checkpoint防火墻簡介

當各種企、事業(yè)網(wǎng)絡與Internet相聯(lián)之后，其安全性就成為一個至關重要的問題。防火墻隨之應運而生，它是一個加強機構網(wǎng)絡與Internet之間安全訪問的控制系統(tǒng)。本文介紹了防火墻市場的主導產(chǎn)品--Check Point公司的Fire Wall-1的一些功能特點，以供網(wǎng)絡安全管理人員以及參與防火墻設計的人員借鑒。

Fire Wall-1支持預定的應用程序，服務和協(xié)議120多種(比其他同類產(chǎn)品都多)。Fire Wall-1

既支持Internet網(wǎng)絡的主要服務(如Web browser, E-mail, FTP,Telnet等)和基于TCP協(xié)議的應用程序，又支持基于PRC和UDP一類非連接協(xié)議的應用程序。而且，如今惟有FireWall-1支持剛出現(xiàn)的如Oracle SQL Net數(shù) 據(jù)庫訪問這樣的商務應用程序和象Real Audio, VDOLive和InternetPhone這樣的多媒體應用程序。在軟件業(yè)，Check Point公司的合作伙伴是最廣泛的。憑借 Fire Wall-1的技術優(yōu)勢，CheckPoint今后對應用程序的支持會更多更廣泛。

Fire Wall-1的開放式結構設計為擴充新的應用程序提供了便利。新服務可以在彈出式窗口中直接加入，也可以使用INSECT(CheckPoint功能強大的編程 語言)來加入。Fire Wall-1這種擴充功能可以有效地適應時常變化的網(wǎng)絡安全要求。

Fire Wall-1采用的是集中控制下的分布式客戶機/服務器結構，性能好，配置靈活。公司內(nèi)部網(wǎng)絡可以設置多個FireWall-1模塊，由一個工作站負責監(jiān)控。對于受安全保護的信息，客戶只有在獲得授權后才能訪問它。靈活的配置和可靠的監(jiān)控使得Fire Wall-1成為Internet單網(wǎng)關或整個企業(yè)網(wǎng)安全保障的首選產(chǎn)品。

Stateful Inspection采用了一個檢測模塊(一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件引擎)。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)(狀態(tài)信息)并動態(tài)地保存起來作為以后制定安全決策的參考。檢測模塊支持多種協(xié)議和應用程序，并可以很容易地實現(xiàn)應用和服務的擴充。Fire

Wall-1的"狀態(tài)監(jiān)視技術"的工作性能超過傳統(tǒng)的防火墻達兩倍以上. Fire

Wall-1在通信網(wǎng)絡層截取數(shù)據(jù)包，然后在所有的通信層上抽取有關的狀態(tài)信息，據(jù)此判析該通信是否符合安全政策。與其它安全方案不同，當用戶訪問到達網(wǎng)關的操作系統(tǒng)前，Stateful Inspection

要抽取有關數(shù)據(jù)進行分析，結合網(wǎng)絡配置和安全規(guī)定作出接納、拒絕、鑒定或給廬通信加密等決定。一旦某個訪問違反安全規(guī)定，安全報警就會拒絕該訪問，并作記錄，向系統(tǒng)管理器報告網(wǎng)絡狀態(tài)。

遠程網(wǎng)絡訪問的安全保障系統(tǒng)采用透明客戶加密技術，通過撥號方式與Internet

網(wǎng)連接。實現(xiàn)世界范圍內(nèi)可靠的加密通信。當前，衡量一個企業(yè)網(wǎng)點的工作性能首先要看它是否能夠為遠程工作站，移動用戶提供安全的訪問服務。Fire Wall-1嚴格的鑒定過程和加密服務恰好滿足這一要求。Fire

Wall-1面向用戶的圖形界面可以很容易修改安全策略，它的log Viewer 可以監(jiān)視網(wǎng)上的通信情況

Fire Wall-1 的遠程網(wǎng)絡訪問的安全保障

Fire Wall-1的用戶鑒定功能是指通過一個擴充的登錄過程鑒定Telnet、FTP 和HTTP的用戶身份。此外，F(xiàn)ireWall-1還有一個獨創(chuàng)功能--客戶鑒定。客戶鑒定的機制可以用以鑒別任何應用(標準的或自定的)的客戶。無論它是基于TCP、UDP還是RPC協(xié)議。采用客戶鑒定時，授權是按機器進行的，因為這種服務并無登錄的步驟。無論用戶鑒定還是客戶鑒定都不會對服務器和應用程序有任何影響。鑒定采用標準密碼或標準結卡或軟件之類的密碼機加ID和S/key。

