FireWall-1网络安全防火墙
2006-12-05 12:39:24 来源:WEB开发网一、 CheckPoint简介:
作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一,CheckPoint公司致力于企业级网络安全产品的研发,据IDC的最近统计,其FireWall-1防火墙在市场占有率上已超过32%,《财富》排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。
二、FireWall-1产品组成:
CheckPoint FireWall-1产品包括以下模块:
● 基本模块
状态检测模块(Inspection Module):提供访问控制、客户机认证、会话认证、地址翻译和审计功能;
防火墙模块(FireWall Module):包含一个状态检测模块,另外提供用户认证、内容安全和多防火墙同步功能;
管理模块(Management Module):对一个或多个安全策略执行点(安装了FireWall-1的某个模块,如状态检测模块、防火墙模块或路由器安全管理模块等的系统)提供集中的、图形化的安全管理功能;
● 可选模块
连接控制(Connect Control):为提供相同服务的多个应用服务器提供负载平衡功能;
路由器安全管理模块(Router Security Management):提供通过防火墙管理工作站配置、维护3Com,Cisco,Bay等路由器的安全规则;
其它模块,如加密模块等。
● 图形用户界面(GUI):是管理模块功能的体现,包括
策略编辑器:维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去;
日志查看器:查看经过防火墙的连接,识别并阻断攻击;
系统状态查看器:查看所有被保护对象的状态。
FireWall-1提供单网关和企业级两种产品组合:
单网关产品:只有防火墙模块(包含状态检测模块)、管理模块和图形用户界面各一个,且防火墙模块和管理模块必须安装在同一台机器上。
企业级产品:可以有若干基本模块和可选模块以及图形用户界面组成,特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。
三、 状态检测机制
FireWall-1采用CheckPoint公司的状态检测(Stateful Inspection)专利技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。
FireWall-1状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。
状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。
状态检测模块可以识别不同应用的服务类型,还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。
状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新,通过这些数据,FireWall-1可以检测到后继的通信。
状态检测技术对应用程序透明,不需要针对每个服务设置单独的代理,使其具有更高的安全性、高性能、更好的伸缩性和扩展性,可以很容易把用户的新应用添加到保护的服务中去。
FireWall-1提供的INSPECT语言,结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。
INSPECT是一个面向对象的脚本语言,为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件,经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件,可以编辑,以满足用户特定的安全要求。
四、 OPSEC
CheckPoint是开放安全企业互联联盟(OPSEC)的组织和倡导者之一。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。
OPSEC通过把FireWall-1嵌入到已有的网络平台(如Unix、NT服务器、路由器、交换机以及防火墙产品),或把其它安全产品无缝集成到FireWall-1中,为用户提供一个开放的、可扩展的安全框架。
目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。
五、 企业级防火墙安全管理
FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。
企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则,每条规则分别指定了源地址、目的地址、服务类型(HTTP、FTP、TELNET等)、针对该连接的安全措施(放行、拒绝、丢弃或者是需要通过认证等)、需要采取的行动(日志记录、报警等)、以及安全策略执行点(是在防火墙网关还是在路由器或者其它保护对象上上实施该规则)。
FireWall-1管理员通过一个防火墙管理工作站管理该规则库,建立、维护安全策略,加载安全规则到装载了防火墙或状态检测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证,然后通过加密信道传输。
FireWall-1直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具。
● 安全策略编辑器:维护被保护对象,维护规则库,添加、编辑、删除规则,加载规则到安装了状态检测模块的系统上。
● 日志管理器:提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息,提供实时报警和入侵检测及阻断功能。
● 系统状态查看器:提供实时的系统状态、审计和报警功能。
六、 分布的客户机/服务器结构
FireWall-1通过分布式的客户机/服务器结构管理安全策略,保证高性能、高伸缩性和集中控制。
FireWall-1由基本模块(防火墙模块、状态检测模块和管理模块)和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/服务器结构。
