checkpoint防火墻

Fire Wall-1采用的是集中控制下的分布式客戶機(jī)/服務(wù)器結(jié)構(gòu)，性能好，配置靈活。公司內(nèi)部網(wǎng)絡(luò)可以設(shè)置多個(gè)FireWall-1模塊，由一個(gè)工作站負(fù)責(zé)監(jiān)控。對(duì)于受安全保護(hù)的信息，客戶只有在獲得授權(quán)后才能訪問它。靈活的配置和可靠的監(jiān)控使得Fire Wall-1成為Internet單網(wǎng)關(guān)或整個(gè)企業(yè)網(wǎng)安全保障的首選產(chǎn)品。

Stateful Inspection采用了一個(gè)檢測(cè)模塊(一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎)。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取部分?jǐn)?shù)據(jù)(狀態(tài)信息)并動(dòng)態(tài)地保存起來作為以后制定安全決策的參考。檢測(cè)模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。Fire

Wall-1的"狀態(tài)監(jiān)視技術(shù)"的工作性能超過傳統(tǒng)的防火墻達(dá)兩倍以上. Fire

Wall-1在通信網(wǎng)絡(luò)層截取數(shù)據(jù)包，然后在所有的通信層上抽取有關(guān)的狀態(tài)信息，據(jù)此判析該通信是否符合安全政策。與其它安全方案不同，當(dāng)用戶訪問到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，Stateful Inspection

要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、鑒定或給廬通信加密等決定。一旦某個(gè)訪問違反安全規(guī)定，安全報(bào)警就會(huì)拒絕該訪問，并作記錄，向系統(tǒng)管理器報(bào)告網(wǎng)絡(luò)狀態(tài)。

Fire Wall-1支持預(yù)定的應(yīng)用程序，服務(wù)和協(xié)議120多種(比其他同類產(chǎn)品都多)。Fire Wall-1

既支持Internet網(wǎng)絡(luò)的主要服務(wù)(如Web browser, E-mail, FTP,Telnet等)和基于TCP協(xié)議的應(yīng)用程序，又支持基于PRC和UDP一類非連接協(xié)議的應(yīng)用程序。而且，如今惟有FireWall-1支持剛出現(xiàn)的如Oracle SQL Net數(shù) 據(jù)庫(kù)訪問這樣的商務(wù)應(yīng)用程序和象Real Audio, VDOLive和InternetPhone這樣的多媒體應(yīng)用程序。在軟件業(yè)，Check Point公司的合作伙伴是最廣泛的。憑借 Fire Wall-1的技術(shù)優(yōu)勢(shì)，CheckPoint今后對(duì)應(yīng)用程序的支持會(huì)更多更廣泛。

Fire Wall-1的開放式結(jié)構(gòu)設(shè)計(jì)為擴(kuò)充新的應(yīng)用程序提供了便利。新服務(wù)可以在彈出式窗口中直接加入，也可以使用INSECT(CheckPoint功能強(qiáng)大的編程 語(yǔ)言)來加入。Fire Wall-1這種擴(kuò)充功能可以有效地適應(yīng)時(shí)常變化的網(wǎng)絡(luò)安全要求。

當(dāng)各種企、事業(yè)網(wǎng)絡(luò)與Internet相聯(lián)之后，其安全性就成為一個(gè)至關(guān)重要的問題。防火墻隨之應(yīng)運(yùn)而生，它是一個(gè)加強(qiáng)機(jī)構(gòu)網(wǎng)絡(luò)與Internet之間安全訪問的控制系統(tǒng)。本文介紹了防火墻市場(chǎng)的主導(dǎo)產(chǎn)品--Check Point公司的Fire Wall-1的一些功能特點(diǎn)，以供網(wǎng)絡(luò)安全管理人員以及參與防火墻設(shè)計(jì)的人員借鑒。

