CheckPoint技术简介

CheckPoint技术简介
一、CheckPoint主要产品部件
1、FireWall-1/VPN-1
2、FloodGate-1
3、Reporting Module
4、Meta IP
5、SecuRemote
6、SecureClient
7、OPSEC SDK
二、FireWall-1产品组成：
CheckPoint FireWall-1产品包括以下模块：
·基本模块
√状态检测模块（Inspection Module）：提供访问控制、用户认证、地址翻译和审计功能；
√防火墙模块（FireWall Module）：包含一个状态检测模块，另外提供用户认证、内容安全和多防火墙同步功能；
√管理模块（Management Module）：对一个或多个安全策略执行点（安装了FireWall-1的某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等的系统）提供集中的、图形化的安全管理功能；
·可选模块
√连接控制（Connect Control）：为提供相同服务的多个应用服务器提供负载平衡功能；
√路由器安全管理模块（Router Security Management）：提供通过防火墙管理工作站配置、维护3Com，Cisco，Bay等路由器的安全规则；
√其它模块，如加密模块等。

·图形用户界面（GUI）：是管理模块功能的体现，包括
√策略编辑器：维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去；
√日志查看器：查看经过防火墙的连接，识别并阻断攻击；
√系统状态查看器：查看所有被保护对象的状态。

产品部件主要功能
管理控制台·对一点或多点实行集中图形化安全管理
检测模块·访问控制
·客户和对话鉴别·网络地址转换·审查
防火墙模块·检测模块的全部功能·用户鉴定
·多防火墙同步
·信息保护
加密模块·加密
连接控制模块·自动实现各应用服务器的负载平衡
路由器安全管理·对一个或多个的路由器的路由器访问控制列表进行管理
功能模块：
·状态检查模块(Inspection Module)
·访问控制(Access Control)
·授权认证(Authentication)
·加密(Encryption)
·路由器安全管理(Router Security Management)
·网络地址翻译(NAT)
·内容安全(Content Security)
·连接控制(Connection Control)
·记帐(Auditing)
·企业安全策略管理(Enterprise-wide Security Managemant)
·高可靠性模块(High Availability)
···
Inspection状态检查模块
FireWall-1采用CheckPoint公司的状态检测（Stateful Inspection）专利技术，以不同的服务区分应用类型，为网络提供高安全、高性能和高扩展性保证。

FireWall-1状态检测模块分析所有的包通讯层，汲取相关的通信和应用程序的状态信息。

状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用。

状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。

网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。

Firewall-l检查模块存在于操作系统核心部分，在网络层之下，属于最低的软件层。

在这个层次对通信量进行检查，Firewall-l能中途拦截且分析到达操作系统之前的所有包。

然后根据安装在上面的安全规则来核实是否有相匹配的规则，来决定是否转发或阻塞它。

在包被核实为遵守安全规则的包之前，协议簇的各层对任何包不作处理（如图所示）。

Figurel FireWall-1Inspection Module
状态检测模块可以识别不同应用的服务类型，还可以通过以前的通信及其它应用程序分析出
状态信息。

状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。

Firewall-l遵循“没有明确说明的包一律禁止通行”。

缺省情况下，Firewall-l停止所有的Active。

状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新，通过这些数据，FireWall-1可以检测到后继的通信。

状态检测技术对应用程序透明，不需要针对每个服务设置单独的代理，使其具有更高的安全性、高性能、更好的伸缩性和扩展性，可以很容易把用户的新应用添加到保护的服务中去。

FireWall-1提供的INSPECT语言，结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。

INSPECT是一个面向对象的脚本语言，为状态检测模块提供安全规则。

通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件，经过编译生成代码并被加载到安装有状态检测模块的系统上。

