2.4 网络安全设备

1.防火墙

所谓防火墙（Firewall），是指一种将内部网和公众访问网（Internet）分开的方法，实际上是一种隔离技术，是安全网络（被保护的内网）与非安全网络（外部网络）之间的一道屏障，以预防发生不可预测的、潜在的网络入侵。防火墙也是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互连设备。防火墙的具体功能、原理、配置方法和应用等在本书第5章详细介绍。

2.入侵检测系统

入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，必须可以将得到的数据进行分析，并得出有用的结果，保证网络安全的运行。

由于入侵检测系统的市场在近年来飞速发展，许多公司投入到这一领域上来。除了国外的ISS、axent、NFR、Cisco等公司外，国内也有锐捷网络、中联绿盟、中科网威等数家公司推出了自己相应的产品。但就目前而言，入侵检测系统还缺乏相应的标准。目前，试图对IDS进行标准化的工作有两个组织：IETF的Intrusion Detection Working Group（IDWG）和Common Intrusion Detection Framework（CIDF），但进展非常缓慢，尚没有被广泛接受的标准出台。入侵检测系统的详细介绍见本书第5章。

3.上网行为管理系统

上网行为一般是指企业（学校、政府部门等统称为企业，下同）员工在工作时间从事非工作网上行为，概括起来有下列4类：

⊙ 获取与工作无关的资讯活动，如浏览新闻、看小说、看图片、收看收听视频和音频等。

⊙ 从互联网下载与工作内容无关的数据，如音乐、电影、软件及其他资料等。

⊙ 从事获取个人收益的活动，如网上购物、炒股、兼职、发布广告等。

⊙ 进行虚拟世界的沟通活动，如上网聊天、BBS论坛、撰写博客、收发私人邮件等。

上网行为管理系统（EIMS）是一种网络安全设备，其作用是帮助企业在工作时间约束和规范企业员工的上网行为，使员工遵守工作纪律，提高工作效率。

上网行为管理系统一般采用模块化设计，其功能主要有系统安全管理、病毒防护、网页内容管理、邮件内容管理、IM&P2P、审计管理和带宽管理、实时内容监控、条件查询和日志备份等。但是上网行为管理系统不能解决网络的稳定性、可靠性问题，对网络本身的管理也不是根本的办法。上网行为管理系统的详细介绍见本书第5章。

4.网络安全隔离卡

网络安全隔离卡又称网络物理隔离卡，其作用是使内网和外网之间实现物理隔离，即内网与外网之间没有物理连接途径，使内网的信息不会外泄；亦可防止网络病毒和网络黑客通过外网对内网进行攻击，确保内网数据的安全。

（1）结构原理

网络安全隔离卡的主要控制原理是在一台计算机上安装一块网络安全隔离卡和两个硬盘，一个硬盘接外网用，另一个硬盘接内网用。两个硬盘的操作系统分别控制两个网络连接，两个网络的网线以及两个硬盘的控制线均接到网络安全隔离卡上，按照用户选择内、外网的指令，卡上的专用控制电路相应地控制硬盘及网络的切换，保证在同一时刻只有一个硬盘及一个网络处于工作状态，而另一个硬盘及另一个网络处于完全物理隔离即非工作状态，这样就最大限度地保证了网络使用的安全性。网络安全隔离卡的结构如图2-25所示。

（2）功能特性

网络安全隔离卡具有如下功能。

① 符合国家保密局《计算机信息系统国际联网保密管理规定》第六条关于“计算机内网和外网必须实行物理隔离”的要求。

② 在同一台计算机上实现内网和外网两个网络的连接，通过硬件彻底实现内网和外网的物理隔离，且内、外两种不同网络之间可以自由切换；有效地防止网络病毒和网络黑客通过外网对内网进行攻击，使内网运行在一个非常安全的环境中。

③ 内、外网的切换只需点击屏幕上的图标或按专用的按钮即可实现。

④ 不占用计算机内部资源，对计算机的性能和网络都不会造成任何影响。

⑤ 支持DOS、Windows 9.X/ME/NT/2000/XP、Linux等操作系统。

⑥ 安装简单，界面友好，使用方便，免维护。

网络安全隔离卡适用于政府机关、金融机构、部队、企业单位、个人等需要接入互联网而又需要保护重要数据资源的计算机。