checkpoint 防火牆

當各種企、事業網絡與Internet相聯之後，其安全性就成為一個至關重要的問題。防火牆隨之應運而生，它是一個加強機構網絡與Internet之間安全訪問的控制系統。本文介紹了防火牆市場的主導產品——Check Point公司的Fire Wall-1的一些功能特點，以供網絡安全管理人員以及參與防火牆設計的人員借鑑。

Fire Wall-1支持預定的應用程序，服務和協議120多種(比其他同類產品都多)。Fire Wall-1

既支持Internet網絡的主要服務(如Web browser, E-mail, FTP,Telnet等)和基於TCP協議的應用程序，又支持基於PRC和UDP一類非連接協議的應用程序。而且，如今惟有FireWall-1支持剛出現的如Oracle SQL Net數 據庫訪問這樣的商務應用程序和象Real Audio, VDOLive和InternetPhone這樣的多媒體應用程序。在軟件業，Check Point公司的合作伙伴是最廣泛的。憑藉 Fire Wall-1的技術優勢，CheckPoint今後對應用程序的支持會更多更廣泛。

Fire Wall-1的開放式結構設計為擴充新的應用程序提供了便利。新服務可以在彈出式窗口中直接加入，也可以使用INSECT(CheckPoint功能強大的編程 語言)來加入。Fire Wall-1這種擴充功能可以有效地適應時常變化的網絡安全要求。

Fire Wall-1採用的是集中控制下的分佈式客户機/服務器結構，性能好，配置靈活。公司內部網絡可以設置多個FireWall-1模塊，由一個工作站負責監控。對於受安全保護的信息，客户只有在獲得授權後才能訪問它。靈活的配置和可靠的監控使得Fire Wall-1成為Internet單網關或整個企業網安全保障的首選產品。

Stateful Inspection採用了一個檢測模塊(一個在網關上執行網絡安全策略的軟件引擎)。檢測模塊在不影響網絡正常工作的前提下，採用抽取相關數據的方法對網絡通信的各層實施監測，抽取部分數據(狀態信息)並動態地保存起來作為以後制定安全決策的參考。檢測模塊支持多種協議和應用程序，並可以很容易地實現應用和服務的擴充。Fire

Wall-1的“狀態監視技術”的工作性能超過傳統的防火牆達兩倍以上. Fire

Wall-1在通信網絡層截取數據包，然後在所有的通信層上抽取有關的狀態信息，據此判析該通信是否符合安全政策。與其它安全方案不同，當用户訪問到達網關的操作系統前，Stateful Inspection

要抽取有關數據進行分析，結合網絡配置和安全規定作出接納、拒絕、鑑定或給廬通信加密等決定。一旦某個訪問違反安全規定，安全報警就會拒絕該訪問，並作記錄，向系統管理器報告網絡狀態。

遠程網絡訪問的安全保障系統採用透明客户加密技術，通過撥號方式與Internet

網連接。實現世界範圍內可靠的加密通信。當前，衡量一個企業網點的工作性能首先要看它是否能夠為遠程工作站，移動用户提供安全的訪問服務。Fire Wall-1嚴格的鑑定過程和加密服務恰好滿足這一要求。Fire

Wall-1面向用户的圖形界面可以很容易修改安全策略，它的log Viewer 可以監視網上的通信情況

Fire Wall-1 的遠程網絡訪問的安全保障

Fire Wall-1的用户鑑定功能是指通過一個擴充的登錄過程鑑定Telnet、FTP 和HTTP的用户身份。此外，FireWall-1還有一個獨創功能——客户鑑定。客户鑑定的機制可以用以鑑別任何應用(標準的或自定的)的客户。無論它是基於TCP、UDP還是RPC協議。採用客户鑑定時，授權是按機器進行的，因為這種服務並無登錄的步驟。無論用户鑑定還是不鑑定都不會對服務器和應用程序有任何影響。鑑定採用標準密碼或標準結卡或軟件之類的密碼機加ID和S/key。

Fire Wall-1的SecuRemote客户加密軟件保護用户與防火牆的通信。用户的數據從Windows

95發出就是經過SecuRemote加密的，這一過程用户是毫無察覺的。對網絡進行訪問的移動用户或遠方訪問用户，為了安全起見，採用SecuRemote 將是思想的選擇，而且SecuRemote支持動態IP地址，對於撥號連接的用户恰好適用，對於LAN網內需要加密保護的通信也是適用的。

Fire Wall-1的加密模塊可以在Internet網上建立完全保密的信道。在公共線路上傳輸保密數據，Fire

Wall-1可以確保與遠程工作站通信的安全性和靈活性，而費用要比租用專用線路少得多。可選擇的加密方式：FireWall-1可採用DES或FWZ1兩種加密算法，網絡與工作站之間既能傳輸明碼數據又能傳輸加密數據。DES和FWZ1可同時配置，用户依據效率、安全性和傳輸速度選擇最佳方式。