脚本文件是ASCII文件，可以编辑，以满足用户特定的安全要求。

访问控制(Access Control)
限制未授权用户访问本企业网络和信息资源的措施，访问者必需要能适用于现行的所有服务和应用。

FireWall-1的状态监测技术，可以提供全七层应用识别，支持超过160种以上的预先定义应用、服务和协议，支持所有Internet服务，包括有安全Web浏览器、电子邮件、FTP、Telnet及RPC和UDP等，还支持重要商业应用，如Oracle SQL*Net，Sybase SQL服务器数据库访问，多媒体应用如RealAudio、VDOLive、CoolTalk、NetMeeting、Internet Phone等及Internet 广播服务，如BackWeb和PointCast。

另外，FireWall-1还可以提供基于时间为对象的安全策略定制方法，可以利用年、月、日、时定制时间对象。

授权认证(Authentication)
为提供企业网络资源给本地用户及各种远程用户、移动用户、电信用户使用，所以为了保护网络和信息安全，必需对访问连接用户采取有效的权限控制和身份认别，以确保系统安全。

FireWall-1提供三种认证方法:
用户认证(User Authentication)
基于对每个用户的访问权限认证,提供此方法认证的服务包括TELNET,FTP,RLOGIN,HTTP.用户认证的实施是在防火墙系统的网关上，就象用户LOGIN的程序一样，当用户请求连网到另一目的地时FireWall-1网关会自动截取并发出需要认证的请求，且把该会话转向相应的安全服务器去执行必要的安全措施策略。

当用户通过认证无误后，即可建立与目的主机的会话(Session），其后所有的往来数据包都需经过网关上的FireWall-1检查。

客户机认证(Client Authentication)
基于客户端主机的IP地址的一种认证方式，系统管理员可以决定对每个用户如何授权，允许访问那些服务器资源和应用程序，何时可以访问。

允许建立多少会话(Session）等。

与用户认证不同的地方是客户机认证方式，不对访问的协议及服务做直接的限制。

所有的服务器和客户端都无需增加或修改任何软件或程式。

会话认证(Session Authentication)
基于每个会话的认证方式，此种认证方式需在用户端安装会话代理(Session Agent）软件。

会话认证的处理过程如下：
当用户发出直接到服务器上的连接需求时。

防火墙系统模块截获该会话连接需求并向会话代理发出一个连接需求，由会话代理负责回应的认证，决定是否通过认证考验，如果通过则把该连接指向用户请求服务的服务器。

FireWall-1提供下列认证方案（Authentication Schemes）
S/Key
由S/Key发出要求用户输入密码，每次要求输入的密码都是不同的，本认证方式属于One-time 密码体系。

SecurID
系统要求用户输入Security Dynamics SecurID卡上所显示的数据。

本认证方式属于外部服务
器提供的认证方法。

OS Password
系统要求用户输入本人的操作系统(OS）密码。

Internal
系统要求用户输入其在防火墙系统内所建立的用户密码。

RADIUS
系统要求用户按RADIUS服务器定义的方式输入相对应的密码方式。

此方法亦属于利用外部安全服务器提供的认证方法。

AssureNet Pathways
系统要求用户按AssureNet Pathways服务器定义的方式对应系统。

此方式亦为外部安全服务器提供的认证方法。

加密(Encryption)
FireWall-1提供100多种预定协议的可选择、透明的加密算法，允许企业充分利用Internet资源，安全地实现企业网的要求，并提供多种加密方案、密钥管理及内部权威钥认证。

FireWall-1提供VPN服务支持下列三种加密方式：
FWZ
此方式为FireWall-1内置的专用加密和密钥管理方式。

主要采用FWZ1和DES加密算法。

对于TCP/IP的包头不加密，而资料本文的TCP/IP头里含有话路密钥以用来对每一包的资料部分加密，因此不会有二个包的加密是共用一个密钥的。

密码的校验内含在每一个包里。

此方式加密不会改变数据包的长度。

Manual IPSec
此方式为一种使用固定密钥的加密和认证方式。

密钥需通过其它途径手工交换。

此方式对每一数据包的包头和资料部分均加密，且加密后数据包的长度均加大，当传送数据包时，可能将数据先传送到解密的主机去，再由此主机分送到其原定的目的主机上去。

SKIP(Simple Key-Management for Internet Protocols)
用于IP加密的密钥管理，可自动认证交换亦对数据包的包头加密，且加入自己的包头到数据包里，数据包的长度亦增大。

