CheckPoint FireWall-1防火墙技术(3) 安全的VPNs安装了防火墙的网关对基于Internet的网网之间信息传输进行加密,提供安全的VPN技术。VPN中的专用网之间的加密由FireWall-1实施,无需在每一台主机上都安装加密软件。由网关代替受其保护的LAN和一组LAN间的信息加密。在网关后的信息是不加密的。可选的加密FireWall-1允许对同一工作站和网络间按协议选择加密或明文传送方式。对主机来说,无需对所有的通讯进行加密,提高了网络的效率。FireWall-1支持以下三种加密方案:FWZ---该方案为FireWall-1内置的专利加密和密钥管理方案,主要采用FWZ1和DES加密算法,普通PC端每秒可以处理10M数据流,加密后的数据包长度不变,该方法对IP包头不加密。Manual Ipsec---为固定密钥加密和认证算法,密钥需通过其它途径手工交换,交换后的IP包长度增大,同时对IP包的头进行了加密。SKIP---为Simple Key for Internet Protocol的缩写。SKIP是一种新型的密钥管理协议,可在网络上自动地实现加密和论证密钥的分配。其中Manual Ipsec、SKIP是IETF工程组下IP安全协议工作组(Ipsec)对Internet网络制定的安全标准的一种实现。Ipsec主要提供IP层加密和认证的一种总体框架,采用的加密算法主要有DES、TripleDES、SHA-1等。5.SecuRemote模块FireWall-1 SecuRemote使Win95和WinNT的移动用户和远程用户得以访问他们的企业网络,可以直接或通过ISP连接到企业的服务器,同时保证企业敏感数据的安全传送。该模块把VPN技术扩展到了远程用户。SecuRemote是一种称为客户端加密的技术。因为SecuRemote在数据离开客户端平台之前就已对数据进行了加密,故能为远程用户到防火墙系统间的通信连接提供完全的安全解决方案。FireWall-1 SecuRemote可以透明地加密任何TCP/IP通信,没有必要对现有用户使用的网络应用程序作任何修改。FireWall-1 SecuRemote支持任何现有的网络适配卡和TCP/IP栈。运行SecuRemote的PC机可以连接到VPN中的多个不同地点。SecuRemote支持以下特点:--支持动态IP地址--提供DH、RSA算法的用户认证--支持FWZ、DES加密算法6.路由器安全管理(需另购置的模块)FireWall-1对路由器安全管理提供一个较好的解决方案。系统管理员可以通过GUI生成路由过滤和配置。目前,支持的路由器有COM、CISCO、BAY。利用FireWall-1的面向对象的定义网络对象方法,可以把路由器定义为防火墙安全策略中的一个网络对象,经过定义的路由器对象可以作为普通网络对象在GUI的安全策略中方便的使用。利用GUI中支持的点击式操作,无需了解路由器具体命令,就可以对路由器实现安全策略加载。同时,配置变化相当的直观。如果基本安全策略配置影响到多个网络对象,系统会自动改变所有相关的路由器。一旦网络对象改变,只需单击“LoadPolicy”按钮,ACL就被自动更新。FireWall-1支持路由器的集中管理。通过一个集中的管理主控,可以配置和管理多个路由器上的访问控制列表。如果需要改变配置,只需在中央主控中改变一次,系统可自动生成访问控制列表,并自动地把ACL分布到整个企业范围内的相关路由器中。7.地址翻译(NAT)FireWall-1提供IP地址翻译的能力。IP翻译可以满足以下两种需求:--隐藏企业内部IP地址和网络结构--把内部的非法IP地址翻译成合法的IP地址Internet技术是基于IP协议的,为了通过IP协议进行通信,每个参与通信的设备必须具有一个唯一的IP地址。这在不与Internet相连的内部物理网络上是较容易做到的。但是,一旦企业要接入Internet,则IP地址必须是全球唯一的,同时由于IP地址空间有限,现在要申请整段的IP地址已很困难,为了有效地利用有限的IP地址,IANA为Internet预留了三段地址空间,允许企业内部使用。总之,企业接入Internet后在IP地址方面会遇到需要对原非法的地址合法化和隐藏内部地址两个问题。FireWall-1 NAT支持动态和静态地址翻译:动态模式(Dynamic Mode/Hide Mode)把所有要通过防火墙系统连接的内部主机IP地址全部映射到同一个合法的IP地址,对内部含非法地址的不同主机间采用动态分配的端口号进行区别。因为IP地址是按动态的方式使用的,故这种方式只用于由内部主机发起的向外部的连接。
