簡介
當各種企、事業網路與Internet相聯之後,其安全性就成為一個至關重要的問題。防火牆隨之應運而生,它是一個加強機構網路與Internet之間安全訪問的控制系統。本文介紹了防火牆市場的主導產品——Check Point公司的Fire Wall-1的一些功能特點,以供網路安全管理人員以及參與防火牆設計的人員借鑑。
套用支持
Fire Wall-1支持預定的應用程式,服務和協定120多種(比其他同類產品都多)。Fire Wall-1
既支持Internet網路的主要服務(如Web browser, E-mail, FTP,Telnet等)和基於TCP協定的應用程式,又支持基於PRC和UDP一類非連線協定的應用程式。而且,如今惟有FireWall-1支持剛出現的如Oracle SQL Net數 據庫訪問這樣的商務應用程式和象Real Audio, VDOLive和InternetPhone這樣的多媒體應用程式。在軟體業,Check Point公司的合作夥伴是最廣泛的。憑藉 Fire Wall-1的技術優勢,CheckPoint今後對應用程式的支持會更多更廣泛。
Fire Wall-1的開放式結構設計為擴充新的應用程式提供了便利。新服務可以在彈出式視窗中直接加入,也可以使用INSECT(CheckPoint功能強大的編程 語言)來加入。Fire Wall-1這種擴充功能可以有效地適應時常變化的網路安全要求。
設備結構
Fire Wall-1採用的是集中控制下的分散式客戶機/伺服器結構,性能好,配置靈活。公司內部網路可以設定多個FireWall-1模組,由一個工作站負責監控。對於受安全保護的信息,客戶只有在獲得授權後才能訪問它。靈活的配置和可靠的監控使得Fire Wall-1成為Internet單網關或整個企業網安全保障的首選產品。
網路安全
Stateful Inspection採用了一個檢測模組(一個在網關上執行網路安全策略的軟體引擎)。檢測模組在不影響網路正常工作的前提下,採用抽取相關數據的方法對網路通信的各層實施監測,抽取部分數據(狀態信息)並動態地保存起來作為以後制定安全決策的參考。檢測模組支持多種協定和應用程式,並可以很容易地實現套用和服務的擴充。Fire
Wall-1的“狀態監視技術”的工作性能超過傳統的防火牆達兩倍以上. Fire
Wall-1在通信網路層截取數據包,然後在所有的通信層上抽取有關的狀態信息,據此判析該通信是否符合安全政策。與其它安全方案不同,當用戶訪問到達網關的作業系統前,Stateful Inspection
要抽取有關數據進行分析,結合網路配置和安全規定作出接納、拒絕、鑑定或給廬通信加密等決定。一旦某個訪問違反安全規定,安全報警就會拒絕該訪問,並作記錄,向系統管理器報告網路狀態。
安全保障
遠程網路訪問的安全保障系統採用透明客戶加密技術,通過撥號方式與Internet
網連線。實現世界範圍內可靠的加密通信。當前,衡量一個企業網點的工作性能首先要看它是否能夠為遠程工作站,移動用戶提供安全的訪問服務。Fire Wall-1嚴格的鑑定過程和加密服務恰好滿足這一要求。Fire
Wall-1面向用戶的圖形界面可以很容易修改安全策略,它的log Viewer 可以監視網上的通信情況
Fire Wall-1 的遠程網路訪問的安全保障
鑑定
Fire Wall-1的用戶鑑定功能是指通過一個擴充的登錄過程鑑定Telnet、FTP 和HTTP的用戶身份。此外,FireWall-1還有一個獨創功能——客戶鑑定。客戶鑑定的機制可以用以鑑別任何套用(標準的或自定的)的客戶。無論它是基於TCP、UDP還是RPC協定。採用客戶鑑定時,授權是按機器進行的,因為這種服務並無登錄的步驟。無論用戶鑑定還是不鑑定都不會對伺服器和應用程式有任何影響。鑑定採用標準密碼或標準結卡或軟體之類的密碼機加ID和S/key。
遠程加密
Fire Wall-1的SecuRemote客戶加密軟體保護用戶與防火牆的通信。用戶的數據從Windows
95發出就是經過SecuRemote加密的,這一過程用戶是毫無察覺的。對網路進行訪問的移動用戶或遠方訪問用戶,為了安全起見,採用SecuRemote 將是思想的選擇,而且SecuRemote支持動態IP位址,對於撥號連線的用戶恰好適用,對於LAN網內需要加密保護的通信也是適用的。
虛擬網路
Fire Wall-1的加密模組可以在Internet網上建立完全保密的信道。在公共線路上傳輸保密數據,Fire