遠(yuǎn)程網(wǎng)絡(luò)訪問的安全保障系統(tǒng)采用透明客戶加密技術(shù)，通過撥號(hào)方式與Internet

網(wǎng)連接。實(shí)現(xiàn)世界范圍內(nèi)可靠的加密通信。當(dāng)前，衡量一個(gè)企業(yè)網(wǎng)點(diǎn)的工作性能首先要看它是否能夠?yàn)檫h(yuǎn)程工作站，移動(dòng)用戶提供安全的訪問服務(wù)。Fire Wall-1嚴(yán)格的鑒定過程和加密服務(wù)恰好滿足這一要求。Fire

Wall-1面向用戶的圖形界面可以很容易修改安全策略，它的log Viewer 可以監(jiān)視網(wǎng)上的通信情況

Fire Wall-1 的遠(yuǎn)程網(wǎng)絡(luò)訪問的安全保障

防電子欺騙術(shù) Fire Wall-1的防電子欺騙術(shù)功能是保證數(shù)據(jù)包的IP地址與網(wǎng)關(guān)接口相符，防止通過修改IP地址的方法進(jìn)行非授權(quán)訪問。Fire Wall-1還會(huì)對(duì)可疑信息進(jìn)行鑒別，并向網(wǎng)絡(luò)管理員報(bào)警。

網(wǎng)絡(luò)地址轉(zhuǎn)換 Fire Wall-1的地址轉(zhuǎn)換是對(duì)Internet隱藏內(nèi)部地址，防止內(nèi)療地址公開。這一功能克服了IP尋址方式的諸多控制，完善內(nèi)部尋址模式。把未注冊(cè)IP地址映射成合法地址，就可對(duì)Internet進(jìn)行訪問。

開放式結(jié)構(gòu)設(shè)計(jì) Fire Wall-1的開放式結(jié)構(gòu)設(shè)計(jì)使得它與相關(guān)應(yīng)用程序和外部用戶數(shù)據(jù)庫(kù)的連接相當(dāng)容易，典型的應(yīng)用程序連接如財(cái)務(wù)軟件包、病毒掃描、登錄分析等。

路由器安全管理程序(選擇) Fire Wall-1的網(wǎng)絡(luò)安全管理器是一個(gè)供選擇的模塊，它為Bay和Cisco的路由器提供集中管理和訪問列表控制。Fire Wall-1的圖形界面和功能強(qiáng)大的工具軟件使得制定安全政策、管理、審查和報(bào)表等工作都很簡(jiǎn)單直觀。

直觀簡(jiǎn)便 Fire Wall-1提供了功能強(qiáng)大的圖形界面工具，用于定義安全策略、靈活的管理、審計(jì)、報(bào)告，從而集成整個(gè)企業(yè)的安全保障。

操作簡(jiǎn)便 Fire Wall-1的安裝，配置和管理都很簡(jiǎn)單，它的圖形界面使得用戶對(duì)各類實(shí)體的控制更加方便，能夠在不影響系統(tǒng)運(yùn)行的前提下，實(shí)施新的安全政策或修改現(xiàn)行政策。一旦安全策略制訂完畢，F(xiàn)ire Wall-1將自動(dòng)檢查它的一致性，保證供給規(guī)定不相矛盾，減少潛在的操作員失誤。

集中控制企業(yè)網(wǎng)絡(luò)安裝了Fire Wall-1后，就可以用一個(gè)工作站對(duì)多個(gè)網(wǎng)關(guān)和服務(wù)器的安全策略進(jìn)行配置和管理。工作站只需為網(wǎng)絡(luò)定義一個(gè)安全策策，安全策略就會(huì)自動(dòng)分布到每個(gè)網(wǎng)關(guān)上，而不需逐一配置。管理模塊和防火墻模塊的通信為了安全起見，增加了鑒定和數(shù)字簽字的措施。

