checkpoint防火墙技术

CheckPoint FireWall-1防火墙技术

2007-11-14 18:22:23

随着Internet的迅速发展，如何保证信息和网络自身安全性的问题，尤其是在开放互联环境中进行商务等机密信息的交换中，如何保证信息存取和传输中不被窃取、篡改，已成为企业非常关注的问题。

作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位，其FireWall-1防火墙在市场占有率上已超过44%，世界上许多著名的大公司，如IBM、HP、CISCO、3COM、BAY等，都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。

CheckPoint FireWall-1 V3.0防火墙的主要特点。

从网络安全的需求上来看，可以将FireWall-1的主要特点分为三大类，第一类为安全性类，包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐，•包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制，包括负载均衡高可靠性等；下面分别进行介绍。

1．访问控制

这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术，无法实施对应用级协议处理，也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术，为实现访问控制需要占用大量的CPU资源，对Internet上不断出现的新应用(如多媒体应用)，无法快速支持.

CheckPoint FireWall-1的状态监测技术，结合强大的面向对象的方法，可以提供全七层应用识别，对新应用很容易支持。目前支持160种以上的预定义应用和协议，包括所有Internet服务，如安全Web浏览器、传统Internet应用（mail、ftp、telnet）、UDP、RPC等，此外，支持重要的商业应用，如OracleSQL*Net、SybaseSQL服务器数据库访问；支持多媒体应用，如RealAudio、CoolTalk、NetMeeting、InternetPhone等，以及Internet广播服务，如BackWeb、PointCast。

另外，FireWall-1还可以提供基于时间为对象的安全策略定制方法。

FireWall-1开放系统具有良好的扩展性，可以方便的定制用户的服务，提供复杂的访问控制。

2．授权认证（Authentication）

由于一般企业网络资源不仅提供给本地用户使用，同时更要面向各种远程用户、移动用户、电信用户的访问，为了保护自身网络和信息的安全，有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证，FireWall-1能保证一个用户发起的通信连接在允许之前，就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略，可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。FireWall-1提供三种认证方法：

用户认证（Authentication）

用户认证（UA）是基于每个用户的访问权限的认证，与用户的IP地址无关，FireWall-1提供的认证服务器包括：FTP、TELNET、HTTP、RLOGIN。

UA对移动用户特别有意义，用户的认证是在防火墙系统的网关上实施的。

FireWall-1网关截取需要的认证请求，并把该连接转向相应的安全服务器。当用户经过认证后，安全服务器打开第二个连接，接入目的主机，其后续的数据包都需经过网关上的FireWall-1检查。

客户认证（Client Authentication）

客户认证（CA）是基于用户的客户端主机的IP地址的一种认证机制，允许系统管理员提供特定IP地址客户的授权用户定制访问权限的控制，同UA相比，CA与IP地址相关，对访问的协议不做直接的限制。同样，服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户如何授权，允许访问哪些服务器资源、应用程序，何时允许用户访问，允许建立多少会话等等。

话路认证（Session Authentication）

话路认证（SA）是基于每个话路的，属透明认证。实现SA需要在用户端安装Session Agent软件。当用户需要直接同服务器建立连接时，位于用户和用户要访问的目的主机间的防火墙系统网关，截获该话路连接，并确认是否有用户级的认证，如果有，则向话路认证代理（Session Agent）发起一个连接，由话路认证代理负责响应的认证，决定是否把该连接继续指向用户的请求服务器。

3．内容安全检测（Content Security）

内容安全检测把FireWall-1具有的数据监测功能扩展到高层服务协议，保护用户的网络、信息资源免遭宏病毒、恶意Java、ActiveX小应用程序及含不需要内容的Web文件的入侵和骚扰，同时又能提供向Internet的较好访问。

FireWall-1中的内容安全是与FireWall-1其他特性完全集成在一起的，可以通过GUI集中管理。另外，CheckPoint的OPSEC框架提供集成第三方内容扫描程序的API接口，企业可以根据需要自由选择内容扫描程序，以取得最佳效果。

FireWall-1提供以下内容安全机制：（需第三方厂家软件支持）

计算机病毒扫描

病毒检查对企业的网络安全是至关重要的，同时对如何实施病毒检查策略也不容忽视，要取得理想的效果，应在访问网络的每一个点上实施病毒检查，而不应该交给每个用户自己去实施。

URL扫描（URL Screening）

URL扫描允许网络管理员设定对某些Web页面的访问权，从而有效的节省公司的网络带宽，增加网络层的另一级别的控制机制。该机制可以实现内部员工之间对不同信息的不同访问权限的安全策略。

URL扫描支持以下三种方式设定：统配符设定、按文件名设定、按第三方URL数据库设定。

Jave、ActiveX小应用程序的剥离

FireWall-1内容安全管理可以保护企业免遭Java、ActiveX的攻击。系统管理员可以按一定的条件，如URL、授权认证用户名等，控制进入的Java、ActiveX 代码。FireWall-1提供以下Java、ActiveX扫描能力：

--从HTML页中剥离Java小应用标识（Tags）

--剥离所有服务器到客户端的响应（Response）中的Java小应用程序，不管响应是否为压缩文件或文档文件

--阻止可疑回应的连接，防止Java的攻击

--从HTML页中剥离ActiveX标识

--从HTML页中剥离JavaScript标识

支持Mail(SMTP)