防火墻是怎么工作的？
在媒體的宣傳下，談到信息安全，大家首先想到的就是病毒、黑客入侵。然而，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)給我們?cè)斐芍卮髶p失的往往是內(nèi)部人員有意或無(wú)意對(duì)信息資料的窺探或竊取。從技術(shù)上來(lái)講，內(nèi)部人員更容易地辨識(shí)信息存儲(chǔ)地，可以輕易地獲取自己想要得資料；相對(duì)而言，黑客從外部竊取資料就比較困難，他們即要突破防火墻等重重關(guān)卡，還要辨別哪些是他們想要的信息，難度倍增。為了防止內(nèi)部信息像洪水一樣向外泄漏，治水功臣大禹又有了新的任務(wù)，出任網(wǎng)絡(luò)防水墻，負(fù)責(zé)內(nèi)網(wǎng)的安全管理。下面，我們就來(lái)揭開(kāi)防水墻神秘的面紗，看“大禹”是如何工作的！

我們對(duì)防火墻的概念都耳熟能詳，但對(duì)防水墻卻十分陌生。那么防火墻究竟是什么呢？
其實(shí)，防火墻系統(tǒng)就是一套管理軟件，是進(jìn)行內(nèi)網(wǎng)安全管理的有力武器，是加強(qiáng)計(jì)算機(jī)內(nèi)部安全管理的重要工具。防火墻系統(tǒng)是由互聯(lián)網(wǎng)訪問(wèn)安全控制、計(jì)算機(jī)端口安全控制、程序使用安全控制、文件安全控制、光驅(qū)刻錄安全控制、非法入侵安全控制、硬件資源安全控制、操作行為管理、遠(yuǎn)程監(jiān)視等模塊和一個(gè)集中管理平臺(tái)組成。
最簡(jiǎn)單的防火墻由探針和監(jiān)控中心組成。而高級(jí)的防火墻，一般由三層結(jié)構(gòu)組成：最高層是用戶接口層，以實(shí)時(shí)更新的內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)，提供系統(tǒng)配置、策略配置、實(shí)時(shí)監(jiān)控、審計(jì)報(bào)告、安全告警等功能；最低層是功能模塊層，由分布在各個(gè)主機(jī)上的探針組成；中間層是安全服務(wù)層，從低層收集實(shí)時(shí)信息，向高層匯報(bào)或告警，并記錄整個(gè)系統(tǒng)的審計(jì)信息，以備查詢或生成報(bào)表。防水墻系統(tǒng)從內(nèi)部安全體系架構(gòu)和網(wǎng)絡(luò)管理層面上，實(shí)現(xiàn)了內(nèi)部安全的完美統(tǒng)一，有效降低了“堡壘從內(nèi)部攻破”的可能性。

防水墻有如此強(qiáng)大的功能，它是如何實(shí)現(xiàn)的呢？下面，結(jié)合幾種常見(jiàn)的實(shí)際問(wèn)題，來(lái)分析防火墻是如何工作的。

防范內(nèi)部信息泄漏
個(gè)人計(jì)算機(jī)系統(tǒng)的泄密方式主要有網(wǎng)絡(luò)傳輸、移動(dòng)存儲(chǔ)帶出和打印到紙介質(zhì)文稿三種情況。具體的泄密途徑有如下幾種：
A.
通過(guò)軟盤(pán)驅(qū)動(dòng)器、光盤(pán)刻錄機(jī)、磁帶驅(qū)動(dòng)器等存儲(chǔ)設(shè)備泄密；
B.
接入新的通訊或存儲(chǔ)設(shè)備泄密，如：硬盤(pán)等設(shè)備；
C.
通過(guò)添加打印機(jī)、使用網(wǎng)絡(luò)打印機(jī)將資料打印后帶出；
D.
通過(guò)便攜式電腦進(jìn)入局域網(wǎng)絡(luò)竊取信息，竊取資料；
E.
隨意將文件設(shè)成共享，導(dǎo)致不相關(guān)人員獲取資料；
F.
通過(guò)郵件、FTP等互聯(lián)網(wǎng)方式泄密；
G.
通過(guò)COM和LPT端口、USB存儲(chǔ)設(shè)備、1394、紅外線等通訊設(shè)備泄密；
此外，還有很多其他途徑可以被別有用心的內(nèi)部人員利用以竊取資料。