Fire Wall-1的用戶鑒定功能是指通過一個(gè)擴(kuò)充的登錄過程鑒定Telnet、FTP 和HTTP的用戶身份。此外，F(xiàn)ireWall-1還有一個(gè)獨(dú)創(chuàng)功能--客戶鑒定?？蛻翳b定的機(jī)制可以用以鑒別任何應(yīng)用(標(biāo)準(zhǔn)的或自定的)的客戶。無(wú)論它是基于TCP、UDP還是RPC協(xié)議。采用客戶鑒定時(shí)，授權(quán)是按機(jī)器進(jìn)行的，因?yàn)檫@種服務(wù)并無(wú)登錄的步驟。無(wú)論用戶鑒定還是客戶鑒定都不會(huì)對(duì)服務(wù)器和應(yīng)用程序有任何影響。鑒定采用標(biāo)準(zhǔn)密碼或標(biāo)準(zhǔn)結(jié)卡或軟件之類的密碼機(jī)加ID和S/key。

網(wǎng)上一旦有可疑情況，F(xiàn)ire Wall-1就會(huì)報(bào)警-通知系統(tǒng)管理員，并向?qū)Ψ骄W(wǎng)絡(luò)管理系統(tǒng)發(fā)E-mai和SNMP警報(bào)，或者激活用戶自己定義的警報(bào)(例如，激活系統(tǒng)管理員的傳呼設(shè)備)。利用制定的規(guī)則，針對(duì)不同的網(wǎng)絡(luò)流通量模塊，發(fā)不同形式的警報(bào)。功能強(qiáng)大的系統(tǒng)瀏覽器在一個(gè)窗口中顯示分布于企業(yè)網(wǎng)各處安全網(wǎng)關(guān)的活動(dòng)情況。圖標(biāo)表示各網(wǎng)關(guān)的狀態(tài)，統(tǒng)計(jì)計(jì)數(shù)器則記錄檢測(cè)，拒絕，登錄的數(shù)據(jù)包的數(shù)目。Log Viewer圖形化顯示各個(gè)安全網(wǎng)關(guān)的連接請(qǐng)求，并具備集中跟蹤，審查和用戶報(bào)表功能。

FireWall-1的一大特點(diǎn)是具有圖形化登錄瀏覽引擎。它能夠跟蹤整理每個(gè)通信請(qǐng)示，實(shí)現(xiàn)與安全網(wǎng)關(guān)的連接。每個(gè)通信都有一個(gè)記錄，記錄包括時(shí)間、日期、協(xié)議及詳細(xì)的信息、服務(wù)請(qǐng)求、動(dòng)作(接受、拒絕、丟棄加密等)、源、目的地址、用戶、數(shù)據(jù)包長(zhǎng)度，如果需要的話，密鑰和用戶姓名也包含在內(nèi)。憑借圖形化瀏覽器和許多分析工具可以進(jìn)行實(shí)時(shí)和歷史審查，并對(duì)網(wǎng)上各種可疑行動(dòng)都能夠跟蹤和監(jiān)視，利用Check Point的編程語(yǔ)言INSPEC，可以擴(kuò)充管理器的標(biāo)準(zhǔn)登記錄格式，為滿足特殊需要也可以定義新的格式。詳細(xì)報(bào)表與Log Viewer相匹配的是一個(gè)綜合查詢報(bào)表引擎。只要在登錄瀏覽引擎中選擇數(shù)字段名，用戶報(bào)表就很容易產(chǎn)生。

此外，登錄文件的數(shù)據(jù)也可以輸出到第三廠家的應(yīng)用報(bào)告中去，例如Special Sheet或Trouble Tickting

Systems高效安全的處理技術(shù)。高效安全的處理技術(shù)。為了提高敏感信息的安全性，登錄信息需經(jīng)過鑒定、加密和數(shù)字簽字，并壓縮存儲(chǔ)。這樣成千上萬(wàn)的登錄記錄便可以處理并存儲(chǔ)起來。既不影響系統(tǒng)性能，又不需太多硬盤空間。