Wall-1可以確保與遠程工作站通信的安全性和靈活性,而費用要比租用專用線路少得多。可選擇的加密方式:FireWall-1可採用DES或FWZ1兩種加密算法,網路與工作站之間既能傳輸明碼數據又能傳輸加密數據。DES和FWZ1可同時配置,用戶依據效率、安全性和傳輸速度選擇最佳方式。
集成的、易操作的密鑰管理程式
Fire Wall-1可自動產生和維護各類密鑰。套用Diffire-Hellman模式,每一個加密通信將產生一對高度保密的公共和專有密鑰。利用SRA技術,可以實現通信的確認授權。為了便於安裝、管理和控制,Fire
Wall-1保留了路由選擇的優先權和策略,這也提高了工作效率。
安全措施
防電子欺騙術 Fire Wall-1的防電子欺騙術功能是保證數據包的IP位址與網關接口相符,防止通過修改IP位址的方法進行非授權訪問。Fire Wall-1還會對可疑信息進行鑑別,並向網路管理員報警。
網路地址轉換 Fire Wall-1的地址轉換是對Internet隱藏內部地址,防止內療地址公開。這一功能克服了IP定址方式的諸多控制,完善內部定址模式。把未註冊IP位址映射成合法地址,就可對Internet進行訪問。
開放式結構設計 Fire Wall-1的開放式結構設計使得它與相關應用程式和外部用戶資料庫的連線相當容易,典型的應用程式連線如財務軟體包、病毒掃描、登錄分析等。
路由器安全管理程式(選擇) Fire Wall-1的網路安全管理器是一個供選擇的模組,它為Bay和Cisco的路由器提供集中管理和訪問列表控制。Fire Wall-1的圖形界面和功能強大的工具軟體使得制定安全政策、管理、審查和報表等工作都很簡單直觀。
直觀簡便 Fire Wall-1提供了功能強大的圖形界面工具,用於定義安全策略、靈活的管理、審計、報告,從而集成整個企業的安全保障。
操作簡便 Fire Wall-1的安裝,配置和管理都很簡單,它的圖形界面使得用戶對各類實體的控制更加方便,能夠在不影響系統運行的前提下,實施新的安全政策或修改現行政策。一旦安全策略制訂完畢,Fire Wall-1將自動檢查它的一致性,保證供給規定不相矛盾,減少潛在的操作員失誤。
集中控制企業網路安裝了Fire Wall-1後,就可以用一個工作站對多個網關和伺服器的安全策略進行配置和管理。工作站只需為網路定義一個安全策策,安全策略就會自動分布到每個網關上,而不需逐一配置。管理模組和防火牆模組的通信為了安全起見,增加了鑑定和數字簽字的措施。
實時報警
網上一旦有可疑情況,Fire Wall-1就會報警—通知系統管理員,並向對方網路管理系統發E-mai和SNMP警報,或者激活用戶自己定義的警報(例如,激活系統管理員的傳呼設備)。利用制定的規則,針對不同的網路流通量模組,發不同形式的警報。功能強大的系統瀏覽器在一個視窗中顯示分布於企業網各處安全網關的活動情況。圖示表示各網關的狀態,統計計數器則記錄檢測,拒絕,登錄的數據包的數目。Log Viewer圖形化顯示各個安全網關的連線請求,並具備集中跟蹤,審查和用戶報表功能。
FireWall-1的一大特點是具有圖形化登錄瀏覽引擎。它能夠跟蹤整理每個通信請示,實現與安全網關的連線。每個通信都有一個記錄,記錄包括時間、日期、協定及詳細的信息、服務請求、動作(接受、拒絕、丟棄加密等)、源、目的地址、用戶、數據包長度,如果需要的話,密鑰和用戶姓名也包含在內。憑藉圖形化瀏覽器和許多分析工具可以進行實時和歷史審查,並對網上各種可疑行動都能夠跟蹤和監視,利用Check Point的程式語言INSPEC,可以擴充管理器的標準登記錄格式,為滿足特殊需要也可以定義新的格式。詳細報表與Log Viewer相匹配的是一個綜合查詢報表引擎。只要在登錄瀏覽引擎中選擇數欄位名,用戶報表就很容易產生。
此外,登錄檔案的數據也可以輸出到第三廠家的套用報告中去,例如Special Sheet或Trouble Tickting
Systems高效安全的處理技術。高效安全的處理技術。為了提高敏感信息的安全性,登錄信息需經過鑑定、加密和數字簽字,並壓縮存儲。這樣成千上萬的登錄記錄便可以處理並存儲起來。既不影響系統性能,又不需太多硬碟空間。
集成管理
Fire Wall-1支持SNMPV2協定,它的開放式接口與安全保障、財務管理、網路監視等套用的程式的連線非常容易。此外,提供了一個供 選擇的管理模組對Bay 和Cisco路由器的路由器訪問列表實施集成管理和控制。