Fire Wall-1的SecuRemote客戶加密軟件保護用戶與防火墻的通信。用戶的數(shù)據(jù)從Windows

95發(fā)出就是經(jīng)過SecuRemote加密的，這一過程用戶是毫無察覺的。對網(wǎng)絡進行訪問的移動用戶或遠方訪問用戶，為了安全起見，采用SecuRemote 將是思想的選擇，而且SecuRemote支持動態(tài)IP地址，對于撥號連接的用戶恰好適用，對于LAN網(wǎng)內(nèi)需要加密保護的通信也是適用的。

防電子欺騙術 Fire Wall-1的防電子欺騙術功能是保證數(shù)據(jù)包的IP地址與網(wǎng)關接口相符，防止通過修改IP地址的方法進行非授權訪問。Fire Wall-1還會對可疑信息進行鑒別，并向網(wǎng)絡管理員報警。

網(wǎng)絡地址轉換 Fire Wall-1的地址轉換是對Internet隱藏內(nèi)部地址，防止內(nèi)療地址公開。這一功能克服了IP尋址方式的諸多控制，完善內(nèi)部尋址模式。把未注冊IP地址映射成合法地址，就可對Internet進行訪問。

開放式結構設計 Fire Wall-1的開放式結構設計使得它與相關應用程序和外部用戶數(shù)據(jù)庫的連接相當容易，典型的應用程序連接如財務軟件包、病毒掃描、登錄分析等。

路由器安全管理程序(選擇) Fire Wall-1的網(wǎng)絡安全管理器是一個供選擇的模塊，它為Bay和Cisco的路由器提供集中管理和訪問列表控制。Fire Wall-1的圖形界面和功能強大的工具軟件使得制定安全政策、管理、審查和報表等工作都很簡單直觀。

直觀簡便 Fire Wall-1提供了功能強大的圖形界面工具，用于定義安全策略、靈活的管理、審計、報告，從而集成整個企業(yè)的安全保障。

操作簡便 Fire Wall-1的安裝，配置和管理都很簡單，它的圖形界面使得用戶對各類實體的控制更加方便，能夠在不影響系統(tǒng)運行的前提下，實施新的安全政策或修改現(xiàn)行政策。一旦安全策略制訂完畢，F(xiàn)ire Wall-1將自動檢查它的一致性，保證供給規(guī)定不相矛盾，減少潛在的操作員失誤。

集中控制企業(yè)網(wǎng)絡安裝了Fire Wall-1后，就可以用一個工作站對多個網(wǎng)關和服務器的安全策略進行配置和管理。工作站只需為網(wǎng)絡定義一個安全策策，安全策略就會自動分布到每個網(wǎng)關上，而不需逐一配置。管理模塊和防火墻模塊的通信為了安全起見，增加了鑒定和數(shù)字簽字的措施。

網(wǎng)上一旦有可疑情況，F(xiàn)ire Wall-1就會報警-通知系統(tǒng)管理員，并向對方網(wǎng)絡管理系統(tǒng)發(fā)E-mai和SNMP警報，或者激活用戶自己定義的警報(例如，激活系統(tǒng)管理員的傳呼設備)。利用制定的規(guī)則，針對不同的網(wǎng)絡流通量模塊，發(fā)不同形式的警報。功能強大的系統(tǒng)瀏覽器在一個窗口中顯示分布于企業(yè)網(wǎng)各處安全網(wǎng)關的活動情況。圖標表示各網(wǎng)關的狀態(tài)，統(tǒng)計計數(shù)器則記錄檢測，拒絕，登錄的數(shù)據(jù)包的數(shù)目。Log Viewer圖形化顯示各個安全網(wǎng)關的連接請求，并具備集中跟蹤，審查和用戶報表功能。

FireWall-1的一大特點是具有圖形化登錄瀏覽引擎。它能夠跟蹤整理每個通信請示，實現(xiàn)與安全網(wǎng)關的連接。每個通信都有一個記錄，記錄包括時間、日期、協(xié)議及詳細的信息、服務請求、動作(接受、拒絕、丟棄加密等)、源、目的地址、用戶、數(shù)據(jù)包長度，如果需要的話，密鑰和用戶姓名也包含在內(nèi)。憑借圖形化瀏覽器和許多分析工具可以進行實時和歷史審查，并對網(wǎng)上各種可疑行動都能夠跟蹤和監(jiān)視，利用Check Point的編程語言INSPEC，可以擴充管理器的標準登記錄格式，為滿足特殊需要也可以定義新的格式。詳細報表與Log Viewer相匹配的是一個綜合查詢報表引擎。只要在登錄瀏覽引擎中選擇數(shù)字段名，用戶報表就很容易產(chǎn)生。