Fire Wall-1的SecuRemote客戶加密軟件保護(hù)用戶與防火墻的通信。用戶的數(shù)據(jù)從Windows

95發(fā)出就是經(jīng)過SecuRemote加密的，這一過程用戶是毫無(wú)察覺的。對(duì)網(wǎng)絡(luò)進(jìn)行訪問的移動(dòng)用戶或遠(yuǎn)方訪問用戶，為了安全起見，采用SecuRemote 將是思想的選擇，而且SecuRemote支持動(dòng)態(tài)IP地址，對(duì)于撥號(hào)連接的用戶恰好適用，對(duì)于LAN網(wǎng)內(nèi)需要加密保護(hù)的通信也是適用的。

Fire Wall-1支持SNMPV2協(xié)議，它的開放式接口與安全保障、財(cái)務(wù)管理、網(wǎng)絡(luò)監(jiān)視等應(yīng)用的程序的連接非常容易。此外，提供了一個(gè)供 選擇的管理模塊對(duì)Bay 和Cisco路由器的路由器訪問列表實(shí)施集成管理和控制。

當(dāng)各種企、事業(yè)網(wǎng)絡(luò)與Internet相聯(lián)之后，其安全性就成為一個(gè)至關(guān)重要的問題。防火墻隨之應(yīng)運(yùn)而生，它是一個(gè)加強(qiáng)機(jī)構(gòu)網(wǎng)絡(luò)與Internet之間安全訪問的控制系統(tǒng)。本文介紹了防火墻市場(chǎng)的主導(dǎo)產(chǎn)品--Check Point公司的Fire Wall-1的一些功能特點(diǎn)，以供網(wǎng)絡(luò)安全管理人員以及參與防火墻設(shè)計(jì)的人員借鑒。

對(duì)應(yīng)用程序的廣泛支持

Fire Wall-1支持預(yù)定的應(yīng)用程序，服務(wù)和協(xié)議120多種(比其他同類產(chǎn)品都多)。Fire Wall-1

既支持Internet網(wǎng)絡(luò)的主要服務(wù)(如Web browser, E-mail, FTP,Telnet等)和基于TCP協(xié)議的應(yīng)用程序，又支持基于PRC和UDP一類非連接協(xié)議的應(yīng)用程序。而且，如今惟有FireWall-1支持剛出現(xiàn)的如Oracle SQL Net數(shù) 據(jù)庫(kù)訪問這樣的商務(wù)應(yīng)用程序和象Real Audio, VDOLive和InternetPhone這樣的多媒體應(yīng)用程序。在軟件業(yè)，Check Point公司的合作伙伴是最廣泛的。憑借 Fire Wall-1的技術(shù)優(yōu)勢(shì)，CheckPoint今后對(duì)應(yīng)用程序的支持會(huì)更多更廣泛。

Fire Wall-1的開放式結(jié)構(gòu)設(shè)計(jì)為擴(kuò)充新的應(yīng)用程序提供了便利。新服務(wù)可以在彈出式窗口中直接加入，也可以使用INSECT(CheckPoint功能強(qiáng)大的編程 語(yǔ)言)來加入。Fire Wall-1這種擴(kuò)充功能可以有效地適應(yīng)時(shí)常變化的網(wǎng)絡(luò)安全要求。

集中管理下的分布式客戶機(jī)/服務(wù)器結(jié)構(gòu)

Fire Wall-1采用的是集中控制下的分布式客戶機(jī)/服務(wù)器結(jié)構(gòu)，性能好，配置靈活。公司內(nèi)部網(wǎng)絡(luò)可以設(shè)置多個(gè)FireWall-1模塊，由一個(gè)工作站負(fù)責(zé)監(jiān)控。對(duì)于受安全保護(hù)的信息，客戶只有在獲得授權(quán)后才能訪問它。靈活的配置和可靠的監(jiān)控使得Fire Wall-1成為Internet單網(wǎng)關(guān)或整個(gè)企業(yè)網(wǎng)安全保障的首選產(chǎn)品。

網(wǎng)絡(luò)安全的新模式--Stateful Inspection技術(shù)

Stateful Inspection采用了一個(gè)檢測(cè)模塊(一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎)。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取部分?jǐn)?shù)據(jù)(狀態(tài)信息)并動(dòng)態(tài)地保存起來作為以后制定安全決策的參考。檢

