checkpoint 防火墙

当各种企、事业网络与Internet相联之后，其安全性就成为一个至关重要的问题。防火墙随之应运而生，它是一个加强机构网络与Internet之间安全访问的控制系统。本文介绍了防火墙市场的主导产品--Check Point公司的Fire Wall-1的一些功能特点，以供网络安全管理人员以及参与防火墙设计的人员借鉴。

对应用程序的广泛支持

Fire Wall-1支持预定的应用程序，服务和协议120多种(比其他同类产品都多)。Fire Wall-1

既支持Internet网络的主要服务(如Web browser, E-mail, FTP,Telnet等)和基于TCP协议的应用程序，又支持基于PRC和UDP一类非连接协议的应用程序。而且，如今惟有FireWall-1支持刚出现的如Oracle SQL Net数 据库访问这样的商务应用程序和象Real Audio, VDOLive和InternetPhone这样的多媒体应用程序。在软件业，Check Point公司的合作伙伴是最广泛的。凭借 Fire Wall-1的技术优势，CheckPoint今后对应用程序的支持会更多更广泛。

Fire Wall-1的开放式结构设计为扩充新的应用程序提供了便利。新服务可以在弹出式窗口中直接加入，也可以使用INSECT(CheckPoint功能强大的编程 语言)来加入。Fire Wall-1这种扩充功能可以有效地适应时常变化的网络安全要求。

集中管理下的分布式客户机/服务器结构

Fire Wall-1采用的是集中控制下的分布式客户机/服务器结构，性能好，配置灵活。公司内部网络可以设置多个FireWall-1模块，由一个工作站负责监控。对于受安全保护的信息，客户只有在获得授权后才能访问它。灵活的配置和可靠的监控使得Fire Wall-1成为Internet单网关或整个企业网安全保障的首选产品。

网络安全的新模式--Stateful Inspection技术

Stateful Inspection采用了一个检测模块(一个在网关上执行网络安全策略的软件引擎)。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据(状态信息)并动态地保存起来作为以后制定安全决策的参考。检

测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。Fire

Wall-1的"状态监视技术"的工作性能超过传统的防火墙达两倍以上. Fire

Wall-1在通信网络层截取数据包，然后在所有的通信层上抽取有关的状态信息，据此判析该通信是否符合安全政策。与其它安全方案不同，当用户访问到达网关的操作系统前，Stateful Inspection

要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给庐通信加密等决定。一旦某个访问违反安全规定，安全报警就会拒绝该访问，并作记录，向系统管理器报告网络状态。

远程网络访问的安全保障(Fire Wall-1 SecuRemote)

远程网络访问的安全保障系统采用透明客户加密技术，通过拨号方式与Internet

网连接。实现世界范围内可靠的加密通信。当前，衡量一个企业网点的工作性能首先要看它是否能够为远程工作站，移动用户提供安全的访问服务。Fire Wall-1严格的鉴定过程和加密服务恰好满足这一要求。Fire

Wall-1面向用户的图形界面可以很容易修改安全策略，它的log Viewer 可以监视网上的通信情况

Fire Wall-1 的远程网络访问的安全保障

鉴定

Fire Wall-1的用户鉴定功能是指通过一个扩充的登录过程鉴定Telnet、FTP 和HTTP的用户身份。此外，FireWall-1还有一个独创功能--客户鉴定。客户鉴定的机制可以用以鉴别任何应用(标准的或自定的)的客户。无论它是基于TCP、UDP还是RPC协议。采用客户鉴定时，授权是按机器进行的，因为这种服务并无登录的步骤。无论用户鉴定还是客户鉴定都不会对服务器和应用程序有任何影响。鉴定采用标准密码或标准结卡或软件之类的密码机加ID和S/key。

SecuRemote远程加密功能

Fire Wall-1的SecuRemote客户加密软件保护用户与防火墙的通信。用户的数据从Windows

95发出就是经过SecuRemote加密的，这一过程用户是毫无察觉的。对网络进行访问的移动用户或远方访问用户，为了安全起见，采用SecuRemote 将是思想的选择，而且SecuRemote支持动态IP地址，对于拨号连接的用户恰好适用，对于LAN网内需要加密保护的通信也是适用的。

虚拟专用网络

Fire Wall-1的加密模块可以在Internet网上建立完全保密的信道。在公共线路上传输保密数据，Fire

Wall-1可以确保与远程工作站通信的安全性和灵活性，而费用要比租用专用线路少得多。可选择的加密方式:FireWall-1可采用DES或FWZ1两种加密算法，网络与工作站之间既能传输明码数据又能传输加密数据。DES和FWZ1可同时配置，用户依据效率、安全性和传输速度选择最佳方式。

集成的、易操作的密钥管理程序

Fire Wall-1可自动产生和维护各类密钥。应用Diffire-Hellman模式，每一个加密通信将产生一对高度保密的公共和专有密钥。利用SRA技术，可以实现通信的确认授权。为了便于安装、管理和控制，Fire

Wall-1保留了路由选择的优先权和策略，这也提高了工作效率。

附加安全措施

防电子欺骗术 Fire Wall-1的防电子欺骗术功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。Fire Wall-1还会对可疑信息进行鉴别，并向网络管理员报警。