路由器安全管理(Router Security Management)
可以通过FireWall-1的管理工作站对企业范围内的路由器提供集中的安全管理：
·通过图形用户界面生成路由器的过滤和配置；
·引入、维护路由器的访问控制列表（Access Control Lists）；
·记录路由器事件（需要路由器支持日志功能）；
·在路由器上执行通过图形用户界面制定的安全策略。

FireWall-1可以集中管理以下路由器：
Bay Networks routers,version7.x-12.x
Cisco routers,IOS version9-11
Cisco PIX Firewall，version3.0,4.0
3Com NetBuilder,version9.x
Microsoft RAS(Steelhead)Routers for Windows NT server4.x
网络地址翻译（NAT）
IP地址翻译要求主要源于下列原因：
·网络管理员为避免网络内部的IP地址于Internet上被公开。

·将内部网络的IP地址翻译成外部可以使用的IP的地址。

FireWall-1提供了透明的地址翻译功能，管理员可以根据需要来定义隐藏内部地址及建立外部IP地址对应内部IP地址范围的功能，以利接入Internet。

FireWall-1的网络地址翻译支持动态和静态二种地址翻译
1.动态模式（Dynamic Mode-many to one or hide）
把所有透过防火墙系统连接的内部网络IP地址，全部对应到同一个合法的外部IP地址，对内部IP地址的不同主机间采用动态分配的端口号来区分其不同。

此模式的IP地址分配是按动态的方式来使用，所以适用于由内部网络主机发起的向外主机通讯。

使用动态模式需注意下列几个限制
·不允许由外部主机发起的向内部连接请求，此限制亦是此模式的优点，可防止电子欺骗。

·不能用于支持ICMP(Internet Control Message Protocol)
·不能用于端口号不能改变的服务协议
·不能用于当外部服务器必须使用基于IP地址来判断客户端的应用，因为所有的内部客户端都使用相同的IP地址。

2.静态模式（Static Mode－One to one）
此模式又分为：
·静态源地址模式：当内部的一个数据包通过防火墙出去时，把其源地址（一般是一个内部保留地址）转换成一个合法地址。

静态源地址翻译与静态目的地址翻译通常是配合使用的。

·静态目的地址模式：当外部的一个数据包通过防火墙进入内部网时，把其目的地址（合法地址）转换成一个内部使用的地址（一般是内部保留地址）。

内容安全(Content Security)
提供数据监测功能到高层服务协议，保护用户的网络系统及信息资源免遭病毒，恶意Java、Active X应用程序及含不必要的内容的Web文件的入侵和骚扰，并且提供最佳化的Internet访问。

FireWall-1利用其FireWall-1安全服务器为HTTP、SMTP及FTP协议提供内容安全监测功能的API接口，用户可根据需要自我选择所需内容扫描程式，结合支持OPSEC Alliance程序接口，透过GUI的集中管理，达到最安全的内容保护措施。

FireWall-1提供以下内容安全机制：
·计算机病毒扫描：利用第三方的防病毒服务器，通过防火墙规则配置，扫描通过防火墙的文件，清除计算机病毒；
·URL扫描（URL Scanning）：用户定义过滤条件，过滤URL；
·Java、Active X小应用程序的剥离：根据安全策略，在访问WEB资源时，从Web页面剥离JavaApplet，ActiveX及JavaScript等代码；
·支持Mail（SMTP）：SMTP的内容安全（隐藏内部地址、剥离特定类型的附件等）；·HTTP过滤：过滤HTTP传输的内容
·支持FTP：控制FTP的操作，过滤FTP传输的文件内容；
连接控制(Connection Control)
----服务器负载均衡(Server Load Balancing)
Checkpoint Firewall-1内置了Connect Control模块。

