防止在内部网主机上，通过网络、存储介质、打印机等媒介，有意或无意的扩散本地机密信息； （2） 系统用户管理，记录用户登录系统的信息，为日后的安全审计提供依据； （3） 系统资源安全管理，限制系统软硬件的安装、卸载，控制特定程序的运行，限制系统进入安全模式，控制文件的重命名和删除等操作； （4） 系统实时运行状况监控，通过实时抓取并记录内部网主机的屏幕，来监视内部人员的安全状况，威慑怀有恶意的内部人员，并在安全问题发生后，提供分析其来源的依据，在必要时，也可直接控制涉及安全问题的主机的I/O设备，如键盘、鼠标等； （5） 信息安全审计，记录内网安全审计信息，并提

4、供内网主机使用状况、安全事件分析等报告。 综上所述，防水墙是对防火墙、虚拟专用网、入侵检测系统等多种安全设备，所提供安全服务的有效补充。对整体安全系统来说，它也是不可或缺的一部分。 二．防火墙 在电脑运算领域中，防火墙（英文：Firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。 1.定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Int

5、ranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公

6、司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。 2.分类 防火墙从诞生开始，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。 从结构上来分，防火墙有两种：即代理主机结构和路由器+过滤器结构。 从原理上来分，防火墙则可以分成4种类型：特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防御工事”。 3

7、主要类型 （1） 应用层防火墙； （2） 网络层防火墙； （3） 数据库防火墙。 4.主要特性 （1） 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 （2） 只有符合安全策略的数据流才能通过防火墙。 （3） 防火墙自身应具有非常强的抗攻击免疫力。 （4） 应用层防火墙具备更细致的防护能力。 （5） 数据库防火墙针对数据库恶意攻击的阻断能力。 5.主要功能 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等。 防火墙最基本的功能就是控制在计算机网络

8、中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 6.主要特点 优点： （1） 防火墙能强化安全策略。 （2） 防火墙能有效地记录Internet上的活动。 （3） 防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 （4） 防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 缺点： （1） 正常状况下，所有互联网的数据包软件都应经过防火墙的过滤，这将造成网络交通的瓶颈。 （2） 防火墙虽然可以过滤互联网的数据包，但却无法过滤内部网络的数据包。因此若有人从内部网络攻击时，防火墙没有作用。 （3） 电脑本身的操作系统亦可能因一些系统漏洞，使入侵者可以利用这些漏洞绕过防火墙过滤，从而入侵电脑。 （4） 防火墙无法有效阻挡病毒攻击，尤其是隐藏在数据中的病毒。