資源描述:
《checkpoint防火墻技術(shù)》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1����、CheckPointFireWall-1防火墻技術(shù)2007-11-1418:22:23隨著Internet的迅速發(fā)展,如何保證信息和網(wǎng)絡(luò)自身安全性的問題,尤其是在開放互聯(lián)環(huán)境中進(jìn)行商務(wù)等機(jī)密信息的交換中,如何保證信息存取和傳輸中不被竊取��、篡改���,已成為企業(yè)非常關(guān)注的問題�?���! ∽鳛殚_放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導(dǎo)者之一,CheckPoint公司在企業(yè)級(jí)安全性產(chǎn)品開發(fā)方面占有世界市場(chǎng)的主導(dǎo)地位�,其FireWall-1防火墻在市場(chǎng)占有率上已超過44%,世界上許多著名的大公司�����,如IBM�、HP���、CISCO����、3COM�、BAY等,都已成為OP
2�����、SEC的成員或分銷CheckPointFireWall-1產(chǎn)品�����。 CheckPointFireWall-1V3.0防火墻的主要特點(diǎn)����?��! 木W(wǎng)絡(luò)安全的需求上來看��,可以將FireWall-1的主要特點(diǎn)分為三大類����,第一類為安全性類,包括訪問控制����、授權(quán)認(rèn)證����、加密����、內(nèi)容安全等;第二類是管理和記帳���,包括安全策略管理�����、路由器安全管理、記帳����、監(jiān)控等;第三類為連接控制�����,包括負(fù)載均衡高可靠性等;下面分別進(jìn)行介紹��。 1.訪問控制 這是限制未授權(quán)用戶訪問本公司網(wǎng)絡(luò)和信息資源的措施�。評(píng)價(jià)訪問控制的一個(gè)重要因素是要看其能否適用于現(xiàn)行的所有服務(wù)和應(yīng)用�����。第一代包過濾
3�����、技術(shù),無法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議處理��,也無法處理UDP��、RPC或動(dòng)態(tài)的協(xié)議。第二代應(yīng)用代理網(wǎng)關(guān)防火墻技術(shù)�����,為實(shí)現(xiàn)訪問控制需要占用大量的CPU資源����,對(duì)Internet上不斷出現(xiàn)的新應(yīng)用(如多媒體應(yīng)用),無法快速支持. CheckPointFireWall-1的狀態(tài)監(jiān)測(cè)技術(shù),結(jié)合強(qiáng)大的面向?qū)ο蟮姆椒?��,可以提供全七層?yīng)用識(shí)別����,對(duì)新應(yīng)用很容易支持����。目前支持160種以上的預(yù)定義應(yīng)用和協(xié)議,包括所有Internet服務(wù)�����,如安全Web瀏覽器����、傳統(tǒng)Internet應(yīng)用(mail��、ftp��、telnet)�����、UDP、RPC等����,此外����,支持重要的商業(yè)應(yīng)用��,如Oracle
4、SQL*Net��、SybaseSQL服務(wù)器數(shù)據(jù)庫訪問;支持多媒體應(yīng)用��,如RealAudio�����、CoolTalk、NetMeeting�����、InternetPhone等,以及Internet廣播服務(wù)���,如BackWeb���、PointCast����?��! ×硗?���,F(xiàn)ireWall-1還可以提供基于時(shí)間為對(duì)象的安全策略定制方法?! ireWall-1開放系統(tǒng)具有良好的擴(kuò)展性���,可以方便的定制用戶的服務(wù)���,提供復(fù)雜的訪問控制����。 2.授權(quán)認(rèn)證(Authentication) 由于一般企業(yè)網(wǎng)絡(luò)資源不僅提供給本地用戶使用�����,同時(shí)更要面向各種遠(yuǎn)程用戶��、移動(dòng)用戶、電信用戶的訪問�����,
5、為了保護(hù)自身網(wǎng)絡(luò)和信息的安全��,有必要對(duì)訪問連接的用戶采取有效的權(quán)限控制和訪問者的身份識(shí)別。經(jīng)過認(rèn)證���,F(xiàn)ireWall-1能保證一個(gè)用戶發(fā)起的通信連接在允許之前��,就其真實(shí)性進(jìn)行確認(rèn)��。FireWall-1提供的認(rèn)證無須在服務(wù)器和客戶端的應(yīng)用進(jìn)行任何修改���。FireWall-1的服務(wù)認(rèn)證是集成在整個(gè)企業(yè)范圍內(nèi)的安全策略����,可以通過防火墻的GUI進(jìn)行集中管理�。同時(shí)對(duì)在整個(gè)企業(yè)范圍內(nèi)發(fā)生的認(rèn)證過程進(jìn)行全程的監(jiān)控����、跟蹤和記錄��。FireWall-1提供三種認(rèn)證方法: 用戶認(rèn)證(Authentication) 用戶認(rèn)證(UA)是基于每個(gè)用戶的訪問權(quán)限的認(rèn)證
6�����、,與用戶的IP地址無關(guān)����,F(xiàn)ireWall-1提供的認(rèn)證服務(wù)器包括:FTP�����、TELNET����、HTTP����、RLOGIN�����?! A對(duì)移動(dòng)用戶特別有意義����,用戶的認(rèn)證是在防火墻系統(tǒng)的網(wǎng)關(guān)上實(shí)施的��。FireWall-1網(wǎng)關(guān)截取需要的認(rèn)證請(qǐng)求�,并把該連接轉(zhuǎn)向相應(yīng)的安全服務(wù)器����。當(dāng)用戶經(jīng)過認(rèn)證后,安全服務(wù)器打開第二個(gè)連接�,接入目的主機(jī)�,其后續(xù)的數(shù)據(jù)包都需經(jīng)過網(wǎng)關(guān)上的FireWall-1檢查����?���! 】蛻粽J(rèn)證(ClientAuthentication) 客戶認(rèn)證(CA)是基于用戶的客戶端主機(jī)的IP地址的一種認(rèn)證機(jī)制����,允許系統(tǒng)管理員提供特定IP地址客戶的授權(quán)用戶定制訪
7���、問權(quán)限的控制�����,同UA相比�,CA與IP地址相關(guān)�,對(duì)訪問的協(xié)議不做直接的限制��。同樣,服務(wù)器和客戶端無需增加�、修改任何軟件�。系統(tǒng)管理員可以決定對(duì)每個(gè)用戶如何授權(quán)����,允許訪問哪些服務(wù)器資源���、應(yīng)用程序���,何時(shí)允許用戶訪問�����,允許建立多少會(huì)話等等��?����! ≡捖氛J(rèn)證(SessionAuthentication) 話路認(rèn)證(SA)是基于每個(gè)話路的��,屬透明認(rèn)證。實(shí)現(xiàn)SA需要在用戶端安裝SessionAgent軟件�����。當(dāng)用戶需要直接同服務(wù)器建立連接時(shí),位于用戶和用戶要訪問的目的主機(jī)間的防火墻系統(tǒng)網(wǎng)關(guān)��,截獲該話路連接��,并確認(rèn)是否有用戶級(jí)的認(rèn)證,如果有���,則向話路認(rèn)證代理(S
8�、essionAgent)發(fā)起一個(gè)連接,由話路認(rèn)證代理負(fù)責(zé)響應(yīng)的認(rèn)證,決定是否把該連接繼續(xù)指向用戶的請(qǐng)求服務(wù)器�?�! ?.內(nèi)容安全檢測(cè)(ContentSecurity) 內(nèi)容安全檢