此外，登錄文件的數(shù)據(jù)也可以輸出到第三廠家的應用報告中去，例如Special Sheet或Trouble Tickting

Systems高效安全的處理技術。高效安全的處理技術。為了提高敏感信息的安全性，登錄信息需經(jīng)過鑒定、加密和數(shù)字簽字，并壓縮存儲。這樣成千上萬的登錄記錄便可以處理并存儲起來。既不影響系統(tǒng)性能，又不需太多硬盤空間。

Fire Wall-1支持SNMPV2協(xié)議，它的開放式接口與安全保障、財務管理、網(wǎng)絡監(jiān)視等應用的程序的連接非常容易。此外，提供了一個供 選擇的管理模塊對Bay 和Cisco路由器的路由器訪問列表實施集成管理和控制。

當各種企、事業(yè)網(wǎng)絡與Internet相聯(lián)之后，其安全性就成為一個至關重要的問題。防火墻隨之應運而生，它是一個加強機構網(wǎng)絡與Internet之間安全訪問的控制系統(tǒng)。本文介紹了防火墻市場的主導產(chǎn)品--Check Point公司的Fire Wall-1的一些功能特點，以供網(wǎng)絡安全管理人員以及參與防火墻設計的人員借鑒。

對應用程序的廣泛支持

Fire Wall-1支持預定的應用程序，服務和協(xié)議120多種(比其他同類產(chǎn)品都多)。Fire Wall-1

既支持Internet網(wǎng)絡的主要服務(如Web browser, E-mail, FTP,Telnet等)和基于TCP協(xié)議的應用程序，又支持基于PRC和UDP一類非連接協(xié)議的應用程序。而且，如今惟有FireWall-1支持剛出現(xiàn)的如Oracle SQL Net數(shù) 據(jù)庫訪問這樣的商務應用程序和象Real Audio, VDOLive和InternetPhone這樣的多媒體應用程序。在軟件業(yè)，Check Point公司的合作伙伴是最廣泛的。憑借 Fire Wall-1的技術優(yōu)勢，CheckPoint今后對應用程序的支持會更多更廣泛。

Fire Wall-1的開放式結構設計為擴充新的應用程序提供了便利。新服務可以在彈出式窗口中直接加入，也可以使用INSECT(CheckPoint功能強大的編程 語言)來加入。Fire Wall-1這種擴充功能可以有效地適應時常變化的網(wǎng)絡安全要求。

集中管理下的分布式客戶機/服務器結構

Fire Wall-1采用的是集中控制下的分布式客戶機/服務器結構，性能好，配置靈活。公司內(nèi)部網(wǎng)絡可以設置多個FireWall-1模塊，由一個工作站負責監(jiān)控。對于受安全保護的信息，客戶只有在獲得授權后才能訪問它。靈活的配置和可靠的監(jiān)控使得Fire Wall-1成為Internet單網(wǎng)關或整個企業(yè)網(wǎng)安全保障的首選產(chǎn)品。

網(wǎng)絡安全的新模式--Stateful Inspection技術

Stateful Inspection采用了一個檢測模塊(一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件引擎)。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)(狀態(tài)信息)并動態(tài)地保存起來作為以后制定安全決策的參考。檢

測模塊支持多種協(xié)議和應用程序，并可以很容易地實現(xiàn)應用和服務的擴充。Fire

Wall-1的"狀態(tài)監(jiān)視技術"的工作性能超過傳統(tǒng)的防火墻達兩倍以上. Fire

Wall-1在通信網(wǎng)絡層截取數(shù)據(jù)包，然后在所有的通信層上抽取有關的狀態(tài)信息，據(jù)此判析該通信是否符合安全政策。與其它安全方案不同，當用戶訪問到達網(wǎng)關的操作系統(tǒng)前，Stateful Inspection

要抽取有關數(shù)據(jù)進行分析，結合網(wǎng)絡配置和安全規(guī)定作出接納、拒絕、鑒定或給廬通信加密等決定。一旦某個訪問違反安全規(guī)定，安全報警就會拒絕該訪問，并作記錄，向系統(tǒng)管理器報告網(wǎng)絡狀態(tài)。

