防火墙是怎么工作的？
在媒体的宣传下，谈到信息安全，大家首先想到的就是病毒、黑客入侵。然而，通过计算机网络给我们造成重大损失的往往是内部人员有意或无意对信息资料的窥探或窃取。从技术上来讲，内部人员更容易地辨识信息存储地，可以轻易地获取自己想要得资料；相对而言，黑客从外部窃取资料就比较困难，他们即要突破防火墙等重重关卡，还要辨别哪些是他们想要的信息，难度倍增。为了防止内部信息像洪水一样向外泄漏，治水功臣大禹又有了新的任务，出任网络防水墙，负责内网的安全管理。下面，我们就来揭开防水墙神秘的面纱，看“大禹”是如何工作的！

我们对防火墙的概念都耳熟能详，但对防水墙却十分陌生。那么防火墙究竟是什么呢？
其实，防火墙系统就是一套管理软件，是进行内网安全管理的有力武器，是加强计算机内部安全管理的重要工具。防火墙系统是由互联网访问安全控制、计算机端口安全控制、程序使用安全控制、文件安全控制、光驱刻录安全控制、非法入侵安全控制、硬件资源安全控制、操作行为管理、远程监视等模块和一个集中管理平台组成。
最简单的防火墙由探针和监控中心组成。而高级的防火墙，一般由三层结构组成：最高层是用户接口层，以实时更新的内网拓扑结构为基础，提供系统配置、策略配置、实时监控、审计报告、安全告警等功能；最低层是功能模块层，由分布在各个主机上的探针组成；中间层是安全服务层，从低层收集实时信息，向高层汇报或告警，并记录整个系统的审计信息，以备查询或生成报表。防水墙系统从内部安全体系架构和网络管理层面上，实现了内部安全的完美统一，有效降低了“堡垒从内部攻破”的可能性。

防水墙有如此强大的功能，它是如何实现的呢？下面，结合几种常见的实际问题，来分析防火墙是如何工作的。

防范内部信息泄漏
个人计算机系统的泄密方式主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。具体的泄密途径有如下几种：
A.
通过软盘驱动器、光盘刻录机、磁带驱动器等存储设备泄密；
B.
接入新的通讯或存储设备泄密，如：硬盘等设备；
C.
通过添加打印机、使用网络打印机将资料打印后带出；
D.
通过便携式电脑进入局域网络窃取信息，窃取资料；
E.
随意将文件设成共享，导致不相关人员获取资料；
F.
通过邮件、FTP等互联网方式泄密；
G.
通过COM和LPT端口、USB存储设备、1394、红外线等通讯设备泄密；
此外，还有很多其他途径可以被别有用心的内部人员利用以窃取资料。

防水墙要截断上面这些途径，它的工作方法是：以犯罪行为心里学理论为指导，以安全事件过程管理为主线，实现事前预防，事中控制，事后审计的安全管理。具体如下：
1、
制定周密的事前预防策略
A.
对信息传递途径进行控制，通过控制通讯设备和存储设备，防止未授权设备的接入；
B.
通过网络接入授权保护，实现外来电脑的接入局域网限制；
C.
制定周详的报警策略，对非法接入进行及时报警提示；
D.
制定周详的互联网信息传递阻断策略，对非法信息传递进行阻断。

2、
对泄密行为进行事中记录和控制
A.
对泄密行为及时启动控制和报警策略；
B.
对泄密过程进行屏幕记录，方便现场查看，事后录像回放；
C.
详尽的电子文档操作痕迹记录，包括访问、创建、复制、改名、删除、打印等操作；
D.
集中审查终端共享，防止共享泄密行为。

3、
详尽的日志记录，提高事后追查的效率
A.
进行电子文档操作及屏幕记录，便于信息泄密事后追查；
B.
对互联网信息传递进行记录，便于信息泄密事后追查；
C.
对系统用户进行日志审计，实现系统安全管理。

