免疫墙、防水墙：内网安全时代新生产品

随着网络技术的不断发展，企业和网吧的IT环境变得越来越复杂，安全威胁更加多样和严重，而且网络攻击和各种病毒的破坏也由以前的外网环境逐渐转移到内网范围，这给传统的安全防御手段和安全设备提出很多难题，不少管理员也慢慢发现像以前那样单纯通过一台防火墙或者是直接利用路由器的安全功能已经很难解决网络安全问题。在这种情况下，管理员十分需要一个内网的安全管理平台解决方案来帮助他们实现实时的监控，并做出快速响应。

于是，专门安装在局域网内部PC或者监控服务器上的免疫墙、防水墙软件便应运而生了。

防水墙：

从名称上，防火墙和防水墙是一对非常类似的名字。我们知道，防火墙通过隔离来防止外部网对内部网进行攻击，它被动地检查所有流过的网络数据包，以阻断违反安全策略的通信。防火墙的工作都基于一个基本假设：它位于内外网的接入点，并且内外网间不存在其它旁路，正是基于这个假设，防火墙才成为内网的保护神。但是，很明显，对于内部的安全问题，防火墙无能为力。

防水墙由此应运而生，它是一个内网监控系统，处于内部网络中，随时监控内部主机的安全状况。如果说防火是指防止外部威胁向内部蔓延的话，防水就是指防止内部信息的泄漏。可见，防水墙是对这样的内网监控系统非常形象的一种称呼。

最简单的防水墙由探针和监控中心组成。而以苏富特内网监控系统来说，它由三层结构组成：高层的用户接口层，以实时更新的内网拓扑结构为基础，提供系统配置、策略配置、实时监控、审计报告、安全告警等功能；低层的功能模块层，由分布在各个主机上的探针组成；中层的安全服务层，从低层收集实时信息，向高层汇报或告警，并记录整个系统的审计信息，以备查询或生成报表。

各个厂家的防水墙的功能类似，但并不尽相同，我们用实例来看防水墙的一些基本功能：

中软防水墙系统 WaterBox

中软防水墙系统是内网安全管理的有力武器，是加强个人计算机内部安全管理的重要工具，它充分利用透明加解密、身份认证、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程，实施安全保护；最大限度地防止敏感信息泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志，以便日后审计或追究相关的泄密责任。防水墙系统从内部安全体系架构和网络管理层面上，实现了内部安全的完美统一，有效降低了"堡垒从内部攻破"的可能性。它作为国内市场上第一款成熟的内网安全管理软件，填补了国内在该领域空白，为我国信息安全保障工作注入了新的活力。

WaterBox的主要功能是对数据本身进行保护，利用透明加解密技术，保证数据的存储安全，用户在不知不觉中享受了安全。同时，防水墙结合信息泄密的途径，创造性地提出了以数据本是安全为内涵，网络、存储器、打印、外设接口监控为外延的立体化层次化防御体系，从根本上防止个人桌面系统的信息泄漏。

WaterBox从以下五个方面保障内部安全：

文档安全服务

文档安全服务采用透明加解密技术可彻底保护企业涉密数据。只要用户有读写磁盘的操作，文件就自动进行了加密或是解密，但并不控制文件的传播共享，也不影响文件打开，文件在制作过程和传输过程中始终是密文。安全策略由企业统一制定，并集中发布，对于不同性质的用户群体（财务、研发、销售）可制定不同的策略，从根本上保护了企业数据的安全。文档安全服务根据应用场景不同，支持强制加密文件服务和自主加密文件服务，保证用户的需求的完整性。

失泄密防护

失泄密防护是中软防水墙系统的重要功能之一。个人计算机系统信息外传的途径就是可能的泄密途径，主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。中软防水墙系统针对这三种泄密途径做了全面的防护，可以根据实际情况选择启用或禁用，同时还可记录日志以备事后追踪。

除了针对以上三种泄密途径做出了全面防护之外，WaterBox™7.2R5还针对可能造成泄密的外设接口，提供了启用和禁用主机上外设接口的功能，作为实施失泄密防护在硬件层次上的辅助手段。

运行状况监控

记录了受监控主机的运行状况历史日志，以便审计和监控。

系统资产管理

防水墙系统能够查看所选节点客户端软硬件信息，实时监测、记录客户端软硬件的变化情况，并根据用户所设置的策略和使用状态的阈值，对客户端主机的运行状态进行监测。当发现某种指标超过设定阈值时，防水墙系统将记录相应的越阈信息。

可信移动存储管理

可信移动存储管理提供了对可信移动存储介质从购买、使用到销毁整个过程的管理和控制，借助于注册授权、身份验证、密级识别、锁定自毁、驱动级加解密、日志审计等技术手段，对可移动存储介质进行失泄密防护，真正做到了"未授权的移动存储器拿进来使不了"、"授权的移动存储器拿出去不能用"。

[功能描述]

基于透明加解密技术的安全文档管理功能
安全文件传输功能
网络通讯方式信息泄漏防护
存储介质信息泄漏防护
可信移动存储介质管理功能
打印机信息泄漏防护
外设接口信息泄漏防护
安全文件柜功能
文件安全服务功能
系统资源安全管理功能
系统运行状况监控功能
系统资产管理
系统运行状况黑匣子功能
扩展身份认证功能
客户端远程安装
数据报表功能
违规报警功能

[体系架构]

完整的WaterBox系统由三部分组成，防水墙服务器（WaterBox Server）、防水墙控制台（WaterBox Console）和防水墙客户端（WaterBox Client），支持多级部署。

防水墙服务器

防水墙服务器，包括服务器端软件、支持数据库和授权硬件。建议在专用主机上安装防水墙服务器。支持操作系统为Microsoft Windows 2000、Windows XP、Windows Server 2003系列，推荐Windows 2000 Advanced Server版本。防水墙服务器以Microsoft SQL Server 2000为后台数据库。

防水墙控制台

防水墙控制台是实现系统管理、参数配置、策略管理和系统审计的人机交互界面软件系统。控制台采用分权分级的授权模式，以提高系统的安全性和用户管理的灵活性，保证监测信息的保密性。系统运行平台为Microsoft Windows 2000、Windows XP、Windows Server 2003系列，推荐采用Windows 2000 Professional版本。

防水墙客户端

防水墙客户端是安装于受控主机上的监测软件。防水墙客户端可远程自动升级，并采用了严密措施防止本地用户自行卸载、关闭监控程序。防水墙客户端的工作平台目前支持Microsoft Windows系列操作系统，包括Windows 2000系列版本、Windows XP系列版本和Windows 2003系列版本。