CheckPoint FireWall-1防火墙技术(2) 3.内容安全检测(Content Security)内容安全检测把FireWall-1具有的数据监测功能扩展到高层服务协议,保护用户的网络、信息资源免遭宏病毒、恶意Java、ActiveX小应用程序及含不需要内容的Web文件的入侵和骚扰,同时又能提供向Internet的较好访问。FireWall-1中的内容安全是与FireWall-1其他特性完全集成在一起的,可以通过GUI集中管理。另外,CheckPoint的OPSEC框架提供集成第三方内容扫描程序的API接口,企业可以根据需要自由选择内容扫描程序,以取得最佳效果。FireWall-1提供以下内容安全机制:(需第三方厂家软件支持)计算机病毒扫描病毒检查对企业的网络安全是至关重要的,同时对如何实施病毒检查策略也不容忽视,要取得理想的效果,应在访问网络的每一个点上实施病毒检查,而不应该交给每个用户自己去实施。URL扫描(URL Screening)URL扫描允许网络管理员设定对某些Web页面的访问权,从而有效的节省公司的网络带宽,增加网络层的另一级别的控制机制。该机制可以实现内部员工之间对不同信息的不同访问权限的安全策略。URL扫描支持以下三种方式设定:统配符设定、按文件名设定、按第三方URL数据库设定。Jave、ActiveX小应用程序的剥离FireWall-1内容安全管理可以保护企业免遭Java、ActiveX的攻击。系统管理员可以按一定的条件,如URL、授权认证用户名等,控制进入的Java、ActiveX代码。FireWall-1提供以下Java、ActiveX扫描能力:--从HTML页中剥离Java小应用标识(Tags)--剥离所有服务器到客户端的响应(Response)中的Java小应用程序,不管响应是否为压缩文件或文档文件--阻止可疑回应的连接,防止Java的攻击--从HTML页中剥离ActiveX标识--从HTML页中剥离javascript标识支持Mail(SMTP)Mail是在企业通信中广泛使用的Internet工具。SMTP不仅支持E-mail,同时支持附贴的文件,为了防止来自利用Internet E-mail工具的攻击,FireWall-1对SMTP连接提供高粒度的控制:--隐藏向外发送的FROM地址,用对外的一个通用IP地址代替,以达到隐藏内部网络结构和真实用户身份的目的--重定向MAIL到给定的TO地址--丢弃来自给定地址的邮件--剥离邮件中给定类型的附贴文件--从向外发送的邮件中剥离Received信息,以达到隐藏内部地址的目的--丢弃大于给定大小的邮件--防病毒扫描HTTP过滤URL资源可以提供定义方案(HTTP、FTP)、方法(GET、POST)、主机(如“*.com”),路径和查询。也可以通过文件指定要过滤的IP地址、服务器列表。支持FTPFireWall-1中的FTP安全服务器提供认证服务和基于FTP命令的内容安全服务。支持PUT、GET、文件名限制、防病毒检查。例如,一旦定义了对FTP“GET”命令制定防病毒检查功能,FireWall-1会自动截获FTP“GET”访问,把传送的文件转发给防病毒服务器,经过防病毒服务器检查后把结果传回给防火墙模块。这一切对用户来说都是透明的。4.加密(FireWall-1的VPN技术)企业、合作伙伴、分公司、移动用户之间的长距离通信已成为商业联系的关键。传统方法中的点对点连接方式既缺乏灵活性,成本又高,无法大规模的使用。随着公共网络的发展,如Internet,作为一种灵活、价格低廉的网间互联工具,已越来越成为企业采用的方法。但如何在公共网络上实现企业信息的安全传输是个关键问题。我们把一个利用了部分公共网络资源组成的私用网络称为虚拟专用网(VPN)。VPN技术在低费用、灵活性方面明显要比传统的定制专用网占优势,Vpn技术的引入,使全球范围内的企业连接提供了高度灵活、安全、可靠、廉价的方法。采用VPN技术,每个专用网只需接入本地的Internet供应商即可。如果要想增加新的连接即简单又价格低廉。但是。接入公共网络又使企业面临安全方面的新问题,要防止未授权的Internet访问、保证信息不被窃取和篡改等。FireWall-1提供160多种预定义协议的可选择、透明的加密算法,允许企业充分利用Internet资源,安全地实现其所有商业和接入需求。FireWall-1提供多种加密方案、密钥管理和内部权威密钥认证机构(Certificate Authority)。