网络地址转换 Fire Wall-1的地址转换是对Internet隐藏内部地址，防止内疗地址公开。这一功能克服了IP寻址方式的诸多控制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可对Internet进行访问。

开放式结构设计 Fire Wall-1的开放式结构设计使得它与相关应用程序和外部用户数据库的连接相当容易，典型的应用程序连接如财务软件包、病毒扫描、登录分析等。

路由器安全管理程序(选择) Fire Wall-1的网络安全管理器是一个供选择的模块，它为Bay和Cisco的路由器提供集中管理和访问列表控制。Fire Wall-1的图形界面和功能强大的工具软件使得制定安全政策、管理、审查和报表等工作都很简单直观。

直观简便 Fire Wall-1提供了功能强大的图形界面工具，用于定义安全策略、灵活的管理、审计、报告，从而集成整个企业的安全保障。

操作简便 Fire Wall-1的安装，配置和管理都很简单，它的图形界面使得用户对各类实体的控制更加方便，能够在不影响系统运行的前提下，实施新的安全政策或修改现行政策。一旦安全策略制订完毕，Fire Wall-1将自动检查它的一致性，保证供给规定不相矛盾，减少潜在的操作员失误。

集中控制企业网络安装了Fire Wall-1后，就可以用一个工作站对多个网关和服务器的安全策略进行配置和管理。工作站只需为网络定义一个安全策策，安全策略就会自动分布到每个网关上，而不需逐一配置。管理模块和防火墙模块的通信为了安全起见，增加了鉴定和数字签字的措施。

实时报警

网上一旦有可疑情况，Fire Wall-1就会报警-通知系统管理员，并向对方网络管理系统发E-mai和SNMP警报，或者激活用户自己定义的警报(例如，激活系统管理员的传呼设备)。利用制定的规则，针对不同的网络流通量模块，发不同形式的警报。功能强大的系统浏览器在一个窗口中显示分布于企业网各处安全网关的活动情况。图标表示各网关的状态，统计计数器则记录检测，拒绝，登录的数据包的数目。Log Viewer图形化显示各个安全网关的连接请求，并具备集中跟踪，审查和用户报表功能。

FireWall-1的一大特点是具有图形化登录浏览引擎。它能够跟踪整理每个通信请示，实现与安全网关的连接。每个通信都有一个记录，记录包括时间、日期、协议及详细的信息、服务请求、动作(接受、拒绝、丢弃加密等)、源、目的地址、用户、数据包长度，如果需要的话，密钥和用户姓名也包含在内。凭借图形化浏览器和许多分析工具可以进行实时和历史审查，并对网上各种可疑行动都能够跟踪和监视，利用Check Point的编程语言INSPEC，可以扩充管理器的标准登记录格式，为满足特殊需要也可以定义新的格式。详细报表与Log Viewer相匹配的是一个综合查询报表引擎。只要在登录浏览引擎中选择数字段名，用户报表就很容易产生。

此外，登录文件的数据也可以输出到第三厂家的应用报告中去，例如Special Sheet或Trouble Tickting

Systems高效安全的处理技术。高效安全的处理技术。为了提高敏感信息的安全性，登录信息需经过鉴定、加密和数字签字，并压缩存储。这样成千上万的登录记录便可以处理并存储起来。既不影响系统性能，又不需太多硬盘空间。

集成管理

Fire Wall-1支持SNMPV2协议，它的开放式接口与安全保障、财务管理、网络监视等应用的程序的连接非常容易。此外，提供了一个供 选择的管理模块对Bay 和Cisco路由器的路由器访问列表实施集成管理和控制。

当各种企、事业网络与Internet相联之后，其安全性就成为一个至关重要的问题。防火墙随之应运而生，它是一个加强机构网络与Internet之间安全访问的控制系统。本文介绍了防火墙市场的主导产品--Check Point公司的Fire Wall-1的一些功能特点，以供网络安全管理人员以及参与防火墙设计的人员借鉴。

Fire Wall-1支持预定的应用程序，服务和协议120多种(比其他同类产品都多)。Fire Wall-1

既支持Internet网络的主要服务(如Web browser, E-mail, FTP,Telnet等)和基于TCP协议的应用程序，又支持基于PRC和UDP一类非连接协议的应用程序。而且，如今惟有FireWall-1支持刚出现的如Oracle SQL Net数 据库访问这样的商务应用程序和象Real Audio, VDOLive和InternetPhone这样的多媒体应用程序。在软件业，Check Point公司的合作伙伴是最广泛的。凭借 Fire Wall-1的技术优势，CheckPoint今后对应用程序的支持会更多更广泛。

Fire Wall-1的开放式结构设计为扩充新的应用程序提供了便利。新服务可以在弹出式窗口中直接加入，也可以使用INSECT(CheckPoint功能强大的编程 语言)来加入。Fire Wall-1这种扩充功能可以有效地适应时常变化的网络安全要求。

Fire Wall-1的SecuRemote客户加密软件保护用户与防火墙的通信。用户的数据从Windows

95发出就是经过SecuRemote加密的，这一过程用户是毫无察觉的。对网络进行访问的移动用户或远方访问用户，为了安全起见，采用SecuRemote 将是思想的选择，而且SecuRemote支持动态IP地址，对于拨号连接的用户恰好适用，对于LAN网内需要加密保护的通信也是适用的。