測(cè)模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。Fire

Wall-1的"狀態(tài)監(jiān)視技術(shù)"的工作性能超過傳統(tǒng)的防火墻達(dá)兩倍以上. Fire

Wall-1在通信網(wǎng)絡(luò)層截取數(shù)據(jù)包，然后在所有的通信層上抽取有關(guān)的狀態(tài)信息，據(jù)此判析該通信是否符合安全政策。與其它安全方案不同，當(dāng)用戶訪問到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，Stateful Inspection

要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、鑒定或給廬通信加密等決定。一旦某個(gè)訪問違反安全規(guī)定，安全報(bào)警就會(huì)拒絕該訪問，并作記錄，向系統(tǒng)管理器報(bào)告網(wǎng)絡(luò)狀態(tài)。

遠(yuǎn)程網(wǎng)絡(luò)訪問的安全保障(Fire Wall-1 SecuRemote)

遠(yuǎn)程網(wǎng)絡(luò)訪問的安全保障系統(tǒng)采用透明客戶加密技術(shù)，通過撥號(hào)方式與Internet

網(wǎng)連接。實(shí)現(xiàn)世界范圍內(nèi)可靠的加密通信。當(dāng)前，衡量一個(gè)企業(yè)網(wǎng)點(diǎn)的工作性能首先要看它是否能夠?yàn)檫h(yuǎn)程工作站，移動(dòng)用戶提供安全的訪問服務(wù)。Fire Wall-1嚴(yán)格的鑒定過程和加密服務(wù)恰好滿足這一要求。Fire

Wall-1面向用戶的圖形界面可以很容易修改安全策略，它的log Viewer 可以監(jiān)視網(wǎng)上的通信情況

Fire Wall-1 的遠(yuǎn)程網(wǎng)絡(luò)訪問的安全保障

鑒定

Fire Wall-1的用戶鑒定功能是指通過一個(gè)擴(kuò)充的登錄過程鑒定Telnet、FTP 和HTTP的用戶身份。此外，F(xiàn)ireWall-1還有一個(gè)獨(dú)創(chuàng)功能--客戶鑒定?？蛻翳b定的機(jī)制可以用以鑒別任何應(yīng)用(標(biāo)準(zhǔn)的或自定的)的客戶。無(wú)論它是基于TCP、UDP還是RPC協(xié)議。采用客戶鑒定時(shí)，授權(quán)是按機(jī)器進(jìn)行的，因?yàn)檫@種服務(wù)并無(wú)登錄的步驟。無(wú)論用戶鑒定還是客戶鑒定都不會(huì)對(duì)服務(wù)器和應(yīng)用程序有任何影響。鑒定采用標(biāo)準(zhǔn)密碼或標(biāo)準(zhǔn)結(jié)卡或軟件之類的密碼機(jī)加ID和S/key。

SecuRemote遠(yuǎn)程加密功能

Fire Wall-1的SecuRemote客戶加密軟件保護(hù)用戶與防火墻的通信。用戶的數(shù)據(jù)從Windows

95發(fā)出就是經(jīng)過SecuRemote加密的，這一過程用戶是毫無(wú)察覺的。對(duì)網(wǎng)絡(luò)進(jìn)行訪問的移動(dòng)用戶或遠(yuǎn)方訪問用戶，為了安全起見，采用SecuRemote 將是思想的選擇，而且SecuRemote支持動(dòng)態(tài)IP地址，對(duì)于撥號(hào)連接的用戶恰好適用，對(duì)于LAN網(wǎng)內(nèi)需要加密保護(hù)的通信也是適用的。

虛擬專用網(wǎng)絡(luò)