网络行为规范管理

网络信息化在提高生产和办公效率方面作出了卓越贡献，但是，我们经常听到企业公司老板的抱怨：花钱买电脑、装宽带。本想凭此提高员工工作效率。但却发现员工上班期间常有滥用网络现象，如上班时间利用网络聊天、看新闻、通过互联网把公司敏感信息轻易传播出去……。这些问题随着互联岗的普及，越来越突现出来。计算机操作的隐蔽性、多样性、丰富性和趣味性导致我们的员工的网络行为无法自律。企业管理者如何对互联网行为进行有效的管理和利用，使Internet网真正为企业的生产和经营活动服务，相信是很多公司企业管理者越来越重视的问题。

不规范的网络行为具体有哪些呢：
A.
进入同事电脑获取机密资料，进入服务器获取非授权资料；
B.
破坏共享服务器中的文件、程序，散播网络病毒。
C.
玩网络游戏、浏览与工作无关的网站，进行与工作无关的聊天；
D.
在线看网络电影、听音乐，疯狂下载电影、歌曲、程序；
E.
上招聘网站找工作、上学习网站学习；

面对这些问题，防火墙的解决方案是：对网络行为进行客户观评估，控制并记录所有网络行为，严格阻断不规范的网络行为，在企业内部形成健康网络文化。具体如下：


A.
全面监控并记录应用程序对网络的访问，并对用户的操作行为详尽记录，形成统计报告，定期以邮件方式向管理者报告。



B.
通过过滤不良网站、禁止QQ等应用程序访问网络、禁用网络设备等功能，实现对规范网络行为进行事前判断和控制。



C.
进行民主化管理，充分利用网络资源，例如：允许员工在中午休息时间访问新闻网站和娱乐网站，使用益智类网络游戏等。



D.
对问题员工的机器进行重点查看，便于管理者及时纠正其不良行为，为员工的健康成长提供帮助。





网络资产及资源管理

计算机应用迅速普及，各单位内部PC拥有量在不断增加，而IT管理人员面对这几十、成百、甚至上千的PC，若没有一套有效的辅助管理工具，必然会焦头烂额。防水墙的计算机系统管理模块目标之一就是要确保企业计算机系统运行的稳定性和可靠性。实施全面、及时、有效和系统化管理是计算机信息系统运行可靠的有力保证。IT管理人员为了确保计算机系统稳定运行需要付出成倍的工作量。而采用工具化、智能化的管理工具，能够极大地提高管理效率和质量，降低工作压力，达到事半功倍的效果。运用工具化的管理软件是IT经理掌握全局、运筹帷幄的重要手段之一。

您担心的网络资源管理管理难题可能有：
A.
计算机软、硬件数量无法确实掌握，盘点困难；
B.
单位的计算机数量越来越多，无法集中管理；
C.
无法有效防止员工私装软件，造成非法版权使用威胁；
D.
硬件设备私下挪用、窃取，造成财产损失；
E.
使用者计算机IP随易变更，造成故障频传；
F.
软件单机安装浪费人力，应用软件版本不易控制；
G.
重要资料遭非法拷贝，资料外泄，无法监督；
H.
设备故障或资源不足，无法事先得到预警；
I.
应用软件购买后，员工真正使用状况如何，无从分析；
J.
居高不下的信息化资源成本，不知如何改善。

解决这些问题，防火墙的工作方案有：从IT管理的日常事务需求出发，形成资产管理、端口管理、软件分发、远程桌面管理、进程管理、网络行为管理、外设管理等具有明确针对性的功能，最大程度地辅助管理者缔造一个稳定、可靠、高效、规范的计算机应用环境，使计算机为提高单位的生产力和办公效率作出贡献。具体如下：
A.
详细记录网内计算机的硬件和软件信息，成为信息化资产核对的有力依据；
B.
实现远程桌面管理，不到事故计算机现场，通过网络对远程计算机进行操作和维护；
C.
支持程序分发、程序修复、文件分发，方便的进行网内计算机软件部署；
D.
实现网络端口、外设、网络设备的管理，对非法网络行为进行限制；
E.
对异常的软件、硬件变化进行及时报警，提高IT管理的准确性、及时性和自动化水平；
F.
支持异地网络集中管理和控制。

综上所述，防水墙系统一套的软件，它的具体功能和工作方法在此不能一一详述。不同公司研制的防火墙产品其性能也会各有所长。作为对防火墙、虚拟专用网、入侵检测系统等多种安全设备（软件）的有力补充，防水墙在整体安全系统领域，正逐渐成为不可或缺的一部分。