淺談免疫墻技術(shù)

摘 要:本文主要介紹了免疫墻的相關(guān)概念，免疫墻和防火墻的區(qū)別，它是如何實現(xiàn)的及其廣泛應(yīng)用。

關(guān)鍵詞:免疫墻防火墻內(nèi)網(wǎng)安全免疫墻路由器

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1674-098X(2011)06(a)-0016-01

在發(fā)達(dá)的信息時代，人們學(xué)習(xí)和生活中處處都離不開網(wǎng)絡(luò)。網(wǎng)絡(luò)一旦出現(xiàn)問題的時候，很多人最先想到的是安裝防火墻，然后是殺毒。然而，這種慣性的處理辦法在目前的環(huán)境下并不是很有效。于是，一種新的技術(shù)——免疫墻技術(shù)應(yīng)運而生。免疫墻內(nèi)網(wǎng)安全管理概念由欣全向于2007年首先提出，2008年實現(xiàn)了產(chǎn)品化，由最初的想法逐步擴(kuò)展為實際的內(nèi)網(wǎng)通訊協(xié)議、系統(tǒng)架構(gòu)、安全策略及整體方案。

1 免疫墻的概念

“免疫”是生物醫(yī)學(xué)名詞，是人體的一種生理功能，人體依靠這種功能識別“自己”和“非己”成分，從而破壞和排斥進(jìn)入人體的抗原物質(zhì)，以維持人體的健康。抵抗或防止微生物或寄生物的感染或其它所不希望的生物侵入的狀態(tài)。就像我們耳熟能詳?shù)碾娔X病毒一樣，在電腦行業(yè)，“病毒”就是對醫(yī)學(xué)名詞形象的借用。同樣，如今“免疫”也被借用于說明計算機(jī)網(wǎng)絡(luò)的一種功能，而“免疫墻”就是實現(xiàn)網(wǎng)絡(luò)免疫的主要手段。免疫墻主要解決內(nèi)網(wǎng)的系統(tǒng)安全和上網(wǎng)行為管理問題。習(xí)慣上，因特網(wǎng)是外網(wǎng)，而局域網(wǎng)絡(luò)通過寬帶連接到外網(wǎng)，就對應(yīng)成為了內(nèi)網(wǎng)。由此，內(nèi)網(wǎng)就組成了一個類似于人體的獨立的系統(tǒng)。免疫墻就要在這個獨立的內(nèi)網(wǎng)系統(tǒng)中發(fā)揮作用。

2 免疫墻不是防火墻

免疫墻和防火墻，這兩者是不能畫等號的。防火墻的作用是通過在內(nèi)網(wǎng)和外網(wǎng)之間、專網(wǎng)與公網(wǎng)之間的邊界上構(gòu)造一個保護(hù)屏障，保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。而免疫墻，它是由網(wǎng)關(guān)、服務(wù)器、電腦終端和免疫協(xié)議一整套的硬軟件組成，對內(nèi)網(wǎng)進(jìn)行安全防范和管理的方案。免疫墻的作用是通過對內(nèi)網(wǎng)中包括全部終端和底層協(xié)議的策略控制，堵上以太網(wǎng)協(xié)議漏洞及強(qiáng)化帶寬管理，從而徹底解決網(wǎng)絡(luò)掉線、卡滯、被盜號、難管理的棘手問題，見表1。

3 免疫墻如何“免疫”

(1)對網(wǎng)絡(luò)病毒的防御。只有有效地防止病毒的發(fā)作，才能使網(wǎng)絡(luò)處于健康的狀態(tài)，保證網(wǎng)絡(luò)的安全穩(wěn)定。對于影響網(wǎng)絡(luò)最大的因素，網(wǎng)絡(luò)協(xié)議型病毒通過平常的上網(wǎng)操作，以木馬、黑客攻擊等方式，非常隱蔽而迅速地對網(wǎng)絡(luò)發(fā)起攻擊。通常的查殺病毒、過濾病毒的傳統(tǒng)手段，已經(jīng)對其無能為力。等病毒進(jìn)入并發(fā)作之后再尋找相應(yīng)的手段進(jìn)行查殺，已經(jīng)完全不起作用。同時，很多時候病毒并不駐留在內(nèi)網(wǎng)系統(tǒng)中，發(fā)作過后很可能無跡可尋。再者，黑客攻擊也不是以病毒的方式進(jìn)行，殺毒更無從談起。所以，應(yīng)付網(wǎng)絡(luò)災(zāi)難最重要的不是事后的查殺，而是加強(qiáng)免疫、主動防御。即使系統(tǒng)中感染了病毒，免疫墻應(yīng)力保病毒和攻擊無法發(fā)作。就像人體一樣，接觸了某種病毒，由于自身免疫的作用，并不一定會染病。因此，免疫墻不同于殺毒軟件、防毒墻，它的作用是提高網(wǎng)絡(luò)免疫力，在接觸到病毒和攻擊時，制止他們的發(fā)作。