加载了Connect Control的Firewall-1不但能确保最大限度的网络连通性，还能为客户端请求提供最优的响应时间。

它的实现方法是舍弃一台服务器包办Web访问（或其它访问）的模式，而替之以一个逻辑服务器群去共同分担负载。

通过Connect Control模块，物理上看来有很多个IP地址的服务器群，被映射为一个IP地址，由Connect Control模块先接管对这个逻辑IP地址的访问，然后在服务器群中进行合理的负载分配。

这样，通过服务器群的协同运作，网络连通性和响应时间都会得到很大改善，而这一切对于用户来说都是透明的。

通过Connect Control模块，已有的服务器资源被充分利用，企业的硬件投资得到了保障。

灵活的服务器负载分担功能
Connect Control模块支持超过150种Internet应用和无限数目的网关接口。

客户对特定服务器的连接请求可基于五种Connect Control负载分担机制在服务器端进行响应。

1、服务器负载(Server Load)
服务器负载机制可保证服务器群中的每台服务器处理与其负载能力相称的客户端请求，每一个新的客户端请求都被重定向到当前负载最轻的那台服务器上去处理。

应用这种处理机制时，服务器群中的每台服务器上都安装了一个负载评估程序，这样每台服务器都会自动向Connect Control模块报告其当前负载（百分比形式）。

Connect Control模块正是利用这些报告信息决定下一个客户端请求分配给哪一台服务器，每台服务器上的负载评估时间间隔可由用户指定，这样既保证了最大限度的灵活性，又不会因“负载评估”给服务器带来额外的延时和系统开销。

2、域名(Domain)
有些用户可能不只是定位于Internet单域环境，因此Connect Control模块也允许企业将服务器群的服务器分散于企业网中，利用负载均衡的方法去优化响应时间，这种机制是基于请求的服务
器域名来将连接重定向到“最近”的那台服务器上去。

3、往返延时(round trip)
此机制将客户端的连接请求定向到“往返延时”最短的服务器上去。

“Ping”命令被用来得出Connect Control模块和服务器间的这种“往返延时”。

此机制能确保连接请求得到最快的响应。

4、循环调度(round robin)
此机制的应用前提是假设服务器群中的每台服务器连接处理能力相同。

Connect Control模块按顺序给每台服务器分配负载，循环往复。

当然，这其间Connect Control模块会不断检查每台服务器的状态，假如发现某台服务器Down机或不可到达了，Connect Control模块将停止向其分配任务。

5、随机法(random)
假如服务器群中的每台服务器是完全相同的，可采用随机分配法来实现负载均衡。

维护HTTP Client/server会话
Connect Control模块提供一种重定向机制来确保同属于一个HTTP会话的所有连接被指向同一台服务器，这对于许多Web应用是至关重要的，例如那些使用基于HTTP的表格程序，需要单台服务器去处理全部用户数据。

HTTP重定向机制与Connect Control负载均衡机制配合运行
一个HTTP合法的第一个连接请求根据负载均衡机制被定向到相应的Web服务器上去，同时，Connect Control通知客户端随后的连接请求无需再指向服务器群的逻辑IP，而直接到此Web服务器的IP地址即可。

这样，会话的剩余部分无需再根据负载均衡机制加以重定负，而始终指向同一台服务器。

以上的所有操作对于客户端完全透明。

HTTP重定向机制在有效地进行负载分担的同时，保证了HTTP会话的连贯和完整。

Checkpoint Firewall-1Connect Control模块可满足用户在保留现有硬件投资的前提下优化服务器响应时间的
需求。

在维护企业网安全时，增强了网络连接性。

特点
可使用灵活的五种负载均衡机制在多个服务器间分配连接请求；
伸缩性极佳的服务器群架构；
可在实施负载均衡的同时保证HTTP会话的完整性；
支持超过150种Internet服务和应用；
----FireWall-1模块同步运行(Synchronization of FireWall-1Modules)
FireWall-1版本3.0开始提供此功能，不同的防火墙模块运行在不同的网关机器硬设备中可以互相共享资料及互相更新状况。