遠程網(wǎng)絡訪問的安全保障(Fire Wall-1 SecuRemote)

遠程網(wǎng)絡訪問的安全保障系統(tǒng)采用透明客戶加密技術，通過撥號方式與Internet

網(wǎng)連接。實現(xiàn)世界范圍內(nèi)可靠的加密通信。當前，衡量一個企業(yè)網(wǎng)點的工作性能首先要看它是否能夠為遠程工作站，移動用戶提供安全的訪問服務。Fire Wall-1嚴格的鑒定過程和加密服務恰好滿足這一要求。Fire

Wall-1面向用戶的圖形界面可以很容易修改安全策略，它的log Viewer 可以監(jiān)視網(wǎng)上的通信情況

Fire Wall-1 的遠程網(wǎng)絡訪問的安全保障

鑒定

Fire Wall-1的用戶鑒定功能是指通過一個擴充的登錄過程鑒定Telnet、FTP 和HTTP的用戶身份。此外，F(xiàn)ireWall-1還有一個獨創(chuàng)功能--客戶鑒定?？蛻翳b定的機制可以用以鑒別任何應用(標準的或自定的)的客戶。無論它是基于TCP、UDP還是RPC協(xié)議。采用客戶鑒定時，授權是按機器進行的，因為這種服務并無登錄的步驟。無論用戶鑒定還是客戶鑒定都不會對服務器和應用程序有任何影響。鑒定采用標準密碼或標準結卡或軟件之類的密碼機加ID和S/key。

SecuRemote遠程加密功能

Fire Wall-1的SecuRemote客戶加密軟件保護用戶與防火墻的通信。用戶的數(shù)據(jù)從Windows

95發(fā)出就是經(jīng)過SecuRemote加密的，這一過程用戶是毫無察覺的。對網(wǎng)絡進行訪問的移動用戶或遠方訪問用戶，為了安全起見，采用SecuRemote 將是思想的選擇，而且SecuRemote支持動態(tài)IP地址，對于撥號連接的用戶恰好適用，對于LAN網(wǎng)內(nèi)需要加密保護的通信也是適用的。

虛擬專用網(wǎng)絡

Fire Wall-1的加密模塊可以在Internet網(wǎng)上建立完全保密的信道。在公共線路上傳輸保密數(shù)據(jù)，F(xiàn)ire

Wall-1可以確保與遠程工作站通信的安全性和靈活性，而費用要比租用專用線路少得多?？蛇x擇的加密方式:FireWall-1可采用DES或FWZ1兩種加密算法，網(wǎng)絡與工作站之間既能傳輸明碼數(shù)據(jù)又能傳輸加密數(shù)據(jù)。DES和FWZ1可同時配置，用戶依據(jù)效率、安全性和傳輸速度選擇最佳方式。

集成的、易操作的密鑰管理程序

Fire Wall-1可自動產(chǎn)生和維護各類密鑰。應用Diffire-Hellman模式，每一個加密通信將產(chǎn)生一對高度保密的公共和專有密鑰。利用SRA技術，可以實現(xiàn)通信的確認授權。為了便于安裝、管理和控制，F(xiàn)ire

Wall-1保留了路由選擇的優(yōu)先權和策略，這也提高了工作效率。

附加安全措施

防電子欺騙術 Fire Wall-1的防電子欺騙術功能是保證數(shù)據(jù)包的IP地址與網(wǎng)關接口相符，防止通過修改IP地址的方法進行非授權訪問。Fire Wall-1還會對可疑信息進行鑒別，并向網(wǎng)絡管理員報警。

網(wǎng)絡地址轉換 Fire Wall-1的地址轉換是對Internet隱藏內(nèi)部地址，防止內(nèi)療地址公開。這一功能克服了IP尋址方式的諸多控制，完善內(nèi)部尋址模式。把未注冊IP地址映射成合法地址，就可對Internet進行訪問。

開放式結構設計 Fire Wall-1的開放式結構設計使得它與相關應用程序和外部用戶數(shù)據(jù)庫的連接相當容易，典型的應用程序連接如財務軟件包、病毒掃描、登錄分析等。

路由器安全管理程序(選擇) Fire Wall-1的網(wǎng)絡安全管理器是一個供選擇的模塊，它為Bay和Cisco的路由器提供集中管理和訪問列表控制。Fire Wall-1的圖形界面和功能強大的工具軟件使得制定安全政策、管理、審查和報表等工作都很簡單直觀。

