淺談免疫墻技術

摘 要:本文主要介紹了免疫墻的相關概念，免疫墻和防火墻的區別，它是如何實現的及其廣泛應用。

關鍵詞:免疫墻防火墻內網安全免疫墻路由器

中圖分類號:TP393文獻標識碼:A文章編號:1674-098X(2011)06(a)-0016-01

在發達的信息時代，人們學習和生活中處處都離不開網絡。網絡一旦出現問題的時候，很多人最先想到的是安裝防火墻，然后是殺毒。然而，這種慣性的處理辦法在目前的環境下并不是很有效。于是，一種新的技術——免疫墻技術應運而生。免疫墻內網安全管理概念由欣全向于2007年首先提出，2008年實現了產品化，由最初的想法逐步擴展為實際的內網通訊協議、系統架構、安全策略及整體方案。

1 免疫墻的概念

“免疫”是生物醫學名詞，是人體的一種生理功能，人體依靠這種功能識別“自己”和“非己”成分，從而破壞和排斥進入人體的抗原物質，以維持人體的健康。抵抗或防止微生物或寄生物的感染或其它所不希望的生物侵入的狀態。就像我們耳熟能詳的電腦病毒一樣，在電腦行業，“病毒”就是對醫學名詞形象的借用。同樣，如今“免疫”也被借用于說明計算機網絡的一種功能，而“免疫墻”就是實現網絡免疫的主要手段。免疫墻主要解決內網的系統安全和上網行為管理問題。習慣上，因特網是外網，而局域網絡通過寬帶連接到外網，就對應成為了內網。由此，內網就組成了一個類似于人體的獨立的系統。免疫墻就要在這個獨立的內網系統中發揮作用。

2 免疫墻不是防火墻

免疫墻和防火墻，這兩者是不能畫等號的。防火墻的作用是通過在內網和外網之間、專網與公網之間的邊界上構造一個保護屏障，保護內部網免受非法用戶的侵入。而免疫墻，它是由網關、服務器、電腦終端和免疫協議一整套的硬軟件組成，對內網進行安全防范和管理的方案。免疫墻的作用是通過對內網中包括全部終端和底層協議的策略控制，堵上以太網協議漏洞及強化帶寬管理，從而徹底解決網絡掉線、卡滯、被盜號、難管理的棘手問題，見表1。

3 免疫墻如何“免疫”

(1)對網絡病毒的防御。只有有效地防止病毒的發作，才能使網絡處于健康的狀態，保證網絡的安全穩定。對于影響網絡最大的因素，網絡協議型病毒通過平常的上網操作，以木馬、黑客攻擊等方式，非常隱蔽而迅速地對網絡發起攻擊。通常的查殺病毒、過濾病毒的傳統手段，已經對其無能為力。等病毒進入并發作之后再尋找相應的手段進行查殺，已經完全不起作用。同時，很多時候病毒并不駐留在內網系統中，發作過后很可能無跡可尋。再者，黑客攻擊也不是以病毒的方式進行，殺毒更無從談起。所以，應付網絡災難最重要的不是事后的查殺，而是加強免疫、主動防御。即使系統中感染了病毒，免疫墻應力保病毒和攻擊無法發作。就像人體一樣，接觸了某種病毒，由于自身免疫的作用，并不一定會染病。因此，免疫墻不同于殺毒軟件、防毒墻，它的作用是提高網絡免疫力，在接觸到病毒和攻擊時，制止他們的發作。

(2)對上網行為的管理。安全和管理密不可分，無序的上網行為不利于網絡的穩定、高速、通暢。內網是共享上網的，接入帶寬和網內流量都有一定的限制。如果某臺終端有大數據量的傳輸就會造成對帶寬的濫用，影響網絡內其它終端的上網操作，嚴重時，整個網絡可能完全陷于癱瘓狀態。免疫墻的作用就是為網絡管理者提供一個有效的手段，可以有規則地、有選擇地控制上網行為，保證網絡始終處于可控的安全狀態，內網的穩定通暢也就得到了保障。

4 免疫墻的技術實現

目前能夠提供免疫墻技術服務的有兩種方式:

一種是以自主研發的巡路免疫安全運營中心為主體的一套內網安全管理解決方案，通過內網通訊協議(欣全向專利)、免疫安全運營中心并安裝終端免疫驅動，將內網網關、終端全部實現統一策略、統一管理，通過軟硬結合搭建一個穩定可靠的內網基礎網絡平臺。

另一種是免疫墻路由器。免疫墻路由器是一個功能性、方案性的產品。它由硬件、嵌入式軟件、C-S系統軟件、專有協議共同組成。與普通路由方案不同，它采用了獨特的軟硬結合架構，所有功能的實現都是基于這個完整的平臺。解決網絡安全問題，首先就要解決上網行為的可控性。免疫墻技術變被動防御為主動出擊，采用強制安裝客戶端軟件的方式，通過監控中心，對內網中的終端進行時時監控與管理，從而最大限度的做到了防患與未然。這種措施使得用戶可以隨時發現異常的電腦，從而采取有效措施把安全問題消滅在萌芽狀態。免疫墻路由器的創新之處在于利用在終端安裝驅動，在服務器上安裝監控中心的方式，達到了對內網中的每一個終端進行有效的管理。這種策略不僅僅使得終端的管理可操作性大大增強，還讓內網中的網管員非常直觀、方便的管理網絡。在安全性方面對網絡中常見的ARP攻擊、PING包、虛擬MAC地址欺騙等不安全因素進行了有效的遏制，將上網行為管理功能嵌入到路由器的功能當中，利用分組策略來分配網絡資源，以及動態的智能帶寬管理。

5 免疫墻的應用

免疫墻的應用很廣泛，滲透到我們生活的方方面面。如:網吧管理;OA系統;ERP系統;IP電話;視頻會議;網上銀行;電子郵件等。我們看到目前免疫墻的應用在網吧管理中最為廣泛，而高校作為技術的前沿陣地，有充足的經費投入和豐富的人力資源，我相信今后可以將免疫墻技術深化和推廣，從而構建可靠的免疫網絡，保障整個網絡和應用的穩定安全運營。

6 結語

綜上所述，免疫墻技術是有效解決諸多網絡問題的良方，不同于防火墻，它主要作用于網絡的內部，可以保持系統健壯，防止ARP攻擊、PING包、虛擬MAC地址欺騙等對網絡的破壞，避免路由、交換等網絡設備因為攻擊而系統崩潰，釀成網絡災難。也可以保護銀行密碼、QQ、MSN、游戲等賬號不被ARP欺騙盜走。免疫墻技術將會更加廣泛的應用于各大高校和企事業單位。

參考文獻

[1]翟汴.企業網絡安全:防火墻還是免疫墻[J].信息化建設，2009(09).

[2]子葉.保護企業網絡安全 防火墻還是免疫墻[J].網絡與信息，2009(05).

[3]廠商稿.NuR8528/8558免疫墻路由器產品說明，2008，11.

[4]馮登國，徐靜.網絡安全原理與技術(第二版)[M].科學出版社，2010，10.

[5]劉海燕.計算機網絡安全原理與實現[M].機械工業出版社，2009，1.