CheckPoint FireWall-1防火墙技术(1) 随着Internet的迅速发展,如何保证信息和网络自身安全性的问题,尤其是在开放互联环境中进行商务等机密信息的交换中,如何保证信息存取和传输中不被窃取、篡改,已成为企业非常关注的问题。作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一,CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位,其FireWall-1防火墙在市场占有率上已超过44%,世界上许多著名的大公司,如IBM、HP、CISCO、3COM、BAY等,都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。CheckPoint FireWall-1 V3.0防火墙的主要特点。从网络安全的需求上来看,可以将FireWall-1的主要特点分为三大类,第一类为安全性类,包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐,包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制,包括负载均衡高可靠性等;下面分别进行介绍。1.访问控制这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术,无法实施对应用级协议处理,也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术,为实现访问控制需要占用大量的CPU资源,对Internet上不断出现的新应用(如多媒体应用),无法快速支持.CheckPoint FireWall-1的状态监测技术,结合强大的面向对象的方法,可以提供全七层应用识别,对新应用很容易支持。目前支持160种以上的预定义应用和协议,包括所有Internet服务,如安全Web浏览器、传统Internet应用(mail、ftp、telnet)、UDP、RPC等,此外,支持重要的商业应用,如OracleSQL*Net、SybaseSQL服务器数据库访问;支持多媒体应用,如RealAudio、CoolTalk、NetMeeting、InternetPhone等,以及Internet广播服务,如BackWeb、PointCast。另外,FireWall-1还可以提供基于时间为对象的安全策略定制方法。FireWall-1开放系统具有良好的扩展性,可以方便的定制用户的服务,提供复杂的访问控制。2.授权认证(Authentication)由于一般企业网络资源不仅提供给本地用户使用,同时更要面向各种远程用户、移动用户、电信用户的访问,为了保护自身网络和信息的安全,有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证,FireWall-1能保证一个用户发起的通信连接在允许之前,就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略,可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。FireWall-1提供三种认证方法:用户认证(Authentication)用户认证(UA)是基于每个用户的访问权限的认证,与用户的IP地址无关,FireWall-1提供的认证服务器包括:FTP、TELNET、HTTP、RLOGIN。UA对移动用户特别有意义,用户的认证是在防火墙系统的网关上实施的。FireWall-1网关截取需要的认证请求,并把该连接转向相应的安全服务器。当用户经过认证后,安全服务器打开第二个连接,接入目的主机,其后续的数据包都需经过网关上的FireWall-1检查。客户认证(Client Authentication)客户认证(CA)是基于用户的客户端主机的IP地址的一种认证机制,允许系统管理员提供特定IP地址客户的授权用户定制访问权限的控制,同UA相比,CA与IP地址相关,对访问的协议不做直接的限制。同样,服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户如何授权,允许访问哪些服务器资源、应用程序,何时允许用户访问,允许建立多少会话等等。话路认证(Session Authentication)话路认证(SA)是基于每个话路的,属透明认证。实现SA需要在用户端安装Session Agent软件。当用户需要直接同服务器建立连接时,位于用户和用户要访问的目的主机间的防火墙系统网关,截获该话路连接,并确认是否有用户级的认证,如果有,则向话路认证代理(Session Agent)发起一个连接,由话路认证代理负责响应的认证,决定是否把该连接继续指向用户的请求服务器。