直觀簡便 Fire Wall-1提供了功能強大的圖形界面工具，用于定義安全策略、靈活的管理、審計、報告，從而集成整個企業(yè)的安全保障。

操作簡便 Fire Wall-1的安裝，配置和管理都很簡單，它的圖形界面使得用戶對各類實體的控制更加方便，能夠在不影響系統(tǒng)運行的前提下，實施新的安全政策或修改現(xiàn)行政策。一旦安全策略制訂完畢，F(xiàn)ire Wall-1將自動檢查它的一致性，保證供給規(guī)定不相矛盾，減少潛在的操作員失誤。

集中控制企業(yè)網(wǎng)絡安裝了Fire Wall-1后，就可以用一個工作站對多個網(wǎng)關和服務器的安全策略進行配置和管理。工作站只需為網(wǎng)絡定義一個安全策策，安全策略就會自動分布到每個網(wǎng)關上，而不需逐一配置。管理模塊和防火墻模塊的通信為了安全起見，增加了鑒定和數(shù)字簽字的措施。

實時報警

網(wǎng)上一旦有可疑情況，F(xiàn)ire Wall-1就會報警-通知系統(tǒng)管理員，并向對方網(wǎng)絡管理系統(tǒng)發(fā)E-mai和SNMP警報，或者激活用戶自己定義的警報(例如，激活系統(tǒng)管理員的傳呼設備)。利用制定的規(guī)則，針對不同的網(wǎng)絡流通量模塊，發(fā)不同形式的警報。功能強大的系統(tǒng)瀏覽器在一個窗口中顯示分布于企業(yè)網(wǎng)各處安全網(wǎng)關的活動情況。圖標表示各網(wǎng)關的狀態(tài)，統(tǒng)計計數(shù)器則記錄檢測，拒絕，登錄的數(shù)據(jù)包的數(shù)目。Log Viewer圖形化顯示各個安全網(wǎng)關的連接請求，并具備集中跟蹤，審查和用戶報表功能。

FireWall-1的一大特點是具有圖形化登錄瀏覽引擎。它能夠跟蹤整理每個通信請示，實現(xiàn)與安全網(wǎng)關的連接。每個通信都有一個記錄，記錄包括時間、日期、協(xié)議及詳細的信息、服務請求、動作(接受、拒絕、丟棄加密等)、源、目的地址、用戶、數(shù)據(jù)包長度，如果需要的話，密鑰和用戶姓名也包含在內(nèi)。憑借圖形化瀏覽器和許多分析工具可以進行實時和歷史審查，并對網(wǎng)上各種可疑行動都能夠跟蹤和監(jiān)視，利用Check Point的編程語言INSPEC，可以擴充管理器的標準登記錄格式，為滿足特殊需要也可以定義新的格式。詳細報表與Log Viewer相匹配的是一個綜合查詢報表引擎。只要在登錄瀏覽引擎中選擇數(shù)字段名，用戶報表就很容易產(chǎn)生。

此外，登錄文件的數(shù)據(jù)也可以輸出到第三廠家的應用報告中去，例如Special Sheet或Trouble Tickting

Systems高效安全的處理技術。高效安全的處理技術。為了提高敏感信息的安全性，登錄信息需經(jīng)過鑒定、加密和數(shù)字簽字，并壓縮存儲。這樣成千上萬的登錄記錄便可以處理并存儲起來。既不影響系統(tǒng)性能，又不需太多硬盤空間。

集成管理

Fire Wall-1支持SNMPV2協(xié)議，它的開放式接口與安全保障、財務管理、網(wǎng)絡監(jiān)視等應用的程序的連接非常容易。此外，提供了一個供 選擇的管理模塊對Bay 和Cisco路由器的路由器訪問列表實施集成管理和控制。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

在具體應用防火墻技術時，還要考慮到兩個方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。 二是防火墻技術的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。并且，防火墻采用濾波技術，濾波通常使網(wǎng)絡的性能降低50%以上，如果為了改善網(wǎng)絡性能而購置高速路由器，又會大大提高經(jīng)濟預算。

總之，防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務置于防火墻外，使其對防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡安全技術，防火墻具有簡單實用的特點，并且透明度高，可以在不修改原有網(wǎng)絡應用系統(tǒng)的情況下達到一定的安全要求。

(1)設置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關為192.168.1.1。

(2)設置DNS為61.177.7.1。

(3)Linux防火墻設置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設置防火墻，使能信任TCP協(xié)議的POP3端口。