另外同步防火墙模块还提供当有任一网关发生死机现象，可以互相取代，确保系统正常运行的功能。

记帐(Auditing)
FireWall-1可以对用户在网络中的活动情况进行记录，如对用户入退网时间、传送的字节数、传送的包数量等进行记录。

同时FireWall-1提供实时报警功能，报警方式可以是通知系统管理员、发送Email，发送SNMP给其他网络系统或激活用户定义的报警方式，如接入寻呼机等。

FireWall-1允许系统管理员对选择的连接进行记帐处理。

一旦定义了记帐功能后，FireWall-1在通常的记录字段信息外，还记录用户连接的持续时间，传送的字节数、包数量，系统管理员可以用命令生成记帐报表，也可以通过FireWall-1通过的安全机制（加密和论证）把记帐信息转入第三方的报表应用程序或数据库中。

企业安全策略管理(Enterprise-wide Security Managemant)
透过提供集中的安全管理机制，只要在一工作站中，即可在保障网络安全性的条件下，实时对网
络配置控制及实时报警等功能。

High Availability高可靠性模块
高可靠性模块使得用户能够创建VPN/防火墙网关的群集。

在主网关失效的时候，所有的连接被从网关接管，保证网络的持续畅通。

可以同时支持20个防火墙模块的同步。

透明的VPN接管
高可靠性模块在VPN/Firewall网关失效的时候，维护所有的VPN隧道连接。

在主网关失效的时候，所有的VPN会话仍然正常进行，用户无需重新连接，重新认证。

用户甚至感觉不到另外一个网关已经接管了所有网络连接。

这样，关键的商务交易和大的文件传输持续进行，无需从头开始。

自动恢复/热交换
在一个正在运行的VPN-1/Firewall-1群集中增减网关可实时进行，且无需重新配置或重新启动群集。

例如，如果某台网关意外失效，该失效的网关可以自动重新启动（如果系统管理员已经这样配置的话），并重新加入群集中去，而无需管理员介入。

这使得在商务时间进行群集系统的维护成为可能。

“健康”检查
高可靠性模块内置了可编程的网关“健康”检查功能，通过它持继地监测网关的运行状态，可以及早地发现一些潜在的问题。

除了检测VPN-1/Firewall-1是否失效外，它还能与第三方应用程序通讯以判定系统的“健康”状况。

例如，一个磁盘空间代理程序可以通知高可靠性模块磁盘空间即将耗尽。

这样，系统能够强制性切换到另一个备份网关上。

“健康”监测能在一系列问题发生之前做出及早响应，虽然这些问题中有的并不意味着灾难性的Down机，但都可能影响到系统的整体性能和可靠性。

集成的管理界面
高可靠性模块的配置直接在checkpoint Firewall-1/VPN-1的管理界面上进行，配置数据也被存
储到checkpoint Firewall-1/VPN-1管理服务器中。

一旦主网关失效，checkpoint的日志功能即启动。

对该事件加以记录并通过Email、SNMP、寻呼机等方式通知管理员。

除此之外，所有群集网关的状态可以通过checkpoint状态浏览器实时监测。

因此，由于使用高可靠性模块而新增加的管理费用被降到了最低限度。

流量控制软件FloodGate-1
CheckPoint软件技术用FloodGate-1解决了网络拥挤问题，FloodGate-1是一个基于策略的,企业范围的带宽管理解决方案。

代替追赶更高的带宽，FloodGate-1智能地管理有限的带宽资源，使重要的互联网应用和用户获得可靠的性能。

利用CheckPoint的专利状态检测技术和智能排队(IQ)引擎，FloodGate-1精确地控制着所有基于IP的通信的双向流量。

总带宽管理是通过控制全部级别的通信带宽实现的。

FloodGate-1也提供强大的实时通信流量监视能力，用来诊断网络拥挤的来源。

组织可以定义和执行带宽管理策略，为重要和高优先级的应用分配资源，消除多数互联网通信量固有的突发和延迟影响。

FloodGate-1系统结构
FloodGate-1利用一个灵活的三层客户机/服务器结构，使得一个独立的带宽管理策略能通过企业网络来分配。

FloodGate-1包括三个组成部分：策略编辑器、管理服务器和执行模块。

所有的这些部分可以运行在单一平台上或分布到多个工作站/服务器上。

1、策略编辑器（FloodGate-1GUI）
FloodGate-1图形用户界面有一个Windows的外观和感觉，包括策略编辑器，用来创建和修改带宽管理策略，定义网络对象。