管理模块包括了图形用户界面和管理员定义的相关管理对象——规则库,网络对象,服务、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行安全策略,安装了这些模块的系统称为受保护对象(Firewalled System),又称为安全策略执行点(Security Enforcement Point)。
FireWall-1的客户机/服务器结构是完全集成的,只有一个统一的安全策略和一个规则库,通过一个单一的防火墙管理工作站,管理多个装载了防火墙模块、状态检测模块或可选模块的系统。
七、 认证(Authentication)
远程用户和拨号用户可以经过FireWall-1的认证后,访问内部资源。
FireWall-1可以在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。
FireWall-1提供三种认证方法:
● 用户认证(User Authentication):针对特定服务提供的基于用户的透明的身份认证,服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN。
● 客户机认证(Client Authentication):基于客户机IP的认证,对访问的协议不做直接的限制。客户机认证不是透明的,需要用户先登录到防火墙认证IP和用户身份之后,才允许访问应用服务器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后,同时也就已经通过客户机认证。
● 会话认证(Session Authentication):提供基于服务会话的的透明认证,与IP无关。采用会话认证的客户机必须安装一个会话认证代理,访问不同的服务时必须单独认证。
FireWall-1提供多种认证机制供用户选择:S/Key,FireWall-1 Password,OS Password,LDAP,SecureID,RADIUS,TACACS等。
八、 地址翻译(NAT)
FireWall-1支持三种不同的地址翻译模式:
● 静态源地址翻译:当内部的一个数据包通过防火墙出去时,把其源地址(一般是一个内部保留地址)转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。
● 静态目的地址翻译:当外部的一个数据包通过防火墙进入内部网时,把其目的地址(合法地址)转换成一个内部使用的地址(一般是内部保留地址)。
● 动态地址翻译(也称为隐藏模式):把一个内部网的地址段转换成一个合法地址,以解决企业的合法IP地址太少的问题,同时隐藏内部网络结构,提高网络安全性能。
九、 内容安全
FireWall-1的内容安全服务保护网络免遭各种威胁,包括病毒、Jave和ActiveX代码攻击等。内容安全服务可以通过定义特定的资源对象,制定与其它安全策略类似的规则来完成。内容安全与FireWall-1的其它安全特性集成在一起,通过图形用户界面集中管理。OPSEC提供应用开发接口(API)以集成第三方内容过滤系统。
FireWall-1的内容安全服务包括:
● 利用第三方的防病毒服务器,通过防火墙规则配置,扫描通过防火墙的文件,清除计算机病毒;
● 根据安全策略,在访问WEB资源时,从HTTP页面剥离Java Applet,ActiveX等小程序及Java,Script等代码;
● 用户定义过滤条件,过滤URL;
● 控制FTP的操作,过滤FTP传输的文件内容;
● SMTP的内容安全(隐藏内部地址、剥离特定类型的附件等);
● 可以设置在发现异常时进行记录或报警;
● 通过控制台集中管理、配置、维护。
十、 连接控制
FireWall-1的连接控制模块提供了负载平衡功能,在提供相同服务的多个应用服务器之间实现负载分担,应用服务器不要求都放在防火墙后面。用户可选用不同的负载均衡算法:
● Server Load——该方法由服务器提供负载均衡算法,需要在应用服务器端安装负载测量引擎;
● Round Trip——FireWall-1利用ping命令测定防火墙到各个应用服务器之间的循回时间,选用循回时间最小者响应用户请求;
● Round Robin——FireWall-1根据其记录表中的情况,简单地指定下一个应用服务器响应;
● Random——FireWall-1随机选取应用服务器响应;
● Domain——FireWall-1按照域名最近的原则,指定最近的应用服务器响应。
十一、 路由器安全管理
可以通过FireWall-1的管理工作站对企业范围内的路由器提供集中的安全管理:
● 通过图形用户界面生成路由器的过滤和配置;
● 引入、维护路由器的访问控制列表;
● 记录路由器事件(需要路由器支持日志功能);
● 在路由器上执行通过图形用户界面制定的安全策略。
FireWall-1可以集中管理以下路由器:
● Bay Networks routers, version 7.x - 12.x
● Cisco routers, IOS version 9 - 11
● Cisco PIX Firewall,version 3.0, 4.0
● 3Com NetBuilder, version 9.x
● Microsoft RAS(Steelhead) Routers for Windows NT server 4.x
十二、CheckPoint FireWall-1的工作环境
CheckPoint FireWall-1防火墙支持以下工作平台及操作系统环境
工作平台 | SUN SPARC-Based Systems |
HP PA-RISC 700 & 800 | |
IBM RS 6000, Power PC | |
Intel X86 & Pentium | |
操作系统 | HP-UX 10.X |
Solaris2.5 And Higher, X86 | |
Windows NT | |
IBM AIX 4.2.1/4.3.0 | |
窗口系统 | Windows NT |
Windows 95 | |
X11 R5/Open Look(Open Windows3) or X/Motif | |
磁盘空间 | 20MB(50Mb for IBM AIX) |
内存 | 32MB Recommended |
赞助商链接