Check Point 防火墙

梁任汪

当各种企、事业网络与Internet相联之后,其安全性就成为一个至关重要的问题。防火墙 随之应运而生,它是一个加强机构网络与Internet之间安全访问的控制系统。本文介绍了防火墙市场的主导产品——Check Point公司的FireWall-1的一些功能特点,以供网络安全管理人 员以及参与防火墙设计的人员借鉴。

FireWall-1的功能特点
▲ 对应用程序的广泛支持

FireWall-1支持预定的应用程序,服务和协议120多种(比其他同类产品都多)。FireWall-1既支持Internet网的主要服务(如Web browser, E-mail, FTP, Telnet等)和基 于TCP协议的应用程序,又支持基于PRC和UDP一类非连接协议的应用程序。而且,如今惟有FireWall-1支持刚出现的如Oracle SQL Net数据库访问这样的商务应用程序和象RealAudio, VDOLi ve和Internet Phone这样的多媒体应用程序。在软件业,Check Point公司的合作伙伴是最广泛的。凭借FireWall-1的技术优势,Check Point今后对应用程序的支持会更多更广泛。

FireWall-1的开放式结构设计为扩充新的应用程序提供了便利。新服务可以在弹出式窗 口中直接加入,也可以使用INSECT(Check Point功能强大的编程语言)来加入。FireWall-1这种扩充功能可以有效地适应时常变化的网络安全要求。

▲集中管理下的分布式客户机/服务器结构

FireWall-1采用的是集中控制下的分布式客户机/服务器结构,性能好,配置灵活。公司内部网络可以设置多个FireWall-1模块,由一个工作站负责监控。对于受安全保护的信息 ,客户只有在获得授权后才能访问它。灵活的配置和可靠的监控使得FireWall-1成为Internet单网关或整个企业网安全保障的首选产品。

▲网络安全的新模式——Stateful Inspection技术

Stateful Inspection采用了一个检测模块(一个在网关上执行网络安全策略的软件引擎)。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施 监测,抽取部分数据(状态信息)并动态地保存起来作为以后制定安全决策的参考。检测模块支 持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。FireWall-1的“状态监视技术”的工作性能超过传统的防火墙达两倍以上,如下表所示:

FEATURES ARCHITECTURES
Stateful Application-layer Packet
Inspection Gateway Filter
Security++- + + -
Performance + - +
Application-layer
Screening + - -
Scalability + - +


状态监视技术功能作用的层次如下图所示:

　

FireWall-1在通信网络层截取数据包,然后在所有的通信层上抽取有关的状态信息,据此 判析该通信是否符合安全政策。

与其它安全方案不同,当用户访问到达网关的操作系统前,Stateful Inspection要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。 一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作记录,向系统管理器 报告网络状态。

▲远程网络访问的安全保障 (FireWall-1 SecuRemote)

远程网络访问的安全保障系统采用透明客户加密技术,通过拨号方式与Internet网连接。实现世界范围内可靠的加密通信。

当前,衡量一个企业网点的工作性能首先要看它是否能够为远程工作站,移动用户提供安 全的访问服务。FireWall-1严格的鉴定过程和加密服务恰好满足这一要求。FireWall-1面向用 户的图形界面可以很容易地修改安全策略,它的Log Viewer可以监视网上的通信情况。

　

FireWall-1的远程网络访问的安全保障

▲鉴定

FireWall-1的用户鉴定功能是指通过一个扩充的登录过程鉴定Telnet、FTP和HTTP的用户身份。此外,FireWall-1还有一个独创功能——客户鉴定。客户鉴定的机制可用以鉴 别任何应用(标准的或自定的)的客户。无论它是基于TCP、UDP还是RPC协议。采用客户鉴定时,授 权是按机器进行的,因为这种服务并无登录的步骤。无论用户鉴定还是客户鉴定都不会对服务器和应用程序有任何影响。鉴定采用标准密码或标准结卡或软件之类的密码机加ID和S/ke y。

▲SecuRemote远程加密功能

FireWall-1的SecuRemote客户加密软件保护用户与防火墙的通信。用户的数据从Windows 95发出就是经过SecuRemote加密的,这一过程用户是毫无察觉的。对网络进行访问的 移动用户或远方访问用户,为了安全起见,采用SecuRemote将是理想的选择,而且SecuRemote支持动态IP地址,对于拨号连接的用户恰好适用,对于LAN网内需要加密保护的通信也是适用的。

▲虚拟专用网络

FireWall-1的加密模块可以在Internet网上建立完全保密的信道。在公共线路上传输保密数据,FireWall-1可以确保与远程工作站通信的安全性和灵活性,而费用要比租用专 用线路少得多。

可选择的加密方式:

