CheckPoint FireWall-1防火墙技术2007-11-14 18:22:23随着Internet的迅速发展，如何保证信息和网络自身安全性的问题，尤其是在开放互联环境中进行商务等机密信息的交换中，如何保证信息存取和传输中不被窃取、篡改，已成为企业非常关注的问题。

作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位，其FireWall-1防火墙在市场占有率上已超过44%，世界上许多著名的大公司，如IBM、HP、CISCO、3COM、BAY等，都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。

CheckPoint FireWall-1 V3.0防火墙的主要特点。

从网络安全的需求上来看，可以将FireWall-1的主要特点分为三大类，第一类为安全性类，包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐，•包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制，包括负载均衡高可靠性等；下面分别进行介绍。

1．访问控制这是限制未授权用户访问本公司网络和信息资源的措施。

评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。

第一代包过滤技术，无法实施对应用级协议处理，也无法处理UDP、RPC或动态的协议。

第二代应用代理网关防火墙技术，为实现访问控制需要占用大量的CPU资源，对Internet上不断出现的新应用(如多媒体应用)，无法快速支持.CheckPoint FireWall-1的状态监测技术，结合强大的面向对象的方法，可以提供全七层应用识别，对新应用很容易支持。

目前支持160种以上的预定义应用和协议，包括所有Internet服务，如安全Web浏览器、传统Internet应用（mail、ftp、telnet）、UDP、RPC等，此外，支持重要的商业应用，如OracleSQL*Net、SybaseSQL服务器数据库访问；支持多媒体应用，如RealAudio、CoolTalk、NetMeeting、InternetPhone等，以及Internet广播服务，如BackWeb、PointCast。

另外，FireWall-1还可以提供基于时间为对象的安全策略定制方法。

FireWall-1开放系统具有良好的扩展性，可以方便的定制用户的服务，提供复杂的访问控制。

2．授权认证（Authentication）由于一般企业网络资源不仅提供给本地用户使用，同时更要面向各种远程用户、移动用户、电信用户的访问，为了保护自身网络和信息的安全，有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。

经过认证，FireWall-1能保证一个用户发起的通信连接在允许之前，就其真实性进行确认。

FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。

FireWall-1的服务认证是集成在整个企业范围内的安全策略，可以通过防火墙的GUI进行集中管理。

同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。

FireWall-1提供三种认证方法：用户认证（Authentication）用户认证（UA）是基于每个用户的访问权限的认证，与用户的IP地址无关，FireWall-1提供的认证服务器包括：FTP、TELNET、HTTP、RLOGIN。

UA对移动用户特别有意义，用户的认证是在防火墙系统的网关上实施的。

FireWall-1网关截取需要的认证请求，并把该连接转向相应的安全服务器。

当用户经过认证后，安全服务器打开第二个连接，接入目的主机，其后续的数据包都需经过网关上的FireWall-1检查。

客户认证（Client Authentication）客户认证（CA）是基于用户的客户端主机的IP地址的一种认证机制，允许系统管理员提供特定IP地址客户的授权用户定制访问权限的控制，同UA相比，CA与IP地址相关，对访问的协议不做直接的限制。

同样，服务器和客户端无需增加、修改任何软件。

系统管理员可以决定对每个用户如何授权，允许访问哪些服务器资源、应用程序，何时允许用户访问，允许建立多少会话等等。

话路认证（Session Authentication）话路认证（SA）是基于每个话路的，属透明认证。

实现SA需要在用户端安装Session Agent软件。

当用户需要直接同服务器建立连接时，位于用户和用户要访问的目的主机间的防火墙系统网关，截获该话路连接，并确认是否有用户级的认证，如果有，则向话路认证代理（Session Agent）发起一个连接，由话路认证代理负责响应的认证，决定是否把该连接继续指向用户的请求服务器。

3．内容安全检测（Content Security）内容安全检测把FireWall-1具有的数据监测功能扩展到高层服务协议，保护用户的网络、信息资源免遭宏病毒、恶意Java、ActiveX小应用程序及含不需要内容的Web文件的入侵和骚扰，同时又能提供向Internet的较好访问。

FireWall-1中的内容安全是与FireWall-1其他特性完全集成在一起的，可以通过GUI集中管理。

另外，CheckPoint的OPSEC框架提供集成第三方内容扫描程序的API接口，企业可以根据需要自由选择内容扫描程序，以取得最佳效果。

FireWall-1提供以下内容安全机制：（需第三方厂家软件支持）计算机病毒扫描病毒检查对企业的网络安全是至关重要的，同时对如何实施病毒检查策略也不容忽视，要取得理想的效果，应在访问网络的每一个点上实施病毒检查，而不应该交给每个用户自己去实施。