(2)對上網(wǎng)行為的管理。安全和管理密不可分，無序的上網(wǎng)行為不利于網(wǎng)絡(luò)的穩(wěn)定、高速、通暢。內(nèi)網(wǎng)是共享上網(wǎng)的，接入帶寬和網(wǎng)內(nèi)流量都有一定的限制。如果某臺終端有大數(shù)據(jù)量的傳輸就會造成對帶寬的濫用，影響網(wǎng)絡(luò)內(nèi)其它終端的上網(wǎng)操作，嚴(yán)重時，整個網(wǎng)絡(luò)可能完全陷于癱瘓狀態(tài)。免疫墻的作用就是為網(wǎng)絡(luò)管理者提供一個有效的手段，可以有規(guī)則地、有選擇地控制上網(wǎng)行為，保證網(wǎng)絡(luò)始終處于可控的安全狀態(tài)，內(nèi)網(wǎng)的穩(wěn)定通暢也就得到了保障。

4 免疫墻的技術(shù)實現(xiàn)

目前能夠提供免疫墻技術(shù)服務(wù)的有兩種方式:

一種是以自主研發(fā)的巡路免疫安全運營中心為主體的一套內(nèi)網(wǎng)安全管理解決方案，通過內(nèi)網(wǎng)通訊協(xié)議(欣全向?qū)＠?、免疫安全運營中心并安裝終端免疫驅(qū)動，將內(nèi)網(wǎng)網(wǎng)關(guān)、終端全部實現(xiàn)統(tǒng)一策略、統(tǒng)一管理，通過軟硬結(jié)合搭建一個穩(wěn)定可靠的內(nèi)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺。

另一種是免疫墻路由器。免疫墻路由器是一個功能性、方案性的產(chǎn)品。它由硬件、嵌入式軟件、C-S系統(tǒng)軟件、專有協(xié)議共同組成。與普通路由方案不同，它采用了獨特的軟硬結(jié)合架構(gòu)，所有功能的實現(xiàn)都是基于這個完整的平臺。解決網(wǎng)絡(luò)安全問題，首先就要解決上網(wǎng)行為的可控性。免疫墻技術(shù)變被動防御為主動出擊，采用強(qiáng)制安裝客戶端軟件的方式，通過監(jiān)控中心，對內(nèi)網(wǎng)中的終端進(jìn)行時時監(jiān)控與管理，從而最大限度的做到了防患與未然。這種措施使得用戶可以隨時發(fā)現(xiàn)異常的電腦，從而采取有效措施把安全問題消滅在萌芽狀態(tài)。免疫墻路由器的創(chuàng)新之處在于利用在終端安裝驅(qū)動，在服務(wù)器上安裝監(jiān)控中心的方式，達(dá)到了對內(nèi)網(wǎng)中的每一個終端進(jìn)行有效的管理。這種策略不僅僅使得終端的管理可操作性大大增強(qiáng)，還讓內(nèi)網(wǎng)中的網(wǎng)管員非常直觀、方便的管理網(wǎng)絡(luò)。在安全性方面對網(wǎng)絡(luò)中常見的ARP攻擊、PING包、虛擬MAC地址欺騙等不安全因素進(jìn)行了有效的遏制，將上網(wǎng)行為管理功能嵌入到路由器的功能當(dāng)中，利用分組策略來分配網(wǎng)絡(luò)資源，以及動態(tài)的智能帶寬管理。

5 免疫墻的應(yīng)用

免疫墻的應(yīng)用很廣泛，滲透到我們生活的方方面面。如:網(wǎng)吧管理;OA系統(tǒng);ERP系統(tǒng);IP電話;視頻會議;網(wǎng)上銀行;電子郵件等。我們看到目前免疫墻的應(yīng)用在網(wǎng)吧管理中最為廣泛，而高校作為技術(shù)的前沿陣地，有充足的經(jīng)費投入和豐富的人力資源，我相信今后可以將免疫墻技術(shù)深化和推廣，從而構(gòu)建可靠的免疫網(wǎng)絡(luò)，保障整個網(wǎng)絡(luò)和應(yīng)用的穩(wěn)定安全運營。

6 結(jié)語

綜上所述，免疫墻技術(shù)是有效解決諸多網(wǎng)絡(luò)問題的良方，不同于防火墻，它主要作用于網(wǎng)絡(luò)的內(nèi)部，可以保持系統(tǒng)健壯，防止ARP攻擊、PING包、虛擬MAC地址欺騙等對網(wǎng)絡(luò)的破壞，避免路由、交換等網(wǎng)絡(luò)設(shè)備因為攻擊而系統(tǒng)崩潰，釀成網(wǎng)絡(luò)災(zāi)難。也可以保護(hù)銀行密碼、QQ、MSN、游戲等賬號不被ARP欺騙盜走。免疫墻技術(shù)將會更加廣泛的應(yīng)用于各大高校和企事業(yè)單位。

參考文獻(xiàn)

[1]翟汴.企業(yè)網(wǎng)絡(luò)安全:防火墻還是免疫墻[J].信息化建設(shè)，2009(09).

[2]子葉.保護(hù)企業(yè)網(wǎng)絡(luò)安全 防火墻還是免疫墻[J].網(wǎng)絡(luò)與信息，2009(05).

[3]廠商稿.NuR8528/8558免疫墻路由器產(chǎn)品說明，2008，11.

[4]馮登國，徐靜.網(wǎng)絡(luò)安全原理與技術(shù)(第二版)[M].科學(xué)出版社，2010，10.

[5]劉海燕.計算機(jī)網(wǎng)絡(luò)安全原理與實現(xiàn)[M].機(jī)械工業(yè)出版社，2009，1.