FireWall-1可采用DES或FWZ1两种加密算法,网络与工作站之间既能传输明码数据又能传输加密数据。DES和FWZ1可同时配置,用户依据效率、安全性和传输速度选择最佳方式。

▲集成的、易操作的密钥管理程序

FireWall-1可自动产生和维护各类密钥。应用Diffie-Hellman 模式,每一个加密通信将产生一对高度保密的公共和专有密钥。利用RSA技术,可以实现通信的确认授权。为了便 于安装、管理和控制,FireWall-1保留了路由选择的优先权和策略,这也提高了工作效率。

▲附加安全措施

□ 防电子欺骗术FireWall-1的防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。FireWall-1还会对可疑信息进行鉴别,并向网络管理员报警。

□ 网络地址转换FireWall-1的地址转换是对Internet隐藏内部地址,防止内部地址公开。这一功能克服了IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。

□ 开放式结构设计FireWall-1的开放式结构设计使得它与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分 析等。

□ 路由器安全管理程序(选择)FireWall-1的网络安全管理器是一个供选择的模块,它为Bay和Cisco的路由器提供集中管理和访问列表控制。FireWall-1的图形界面和功能强大的工具软件使得制定安全政策、管理、审查和报表等工作都很简单直观。

□ 直观简便FireWall-1提供了功能强大的图形界面工具,用于定义安全策略、灵活的管理、审计、报告,从而集成整个企业的安全保障。

□ 操作简便FireWall-1的安装,配置和管理都很简单,它的图形界面使得用户对各类实体的控制更加方便,能够在不影响系统运行的前提下,实施新的安全政策或修改现行政策。一旦安全策略制订完毕,FireWall-1将自动检查它的一致性,保证供给规定不自相矛盾,减少潜在的操作员失误。

□ 集中控制企业网络安装了FireWall-1后,就可以用一个工作站对多个网关和服务器的安全策略进行配置和管理。工作站只需为网络定义一个安全策略,安全策略 就会自动分布到每个网关上,而不需逐一配置。管理模块和防火墙模块的通信为了安全起见,增加了鉴定和数字签字的措施。

▲实时报警

网上一旦有可疑情况,FireWall-1 就会报警—通知系统管理员,并向对方网络管理系统发E-mai和SNMP警报,或者激活用户自己定义的警报(例如,激活系统管理员的传呼设备)。利 用制定的规则,针对不同的网络流通量模型,发不同形式的警报。功能强大的系统浏览器在一个窗口中显示分布于企业网各处安全网关的活动情况。图标表示各网关的状态,统计计数器则记录检测,拒绝,登录的数据包的数目。 Log Viewer图形化显示各个安全网关的连接请求,并具备集中跟踪,审查和用户报表功能。

FireWall-1的一大特点是具有图形化登录浏览引擎。它能够跟踪整理每个通信请求,实现与安全网关的连接。每个通信都有一个记录,记录包括时间、日期、协议及详细的信息、服务请求、动作(接受、拒绝、丢弃加密等)、源、目的地址、用户、数据包长度,如果需要的话,密钥和用户姓名也包含在内。凭借图形化浏览器和许多分析工具可以进行实时和历史审查,并对网上各种可疑行动都能够跟踪和监视,利用CheckPoint的编程语言INSPECT,可以扩充管理器的标准登录格式,为满足特殊需要也可以定义新的格式。 详细报表与Log Viewer相匹配的是一个综合查询报表引擎。只要在登录浏览引擎中选择数 字段名,用户报表就很容易 产生。此外,登录文件的数据也可以输出到第三厂家的应用报告中 去,例如Special Sheet或Trouble Ticketing Systems高效安全的处理技术。

高效安全的处理技术。为了提高敏感信息的安全性,登录信息需经过鉴定、加密和数字签字,并压缩存储。这样成千上万的登录记录便可以处理并存储起来。既不影响系统性能,又不需太多硬盘空间。

▲集成管理

FireWall-1支持SNMPV2协议,它的开放式接口与安全保障、财务管理、网络监视等应用程序 的连接非常容易。此外,提供了一个供选择的管理模块对Bay和Cisco路由器的路由器访问列表实施集成管理和控制。

FireWall-1的工作环境要求

工作平台 · Sun SPARC- based systems
· HP-PA 9000/700 & 800
· Intel * 86 or Pentium

操作系统 · HP-UX 9 and 10
· Solaris 2.3 ,2.4 and 2.5
· Sun OS 4.1.3 and 4.1.4
· Windows NT
· Xylan
窗口系统 · Windows NT
· Windows 95
· X11 R5
磁盘空间 ·10Mb
内存 ·24Mb
网络借口 ·所有标准网络接口
路由器管理选择 · Bay Networks version 8
· Cisco Systems IOS version 9.x或10.x
介质 ·3.5寸盘/CD-ROM