URL扫描（URL Screening）URL扫描允许网络管理员设定对某些Web页面的访问权，从而有效的节省公司的网络带宽，增加网络层的另一级别的控制机制。

该机制可以实现内部员工之间对不同信息的不同访问权限的安全策略。

URL扫描支持以下三种方式设定：统配符设定、按文件名设定、按第三方URL数据库设定。

Jave、ActiveX小应用程序的剥离FireWall-1内容安全管理可以保护企业免遭Java、ActiveX的攻击。

系统管理员可以按一定的条件，如URL、授权认证用户名等，控制进入的Java、ActiveX 代码。

FireWall-1提供以下Java、ActiveX扫描能力：--从HTML页中剥离Java小应用标识（Tags）--剥离所有服务器到客户端的响应（Response）中的Java小应用程序，不管响应是否为压缩文件或文档文件--阻止可疑回应的连接，防止Java的攻击--从HTML页中剥离ActiveX标识--从HTML页中剥离JavaScript标识支持Mail(SMTP)Mail是在企业通信中广泛使用的Internet工具。

SMTP不仅支持E-mail，同时支持附贴的文件，为了防止来自利用Internet E-mail工具的攻击，FireWall-1对SMTP连接提供高粒度的控制：--隐藏向外发送的FROM地址，用对外的一个通用IP地址代替，以达到隐藏内部网络结构和真实用户身份的目的--重定向MAIL到给定的TO地址--丢弃来自给定地址的邮件--剥离邮件中给定类型的附贴文件--从向外发送的邮件中剥离Received信息，以达到隐藏内部地址的目的--丢弃大于给定大小的邮件--防病毒扫描HTTP过滤URL资源可以提供定义方案（HTTP、FTP）、方法（GET、POST）、主机（如“*.com”），路径和查询。

也可以通过文件指定要过滤的IP地址、服务器列表。

支持FTPFireWall-1中的FTP安全服务器提供认证服务和基于FTP命令的内容安全服务。

支持PUT、GET、文件名限制、防病毒检查。

例如，一旦定义了对FTP“GET”命令制定防病毒检查功能，FireWall-1会自动截获FTP“GET”访问，把传送的文件转发给防病毒服务器，经过防病毒服务器检查后把结果传回给防火墙模块。

这一切对用户来说都是透明的。

4．加密（FireWall-1的VPN技术）企业、合作伙伴、分公司、移动用户之间的长距离通信已成为商业联系的关键。

传统方法中的点对点连接方式既缺乏灵活性，成本又高，无法大规模的使用。

随着公共网络的发展，如Internet，作为一种灵活、价格低廉的网间互联工具，已越来越成为企业采用的方法。

但如何在公共网络上实现企业信息的安全传输是个关键问题。

我们把一个利用了部分公共网络资源组成的私用网络称为虚拟专用网（VPN）。

VPN技术在低费用、灵活性方面明显要比传统的定制专用网占优势，Vpn 技术的引入，使全球范围内的企业连接提供了高度灵活、安全、可靠、廉价的方法。

采用VPN技术，每个专用网只需接入本地的Internet供应商即可。

如果要想增加新的连接即简单又价格低廉。

但是。

接入公共网络又使企业面临安全方面的新问题，要防止未授权的Internet访问、保证信息不被窃取和篡改等。

FireWall-1提供160多种预定义协议的可选择、透明的加密算法，允许企业充分利用Internet资源，安全地实现其所有商业和接入需求。

FireWall-1提供多种加密方案、密钥管理和内部权威密钥认证机构（Certificate Authority）。

安全的VPNs安装了防火墙的网关对基于Internet的网网之间信息传输进行加密，提供安全的VPN技术。

VPN中的专用网之间的加密由FireWall-1实施，无需在每一台主机上都安装加密软件。

由网关代替受其保护的LAN和一组LAN间的信息加密。

在网关后的信息是不加密的。

可选的加密FireWall-1允许对同一工作站和网络间按协议选择加密或明文传送方式。

对主机来说，无需对所有的通讯进行加密，提高了网络的效率。

FireWall-1支持以下三种加密方案：FWZ---该方案为FireWall-1内置的专利加密和密钥管理方案，主要采用FWZ1和DES加密算法，普通PC端每秒可以处理10M数据流，加密后的数据包长度不变，该方法对IP包头不加密。

Manual Ipsec---为固定密钥加密和认证算法，密钥需通过其它途径手工交换，交换后的IP包长度增大，同时对IP包的头进行了加密。

SKIP---为Simple Key for Internet Protocol的缩写。

SKIP是一种新型的密钥管理协议，可在网络上自动地实现加密和论证密钥的分配。

其中Manual Ipsec、SKIP是IETF工程组下IP安全协议工作组（Ipsec）对Internet网络制定的安全标准的一种实现。

Ipsec主要提供IP层加密和认证的一种总体框架，采用的加密算法主要有DES、TripleDES、SHA-1等。