防水墙是什么

　　在计算机安全领域，防火墙和防水墙是一对非常类似的名字。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。

　　由此，我们知道，防火墙通过隔离来防止外部网对内部网进行攻击，它被动地检查所有流过的网络数据包，以阻断违反安全策略的通信。防火墙的工作都基于一个基本假设：它位于内外网的接入点，并且内外网间不存在其它旁路，正是基于这个假设，防火墙才成为内网的保护神。但是，很明显，对于内部的安全问题，防火墙无能为力。

　　防水墙由此应运而生，和传统的防火墙理念完全不同， 防水墙的设计理念，旨在防止内部信息像水一样外泄。而防火墙的诞生是为了防范外部的非法侵入。它是一个内网监控系统，处于内部网络中，随时监控内部主机的安全状况。如果说防火是指防止外部威胁向内部蔓延的话，防水就是指防止内部信息的泄漏。可见，防水墙是对这样的内网监控系统非常形象的一种称呼。

　　最简单的防水墙由探针和监控中心组成。一般来说，它由三层结构组成：高层的用户接口层，以实时更新的内网拓扑结构为基础，提供系统配置、策略配置、实时监控、审计报告、安全告警等功能；低层的功能模块层，由分布在各个主机上的探针组成；中层的安全服务层，从低层收集实时信息，向高层汇报或告警，并记录整个系统的审计信息，以备查询或生成报表。

　　防水墙一般具有以下大功能：信息泄漏防范，防止在内部网主机上，通过网络、存储介质、打印机等媒介，有意或无意的扩散本地机密信息；系统用户管理，记录用户登录系统的信息，为日后的安全审计提供依据；系统资源安全管理，限制系统软硬件的安装、卸载，控制特定程序的运行，限制系统进入安全模式，控制文件的重命名和删除等操作；系统实时运行状况监控，通过实时抓取并记录内部网主机的屏幕，来监视内部人员的安全状况，威慑怀有恶意的内部人员，并在安全问题发生后，提供分析其来源的依据，在必要时，也可直接控制涉及安全问题的主机的I/O设备，如键盘、鼠标等；信息安全审计，记录内网安全审计信息，并提供内网主机使用状况、安全事件分析等报告。

　　综上所述，防水墙是对防火墙、虚拟专用网、入侵检测系统等多种安全设备，所提供安全服务的有效补充。对整体安全系统来说，它也是不可或缺的一部分。


　　为什么要用防水墙？

　　虽然信息安全产品包括加密、杀毒、防火墙、防电磁辐射、平台系统、电子身份认证、漏洞扫描、入侵监测、识别鉴别、实体安全保护等十大系列的防护体系,但是上述产品只能解决部分问题，而不是问题的全部。

　　据国际权威机构CSI/FBI提供的统计数据，在众多的攻击行为和事件中，最重要的、最多的安全时间是信息泄漏事件；攻击者主要来自内部，而不是来自外部的黑客。那么，有没有现成的技术或者产品能够堵住信息外泄的水龙头呢？防水墙系统这样的系统就应运而生了。

　　防水墙系统是由互联网访问安全控制、计算机端口安全控制、程序使用安全控制、文件拷贝安全控制、光驱刻录安全控制、文件打印安全控制、非法入侵安全控制、硬件资源安全控制、操作行为管理、远程监视、病毒黑客木马自免疫和一个集中管理平台组成。