防水墻要截?cái)嗌厦孢@些途徑，它的工作方法是：以犯罪行為心里學(xué)理論為指導(dǎo)，以安全事件過(guò)程管理為主線，實(shí)現(xiàn)事前預(yù)防，事中控制，事后審計(jì)的安全管理。具體如下：
1、
制定周密的事前預(yù)防策略
A.
對(duì)信息傳遞途徑進(jìn)行控制，通過(guò)控制通訊設(shè)備和存儲(chǔ)設(shè)備，防止未授權(quán)設(shè)備的接入；
B.
通過(guò)網(wǎng)絡(luò)接入授權(quán)保護(hù)，實(shí)現(xiàn)外來(lái)電腦的接入局域網(wǎng)限制；
C.
制定周詳?shù)膱?bào)警策略，對(duì)非法接入進(jìn)行及時(shí)報(bào)警提示；
D.
制定周詳?shù)幕ヂ?lián)網(wǎng)信息傳遞阻斷策略，對(duì)非法信息傳遞進(jìn)行阻斷。

2、
對(duì)泄密行為進(jìn)行事中記錄和控制
A.
對(duì)泄密行為及時(shí)啟動(dòng)控制和報(bào)警策略；
B.
對(duì)泄密過(guò)程進(jìn)行屏幕記錄，方便現(xiàn)場(chǎng)查看，事后錄像回放；
C.
詳盡的電子文檔操作痕跡記錄，包括訪問(wèn)、創(chuàng)建、復(fù)制、改名、刪除、打印等操作；
D.
集中審查終端共享，防止共享泄密行為。

3、
詳盡的日志記錄，提高事后追查的效率
A.
進(jìn)行電子文檔操作及屏幕記錄，便于信息泄密事后追查；
B.
對(duì)互聯(lián)網(wǎng)信息傳遞進(jìn)行記錄，便于信息泄密事后追查；
C.
對(duì)系統(tǒng)用戶進(jìn)行日志審計(jì)，實(shí)現(xiàn)系統(tǒng)安全管理。

網(wǎng)絡(luò)行為規(guī)范管理

網(wǎng)絡(luò)信息化在提高生產(chǎn)和辦公效率方面作出了卓越貢獻(xiàn)，但是，我們經(jīng)常聽(tīng)到企業(yè)公司老板的抱怨：花錢(qián)買(mǎi)電腦、裝寬帶。本想憑此提高員工工作效率。但卻發(fā)現(xiàn)員工上班期間常有濫用網(wǎng)絡(luò)現(xiàn)象，如上班時(shí)間利用網(wǎng)絡(luò)聊天、看新聞、通過(guò)互聯(lián)網(wǎng)把公司敏感信息輕易傳播出去……。這些問(wèn)題隨著互聯(lián)崗的普及，越來(lái)越突現(xiàn)出來(lái)。計(jì)算機(jī)操作的隱蔽性、多樣性、豐富性和趣味性導(dǎo)致我們的員工的網(wǎng)絡(luò)行為無(wú)法自律。企業(yè)管理者如何對(duì)互聯(lián)網(wǎng)行為進(jìn)行有效的管理和利用，使Internet網(wǎng)真正為企業(yè)的生產(chǎn)和經(jīng)營(yíng)活動(dòng)服務(wù)，相信是很多公司企業(yè)管理者越來(lái)越重視的問(wèn)題。

不規(guī)范的網(wǎng)絡(luò)行為具體有哪些呢：
A.
進(jìn)入同事電腦獲取機(jī)密資料，進(jìn)入服務(wù)器獲取非授權(quán)資料；
B.
破壞共享服務(wù)器中的文件、程序，散播網(wǎng)絡(luò)病毒。
C.
玩網(wǎng)絡(luò)游戲、瀏覽與工作無(wú)關(guān)的網(wǎng)站，進(jìn)行與工作無(wú)關(guān)的聊天；
D.
在線看網(wǎng)絡(luò)電影、聽(tīng)音樂(lè)，瘋狂下載電影、歌曲、程序；
E.
上招聘網(wǎng)站找工作、上學(xué)習(xí)網(wǎng)站學(xué)習(xí)；

面對(duì)這些問(wèn)題，防火墻的解決方案是：對(duì)網(wǎng)絡(luò)行為進(jìn)行客戶觀評(píng)估，控制并記錄所有網(wǎng)絡(luò)行為，嚴(yán)格阻斷不規(guī)范的網(wǎng)絡(luò)行為，在企業(yè)內(nèi)部形成健康網(wǎng)絡(luò)文化。具體如下：


A.
全面監(jiān)控并記錄應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問(wèn)，并對(duì)用戶的操作行為詳盡記錄，形成統(tǒng)計(jì)報(bào)告，定期以郵件方式向管理者報(bào)告。



B.
通過(guò)過(guò)濾不良網(wǎng)站、禁止QQ等應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)、禁用網(wǎng)絡(luò)設(shè)備等功能，實(shí)現(xiàn)對(duì)規(guī)范網(wǎng)絡(luò)行為進(jìn)行事前判斷和控制。