Fire Wall-1的加密模塊可以在Internet網(wǎng)上建立完全保密的信道。在公共線路上傳輸保密數(shù)據(jù)，F(xiàn)ire

Wall-1可以確保與遠(yuǎn)程工作站通信的安全性和靈活性，而費(fèi)用要比租用專用線路少得多?？蛇x擇的加密方式:FireWall-1可采用DES或FWZ1兩種加密算法，網(wǎng)絡(luò)與工作站之間既能傳輸明碼數(shù)據(jù)又能傳輸加密數(shù)據(jù)。DES和FWZ1可同時(shí)配置，用戶依據(jù)效率、安全性和傳輸速度選擇最佳方式。

集成的、易操作的密鑰管理程序

Fire Wall-1可自動(dòng)產(chǎn)生和維護(hù)各類密鑰。應(yīng)用Diffire-Hellman模式，每一個(gè)加密通信將產(chǎn)生一對(duì)高度保密的公共和專有密鑰。利用SRA技術(shù)，可以實(shí)現(xiàn)通信的確認(rèn)授權(quán)。為了便于安裝、管理和控制，F(xiàn)ire

Wall-1保留了路由選擇的優(yōu)先權(quán)和策略，這也提高了工作效率。

附加安全措施

防電子欺騙術(shù) Fire Wall-1的防電子欺騙術(shù)功能是保證數(shù)據(jù)包的IP地址與網(wǎng)關(guān)接口相符，防止通過修改IP地址的方法進(jìn)行非授權(quán)訪問。Fire Wall-1還會(huì)對(duì)可疑信息進(jìn)行鑒別，并向網(wǎng)絡(luò)管理員報(bào)警。

網(wǎng)絡(luò)地址轉(zhuǎn)換 Fire Wall-1的地址轉(zhuǎn)換是對(duì)Internet隱藏內(nèi)部地址，防止內(nèi)療地址公開。這一功能克服了IP尋址方式的諸多控制，完善內(nèi)部尋址模式。把未注冊(cè)IP地址映射成合法地址，就可對(duì)Internet進(jìn)行訪問。

開放式結(jié)構(gòu)設(shè)計(jì) Fire Wall-1的開放式結(jié)構(gòu)設(shè)計(jì)使得它與相關(guān)應(yīng)用程序和外部用戶數(shù)據(jù)庫(kù)的連接相當(dāng)容易，典型的應(yīng)用程序連接如財(cái)務(wù)軟件包、病毒掃描、登錄分析等。

路由器安全管理程序(選擇) Fire Wall-1的網(wǎng)絡(luò)安全管理器是一個(gè)供選擇的模塊，它為Bay和Cisco的路由器提供集中管理和訪問列表控制。Fire Wall-1的圖形界面和功能強(qiáng)大的工具軟件使得制定安全政策、管理、審查和報(bào)表等工作都很簡(jiǎn)單直觀。

直觀簡(jiǎn)便 Fire Wall-1提供了功能強(qiáng)大的圖形界面工具，用于定義安全策略、靈活的管理、審計(jì)、報(bào)告，從而集成整個(gè)企業(yè)的安全保障。

操作簡(jiǎn)便 Fire Wall-1的安裝，配置和管理都很簡(jiǎn)單，它的圖形界面使得用戶對(duì)各類實(shí)體的控制更加方便，能夠在不影響系統(tǒng)運(yùn)行的前提下，實(shí)施新的安全政策或修改現(xiàn)行政策。一旦安全策略制訂完畢，F(xiàn)ire Wall-1將自動(dòng)檢查它的一致性，保證供給規(guī)定不相矛盾，減少潛在的操作員失誤。

集中控制企業(yè)網(wǎng)絡(luò)安裝了Fire Wall-1后，就可以用一個(gè)工作站對(duì)多個(gè)網(wǎng)關(guān)和服務(wù)器的安全策略進(jìn)行配置和管理。工作站只需為網(wǎng)絡(luò)定義一個(gè)安全策策，安全策略就會(huì)自動(dòng)分布到每個(gè)網(wǎng)關(guān)上，而不需逐一配置。管理模塊和防火墻模塊的通信為了安全起見，增加了鑒定和數(shù)字簽字的措施。