作为Java应用，FloodGate-1GUI可以运行在任何平台上。

2、管理服务器（FloodGate-1Management Server）
管理服务器为执行模块控制和分布带宽管理策略，它也存储所有的日志和监测数据。

3、执行模块（FloodGate-1Module）
执行模块在网络的入口处执行带宽管理策略，每一个执行模块都包括状态监控（Status Monitoring），检测虚拟机（INSPECT Virtual Machine）和智能队列引擎（Intelligent Queuing Engine）。

智能队列引擎：
Floodgate-1的智能队列引擎使用一种创新的“分级加权公平队列”法则去精确地控制有效的带宽分配。

该引擎使用源于“检测虚拟机”的详细通讯信息，对网络通讯予以精确分类，然后再导入相应的传输队列中。

网络通讯导入智能队列引擎后，再按照用户定义的带宽管理策略进行统一调度、传输。

智能队列引擎包括一个通讯优先权调度器以确保高优先权的网络通讯总是能得以优先传输。

即使在两种Internet通讯的加权优先级“权值”为50:1的悬殊情况下，通讯调度器对两者的带宽分配仍然极为精确。

产品特色
1.由单一的、集中管理的企业策略分配带宽资源；
2.使用加权优先、限制和担保排列网络双向通信的优先顺序；
3.支持虚拟专用网络(VPNs)和网络地址转换(NAT)；
4.可伸缩性，从低速拨号连线到高速网络连接；
5.监视和分析用户、应用、连接和方向的带宽消耗；
6.Java应用，任何平台相同的外观和感觉。

产品优点
1.诊断和缓解互联网/企业网连接的通信量拥挤；
2.确保关键的商业应用的可靠性和最佳效果；
3.通过减少数据重发，提高网络效率；
4.降低增加昂贵带宽的需求；
5.为了实现安全的企业连接，集成带宽管理和安全管理策略。

报告模块Reporting Module
Reporting Module可以对防火墙内所有的事务进行监控和审计，你可以对所有日志记录生成详细的或摘要的报告。

IP管理软件Meta IP
Check Point的Meta IP提供了以IP为基础的网络服务，内建弹性且易于使用的图形管理介面，报告（reporting）与审计（auditing）工具；此外还整合了LDAP目录服务与使用者资料集中管理的能力。

Meta IP通过使IP地址进程自动化和管理所有的通过大的多点网络的DNS和DHCP服务，为企业建立了一个可靠的IP地址和命名空间，促进了更大的网络可靠性和控制。

Meta IP提供给企业一个集中的管理、综合的LDAP数据存储、基于标准的DNS和DHCP服务和独特的动态IP 地址管理的能力。

通过集成综合所有的IP地址和命名信息，也包括用户信息，企业能够产生一个牢固的网络连接的基础。

自动容错的IP地址分配和命名
·自动IP地址分配并降低了用DHCP的地址复用错误。

·减少IP管理消耗80%。

·用复制的DHCP提供IP地址分配错误。

·应用最新标准，包括BIND8.2.2pl6，提高了稳定性和安全性。

·用IXFR提高DNS效率。

·支持动态更新（Windows2000需要），基于标准的动态DNS。

·用DHCP可编程租赁过滤（Programmable Lease Filtering）控制IP地址分配。

网络服务的集中管理
·集中管理整个系统，或将特殊任务委派给网络中其它部分实施。

·在多平台上控制IP服务包括Windows NT和Unix。