C.
進(jìn)行民主化管理，充分利用網(wǎng)絡(luò)資源，例如：允許員工在中午休息時(shí)間訪問(wèn)新聞網(wǎng)站和娛樂(lè)網(wǎng)站，使用益智類網(wǎng)絡(luò)游戲等。



D.
對(duì)問(wèn)題員工的機(jī)器進(jìn)行重點(diǎn)查看，便于管理者及時(shí)糾正其不良行為，為員工的健康成長(zhǎng)提供幫助。





網(wǎng)絡(luò)資產(chǎn)及資源管理

計(jì)算機(jī)應(yīng)用迅速普及，各單位內(nèi)部PC擁有量在不斷增加，而IT管理人員面對(duì)這幾十、成百、甚至上千的PC，若沒(méi)有一套有效的輔助管理工具，必然會(huì)焦頭爛額。防水墻的計(jì)算機(jī)系統(tǒng)管理模塊目標(biāo)之一就是要確保企業(yè)計(jì)算機(jī)系統(tǒng)運(yùn)行的穩(wěn)定性和可靠性。實(shí)施全面、及時(shí)、有效和系統(tǒng)化管理是計(jì)算機(jī)信息系統(tǒng)運(yùn)行可靠的有力保證。IT管理人員為了確保計(jì)算機(jī)系統(tǒng)穩(wěn)定運(yùn)行需要付出成倍的工作量。而采用工具化、智能化的管理工具，能夠極大地提高管理效率和質(zhì)量，降低工作壓力，達(dá)到事半功倍的效果。運(yùn)用工具化的管理軟件是IT經(jīng)理掌握全局、運(yùn)籌帷幄的重要手段之一。

您擔(dān)心的網(wǎng)絡(luò)資源管理管理難題可能有：
A.
計(jì)算機(jī)軟、硬件數(shù)量無(wú)法確實(shí)掌握，盤(pán)點(diǎn)困難；
B.
單位的計(jì)算機(jī)數(shù)量越來(lái)越多，無(wú)法集中管理；
C.
無(wú)法有效防止員工私裝軟件，造成非法版權(quán)使用威脅；
D.
硬件設(shè)備私下挪用、竊取，造成財(cái)產(chǎn)損失；
E.
使用者計(jì)算機(jī)IP隨易變更，造成故障頻傳；
F.
軟件單機(jī)安裝浪費(fèi)人力，應(yīng)用軟件版本不易控制；
G.
重要資料遭非法拷貝，資料外泄，無(wú)法監(jiān)督；
H.
設(shè)備故障或資源不足，無(wú)法事先得到預(yù)警；
I.
應(yīng)用軟件購(gòu)買(mǎi)后，員工真正使用狀況如何，無(wú)從分析；
J.
居高不下的信息化資源成本，不知如何改善。

解決這些問(wèn)題，防火墻的工作方案有：從IT管理的日常事務(wù)需求出發(fā)，形成資產(chǎn)管理、端口管理、軟件分發(fā)、遠(yuǎn)程桌面管理、進(jìn)程管理、網(wǎng)絡(luò)行為管理、外設(shè)管理等具有明確針對(duì)性的功能，最大程度地輔助管理者締造一個(gè)穩(wěn)定、可靠、高效、規(guī)范的計(jì)算機(jī)應(yīng)用環(huán)境，使計(jì)算機(jī)為提高單位的生產(chǎn)力和辦公效率作出貢獻(xiàn)。具體如下：
A.
詳細(xì)記錄網(wǎng)內(nèi)計(jì)算機(jī)的硬件和軟件信息，成為信息化資產(chǎn)核對(duì)的有力依據(jù)；
B.
實(shí)現(xiàn)遠(yuǎn)程桌面管理，不到事故計(jì)算機(jī)現(xiàn)場(chǎng)，通過(guò)網(wǎng)絡(luò)對(duì)遠(yuǎn)程計(jì)算機(jī)進(jìn)行操作和維護(hù)；
C.
支持程序分發(fā)、程序修復(fù)、文件分發(fā)，方便的進(jìn)行網(wǎng)內(nèi)計(jì)算機(jī)軟件部署；
D.
實(shí)現(xiàn)網(wǎng)絡(luò)端口、外設(shè)、網(wǎng)絡(luò)設(shè)備的管理，對(duì)非法網(wǎng)絡(luò)行為進(jìn)行限制；
E.
對(duì)異常的軟件、硬件變化進(jìn)行及時(shí)報(bào)警，提高IT管理的準(zhǔn)確性、及時(shí)性和自動(dòng)化水平；
F.
支持異地網(wǎng)絡(luò)集中管理和控制。

綜上所述，防水墻系統(tǒng)一套的軟件，它的具體功能和工作方法在此不能一一詳述。不同公司研制的防火墻產(chǎn)品其性能也會(huì)各有所長(zhǎng)。作為對(duì)防火墻、虛擬專用網(wǎng)、入侵檢測(cè)系統(tǒng)等多種安全設(shè)備（軟件）的有力補(bǔ)充，防水墻在整體安全系統(tǒng)領(lǐng)域，正逐漸成為不可或缺的一部分。