防水墻和防火墻一般來講，大型機(jī)構(gòu)在網(wǎng)絡(luò)化過程中面臨的安全問題可包括網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)安全。針對(duì)網(wǎng)絡(luò)系統(tǒng)安全方面，通常分為兩種：各類計(jì)算機(jī)病毒、系統(tǒng)陷阱(Trapdoors)、隱蔽訪問通道、黑客攻擊等造成敏感數(shù)據(jù)泄密、Web站點(diǎn)癱瘓等等問題，都是機(jī)構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)化面臨的外部威脅，這種為內(nèi)部漏水。機(jī)構(gòu)需要防止網(wǎng)絡(luò)系統(tǒng)遭到?jīng)]有授權(quán)的存取或破壞以及非法入侵;在數(shù)據(jù)安全方面機(jī)構(gòu)則需要防止機(jī)要、敏感數(shù)據(jù)被竊取或非法復(fù)制、使用等，這種一般為外部著火。網(wǎng)絡(luò)防水墻和網(wǎng)絡(luò)防火墻無疑解決了這方面的問題。一.防水墻定義防水墻，用于內(nèi)網(wǎng)防泄漏產(chǎn)品，是一種防止內(nèi)部信息泄漏的安全產(chǎn)品。網(wǎng)絡(luò)、外設(shè)接口、存儲(chǔ)介質(zhì)和打印機(jī)構(gòu)成信息泄漏的全部途徑。防水墻針對(duì)這四種泄密途徑，在事前、事中、事后進(jìn)行全面防護(hù)。其與防病毒產(chǎn)品、外部安全產(chǎn)品一起構(gòu)成完整的網(wǎng)絡(luò)安全體系。組成結(jié)構(gòu)最簡(jiǎn)單的防水墻由客戶端和管理中心、服務(wù)器三層結(jié)構(gòu)組成：高層的用戶接口層，以實(shí)時(shí)更新的內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)，提供系統(tǒng)配置、策略配置、實(shí)時(shí)監(jiān)控、審計(jì)報(bào)告、安全告警等功能；低層的功能模塊層，由分布在各個(gè)主機(jī)上的探針組成；中層的安全服務(wù)層，從低層收集實(shí)時(shí)信息，向高層匯報(bào)或告警，并記錄整個(gè)系統(tǒng)的審計(jì)信息，以備查詢或生成報(bào)表。主要功能各個(gè)廠家的防水墻的功能類似，但并不盡相同，一般內(nèi)網(wǎng)監(jiān)控系統(tǒng)具有以下功能：信息泄漏防范，防止在內(nèi)部網(wǎng)主機(jī)上，通過網(wǎng)絡(luò)、存儲(chǔ)介質(zhì)、打印機(jī)等媒介，有意或無意的擴(kuò)散本地機(jī)密信息；系統(tǒng)用戶管理，記錄用戶登錄系統(tǒng)的信息，為日后的安全審計(jì)提供依據(jù)；系統(tǒng)資源安全管理，限制系統(tǒng)軟硬件的安裝、卸載，控制特定程序的運(yùn)行，限制系統(tǒng)進(jìn)入安全模式，控制文件的重命名和刪除等操作；系統(tǒng)實(shí)時(shí)運(yùn)行狀況監(jiān)控，通過實(shí)時(shí)抓取并記錄內(nèi)部網(wǎng)主機(jī)的屏幕，來監(jiān)視內(nèi)部人員的安全狀況，威懾懷有惡意的內(nèi)部人員，并在安全問題發(fā)生后，提供分析其來源的依據(jù)，在必要時(shí)，也可直接控制涉及安全問題的主機(jī)的I/O設(shè)備，如鍵盤、鼠標(biāo)等；（5）信息安全審計(jì)，記錄內(nèi)網(wǎng)安全審計(jì)信息，并提供內(nèi)網(wǎng)主機(jī)使用狀況、安全事件分析等報(bào)告。綜上所述，防水墻是對(duì)防火墻、虛擬專用網(wǎng)、入侵檢測(cè)系統(tǒng)等多種安全設(shè)備，所提供安全服務(wù)的有效補(bǔ)充。對(duì)整體安全系統(tǒng)來說，它也是不可或缺的一部分。二.防火墻在電腦運(yùn)算領(lǐng)域中，防火墻（英文：Firewall）是一項(xiàng)協(xié)助確保信息安全的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可能是一臺(tái)專屬的硬件或是架設(shè)在一般硬件上的一套軟件。定義所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。分類防火墻從誕生開始，已經(jīng)歷了四個(gè)發(fā)展階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。常見的防火墻屬于具有安全操作系統(tǒng)的防火墻，例如NETEYE、NETSCREEN、TALENTIT等。從結(jié)構(gòu)上來分，防火墻有兩種：即代理主機(jī)結(jié)構(gòu)和路由器+過濾器結(jié)構(gòu)。從原理上來分，防火墻則可以分成4種類型：特殊設(shè)計(jì)的硬件防火墻、數(shù)據(jù)包過濾型、電路層網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)。安全性能高的防火墻系統(tǒng)都是組合運(yùn)用多種類型防火墻，構(gòu)筑多道防火墻“防御工事”。主要類型（1） 應(yīng)用層防火墻；（2） 網(wǎng)絡(luò)層防火墻；（3） 數(shù)據(jù)庫(kù)防火墻。主要特性（1） 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻。（2） 只有符合安全策略的數(shù)據(jù)流才能通過防火墻。（3） 防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。（4） 應(yīng)用層防火墻具備更細(xì)致的防護(hù)能力。（5） 數(shù)據(jù)庫(kù)防火墻針對(duì)數(shù)據(jù)庫(kù)惡意攻擊的阻斷能力。主要功能防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等。防火墻最基本的功能就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。主要特點(diǎn)優(yōu)點(diǎn)：（1） 防火墻能強(qiáng)化安全策略。（2） 防火墻能有效地記錄Internet上的活動(dòng)。（3） 防火墻限制暴露用戶點(diǎn)。防火墻能夠用來隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播。（4） 防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外。缺點(diǎn)：（1） 正常狀況下，所有互聯(lián)網(wǎng)的數(shù)據(jù)包軟件都應(yīng)經(jīng)過防火墻的過濾，這將造成網(wǎng)絡(luò)交通的瓶頸。（2） 防火墻雖然可以過濾互聯(lián)