實(shí)時(shí)報(bào)警

網(wǎng)上一旦有可疑情況，F(xiàn)ire Wall-1就會(huì)報(bào)警-通知系統(tǒng)管理員，并向?qū)Ψ骄W(wǎng)絡(luò)管理系統(tǒng)發(fā)E-mai和SNMP警報(bào)，或者激活用戶自己定義的警報(bào)(例如，激活系統(tǒng)管理員的傳呼設(shè)備)。利用制定的規(guī)則，針對(duì)不同的網(wǎng)絡(luò)流通量模塊，發(fā)不同形式的警報(bào)。功能強(qiáng)大的系統(tǒng)瀏覽器在一個(gè)窗口中顯示分布于企業(yè)網(wǎng)各處安全網(wǎng)關(guān)的活動(dòng)情況。圖標(biāo)表示各網(wǎng)關(guān)的狀態(tài)，統(tǒng)計(jì)計(jì)數(shù)器則記錄檢測(cè)，拒絕，登錄的數(shù)據(jù)包的數(shù)目。Log Viewer圖形化顯示各個(gè)安全網(wǎng)關(guān)的連接請(qǐng)求，并具備集中跟蹤，審查和用戶報(bào)表功能。

FireWall-1的一大特點(diǎn)是具有圖形化登錄瀏覽引擎。它能夠跟蹤整理每個(gè)通信請(qǐng)示，實(shí)現(xiàn)與安全網(wǎng)關(guān)的連接。每個(gè)通信都有一個(gè)記錄，記錄包括時(shí)間、日期、協(xié)議及詳細(xì)的信息、服務(wù)請(qǐng)求、動(dòng)作(接受、拒絕、丟棄加密等)、源、目的地址、用戶、數(shù)據(jù)包長(zhǎng)度，如果需要的話，密鑰和用戶姓名也包含在內(nèi)。憑借圖形化瀏覽器和許多分析工具可以進(jìn)行實(shí)時(shí)和歷史審查，并對(duì)網(wǎng)上各種可疑行動(dòng)都能夠跟蹤和監(jiān)視，利用Check Point的編程語(yǔ)言INSPEC，可以擴(kuò)充管理器的標(biāo)準(zhǔn)登記錄格式，為滿足特殊需要也可以定義新的格式。詳細(xì)報(bào)表與Log Viewer相匹配的是一個(gè)綜合查詢報(bào)表引擎。只要在登錄瀏覽引擎中選擇數(shù)字段名，用戶報(bào)表就很容易產(chǎn)生。

此外，登錄文件的數(shù)據(jù)也可以輸出到第三廠家的應(yīng)用報(bào)告中去，例如Special Sheet或Trouble Tickting

Systems高效安全的處理技術(shù)。高效安全的處理技術(shù)。為了提高敏感信息的安全性，登錄信息需經(jīng)過鑒定、加密和數(shù)字簽字，并壓縮存儲(chǔ)。這樣成千上萬(wàn)的登錄記錄便可以處理并存儲(chǔ)起來。既不影響系統(tǒng)性能，又不需太多硬盤空間。

集成管理

Fire Wall-1支持SNMPV2協(xié)議，它的開放式接口與安全保障、財(cái)務(wù)管理、網(wǎng)絡(luò)監(jiān)視等應(yīng)用的程序的連接非常容易。此外，提供了一個(gè)供 選擇的管理模塊對(duì)Bay 和Cisco路由器的路由器訪問列表實(shí)施集成管理和控制。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

在具體應(yīng)用防火墻技術(shù)時(shí)，還要考慮到兩個(gè)方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個(gè)功能。 二是防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題，如果延遲太大將無(wú)法支持實(shí)時(shí)服務(wù)請(qǐng)求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購(gòu)置高速路由器，又會(huì)大大提高經(jīng)濟(jì)預(yù)算。

總之，防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對(duì)防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。

(1)設(shè)置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。

(2)設(shè)置DNS為61.177.7.1。

(3)Linux防火墻設(shè)置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設(shè)置防火墻，使能信任TCP協(xié)議的POP3端口。