集成的、易操作的密鑰管理程序

Fire Wall-1可自動產生和維護各類密鑰。應用Diffire-Hellman模式，每一個加密通信將產生一對高度保密的公共和專有密鑰。利用SRA技術，可以實現通信的確認授權。為了便於安裝、管理和控制，Fire

Wall-1保留了路由選擇的優先權和策略，這也提高了工作效率。

防電子欺騙術 Fire Wall-1的防電子欺騙術功能是保證數據包的IP地址與網關接口相符，防止通過修改IP地址的方法進行非授權訪問。Fire Wall-1還會對可疑信息進行鑑別，並向網絡管理員報警。

網絡地址轉換 Fire Wall-1的地址轉換是對Internet隱藏內部地址，防止內療地址公開。這一功能克服了IP尋址方式的諸多控制，完善內部尋址模式。把未註冊IP地址映射成合法地址，就可對Internet進行訪問。

開放式結構設計 Fire Wall-1的開放式結構設計使得它與相關應用程序和外部用户數據庫的連接相當容易，典型的應用程序連接如財務軟件包、病毒掃描、登錄分析等。

路由器安全管理程序(選擇) Fire Wall-1的網絡安全管理器是一個供選擇的模塊，它為Bay和Cisco的路由器提供集中管理和訪問列表控制。Fire Wall-1的圖形界面和功能強大的工具軟件使得制定安全政策、管理、審查和報表等工作都很簡單直觀。

直觀簡便 Fire Wall-1提供了功能強大的圖形界面工具，用於定義安全策略、靈活的管理、審計、報告，從而集成整個企業的安全保障。

操作簡便 Fire Wall-1的安裝，配置和管理都很簡單，它的圖形界面使得用户對各類實體的控制更加方便，能夠在不影響系統運行的前提下，實施新的安全政策或修改現行政策。一旦安全策略制訂完畢，Fire Wall-1將自動檢查它的一致性，保證供給規定不相矛盾，減少潛在的操作員失誤。

集中控制企業網絡安裝了Fire Wall-1後，就可以用一個工作站對多個網關和服務器的安全策略進行配置和管理。工作站只需為網絡定義一個安全策策，安全策略就會自動分佈到每個網關上，而不需逐一配置。管理模塊和防火牆模塊的通信為了安全起見，增加了鑑定和數字簽字的措施。

網上一旦有可疑情況，Fire Wall-1就會報警—通知系統管理員，並向對方網絡管理系統發E-mai和SNMP警報，或者激活用户自己定義的警報(例如，激活系統管理員的傳呼設備)。利用制定的規則，針對不同的網絡流通量模塊，發不同形式的警報。功能強大的系統瀏覽器在一個窗口中顯示分佈於企業網各處安全網關的活動情況。圖標表示各網關的狀態，統計計數器則記錄檢測，拒絕，登錄的數據包的數目。Log Viewer圖形化顯示各個安全網關的連接請求，並具備集中跟蹤，審查和用户報表功能。

FireWall-1的一大特點是具有圖形化登錄瀏覽引擎。它能夠跟蹤整理每個通信請示，實現與安全網關的連接。每個通信都有一個記錄，記錄包括時間、日期、協議及詳細的信息、服務請求、動作(接受、拒絕、丟棄加密等)、源、目的地址、用户、數據包長度，如果需要的話，密鑰和用户姓名也包含在內。憑藉圖形化瀏覽器和許多分析工具可以進行實時和歷史審查，並對網上各種可疑行動都能夠跟蹤和監視，利用Check Point的編程語言INSPEC，可以擴充管理器的標準登記錄格式，為滿足特殊需要也可以定義新的格式。詳細報表與Log Viewer相匹配的是一個綜合查詢報表引擎。只要在登錄瀏覽引擎中選擇數字段名，用户報表就很容易產生。

此外，登錄文件的數據也可以輸出到第三廠家的應用報告中去，例如Special Sheet或Trouble Tickting

Systems高效安全的處理技術。高效安全的處理技術。為了提高敏感信息的安全性，登錄信息需經過鑑定、加密和數字簽字，並壓縮存儲。這樣成千上萬的登錄記錄便可以處理並存儲起來。既不影響系統性能，又不需太多硬盤空間。

Fire Wall-1支持SNMPV2協議，它的開放式接口與安全保障、財務管理、網絡監視等應用的程序的連接非常容易。此外，提供了一個供 選擇的管理模塊對Bay 和Cisco路由器的路由器訪問列表實施集成管理和控制。