防水墙VS防火墙

        昨天一个朋友提到这个话题,我才知道安全界还有防水墙这个概念,落伍了.传统的防火墙由于黑客病毒等极吸引眼球的名次的扩散而众人皆知.进而又分出了网络防火墙,病毒防火墙,文件防火墙等等.重在安全和防护.

      google了一下,还真找到不少防水墙的资料,还有一些企业的产品.

      从防火墙到防水墙,其实可以看作防护的重点从外部威胁转移到了内部威胁.当然还有关注的安全属性从完整性,可用性向机密性,可控性的过渡.看看下面的描述:

      "防水墙由此应运而生，它是一个内网监控系统，处于内部网络中，随时监控内部主机的安全状况。如果说防火是指防止外部威胁向内部蔓延的话，防水就是指防止内部信息的泄漏。可见，防水墙是对这样的内网监控系统非常形象的一种称呼。

      最简单的防水墙由探针和监控中心组成。而以***内网监控系统来说，它由三层结构组成：高层的用户接口层，以实时更新的内网拓扑结构为基础，提供系统配置、策略配置、实时监控、审计报告、安全告警等功能；低层的功能模块层，由分布在各个主机上的探针组成；中层的安全服务层，从低层收集实时信息，向高层汇报或告警，并记录整个系统的审计信息，以备查询或生成报表。 "

       仔细想想,防水墙大体上是把OS的传统的文件和设备管理从单机扩展到了局域网范围.这也是网络发展的一种趋势.现在很多企业为了安全考虑都有自己的局域网,并且架设了种种防火墙.而以前看到的一份资料,有70%的入侵案例是由系统内部攻破的.

       实施这样一个系统,还是应该有一个集中式控制中心,类似CA,对局域网上的主机和用户进行授权和验证.

       现在想问题动不动就联想到安全操作系统.完善一点的防水墙应该是安全操作系统的一种自然延伸.对局域网范围内的所有访问都要实施访问控制.从根本上说是要禁止"上读下写".只不过B3以上安全操作系统都难以开发,要做完善的防水墙难度还会加倍......

       有个不怎么恰当的比方,仅仅个人感觉.防火墙是任意访问控制,而防水墙是强制访问控制.