資源描述:
《checkpoint防火墻技術》由會員上傳分享�,免費在線閱讀����,更多相關內容在行業(yè)資料-天天文庫�����。
1����、CheckPointFireWall-1防火墻技術2007-11-1418:22:23隨著Internet的迅速發(fā)展����,如何保證信息和網絡自身安全性的問題�����,尤其是在開放互聯環(huán)境中進行商務等機密信息的交換中,如何保證信息存取和傳輸中不被竊取��、篡改,已成為企業(yè)非常關注的問題��?! ∽鳛殚_放安全企業(yè)互聯聯盟(OPSEC)的組織和倡導者之一�,CheckPoint公司在企業(yè)級安全性產品開發(fā)方面占有世界市場的主導地位����,其FireWall-1防火墻在市場占有率上已超過44%,世界上許多著名的大公司���,如IBM、HP��、CISCO�����、3COM、BAY等��,都已成為OP
2、SEC的成員或分銷CheckPointFireWall-1產品�����。 CheckPointFireWall-1V3.0防火墻的主要特點�����。 從網絡安全的需求上來看��,可以將FireWall-1的主要特點分為三大類����,第一類為安全性類���,包括訪問控制、授權認證�、加密�、內容安全等;第二類是管理和記帳���,包括安全策略管理����、路由器安全管理���、記帳、監(jiān)控等;第三類為連接控制��,包括負載均衡高可靠性等���;下面分別進行介紹�����。 1.訪問控制 這是限制未授權用戶訪問本公司網絡和信息資源的措施�。評價訪問控制的一個重要因素是要看其能否適用于現行的所有服務和應用����。第一代包過濾
3、技術��,無法實施對應用級協議處理,也無法處理UDP�、RPC或動態(tài)的協議���。第二代應用代理網關防火墻技術,為實現訪問控制需要占用大量的CPU資源���,對Internet上不斷出現的新應用(如多媒體應用)��,無法快速支持. CheckPointFireWall-1的狀態(tài)監(jiān)測技術���,結合強大的面向對象的方法�����,可以提供全七層應用識別,對新應用很容易支持�。目前支持160種以上的預定義應用和協議�,包括所有Internet服務��,如安全Web瀏覽器、傳統Internet應用(mail����、ftp、telnet)�、UDP���、RPC等��,此外,支持重要的商業(yè)應用����,如Oracle
4��、SQL*Net�、SybaseSQL服務器數據庫訪問�����;支持多媒體應用���,如RealAudio�����、CoolTalk����、NetMeeting�、InternetPhone等�����,以及Internet廣播服務�����,如BackWeb、PointCast���?����! ×硗?�,FireWall-1還可以提供基于時間為對象的安全策略定制方法�����?! ireWall-1開放系統具有良好的擴展性���,可以方便的定制用戶的服務�,提供復雜的訪問控制。 2.授權認證(Authentication) 由于一般企業(yè)網絡資源不僅提供給本地用戶使用��,同時更要面向各種遠程用戶�����、移動用戶���、電信用戶的訪問���,
5�、為了保護自身網絡和信息的安全��,有必要對訪問連接的用戶采取有效的權限控制和訪問者的身份識別��。經過認證,FireWall-1能保證一個用戶發(fā)起的通信連接在允許之前���,就其真實性進行確認。FireWall-1提供的認證無須在服務器和客戶端的應用進行任何修改�����。FireWall-1的服務認證是集成在整個企業(yè)范圍內的安全策略���,可以通過防火墻的GUI進行集中管理�。同時對在整個企業(yè)范圍內發(fā)生的認證過程進行全程的監(jiān)控�、跟蹤和記錄。FireWall-1提供三種認證方法: 用戶認證(Authentication) 用戶認證(UA)是基于每個用戶的訪問權限的認證
6�、,與用戶的IP地址無關���,FireWall-1提供的認證服務器包括:FTP��、TELNET���、HTTP、RLOGIN�����?����! A對移動用戶特別有意義����,用戶的認證是在防火墻系統的網關上實施的�����。FireWall-1網關截取需要的認證請求�����,并把該連接轉向相應的安全服務器。當用戶經過認證后,安全服務器打開第二個連接��,接入目的主機,其后續(xù)的數據包都需經過網關上的FireWall-1檢查��?�! 】蛻粽J證(ClientAuthentication) 客戶認證(CA)是基于用戶的客戶端主機的IP地址的一種認證機制���,允許系統管理員提供特定IP地址客戶的授權用戶定制訪
7、問權限的控制����,同UA相比,CA與IP地址相關��,對訪問的協議不做直接的限制��。同樣����,服務器和客戶端無需增加、修改任何軟件��。系統管理員可以決定對每個用戶如何授權����,允許訪問哪些服務器資源�、應用程序����,何時允許用戶訪問,允許建立多少會話等等���。 話路認證(SessionAuthentication) 話路認證(SA)是基于每個話路的�,屬透明認證。實現SA需要在用戶端安裝SessionAgent軟件����。當用戶需要直接同服務器建立連接時,位于用戶和用戶要訪問的目的主機間的防火墻系統網關�����,截獲該話路連接����,并確認是否有用戶級的認證,如果有��,則向話路認證代理(S
8����、essionAgent)發(fā)起一個連接�,由話路認證代理負責響應的認證,決定是否把該連接繼續(xù)指向用戶的請求服務器���?! ?.內容安全檢測(ContentSecurity) 內容安全檢
