当各种企、事业网络与Internet相联之后,其安全性就成为一个至关重要的问题。防火墙随之应运而生,它是一个加强机构网络与Internet之间安全访问的控制系统。本文介绍了防火墙市场的主导产品——Check Point公司的Fire Wall-1 的一些功能特点,以供网络安全管理人员以及参与防火墙设计的人员借鉴。
Fire Wall -1 的功能特点
对应用程序的广泛支持
Fire Wall-1支持预定的应用程序,服务和协议120多种(比其他同类产品都多)。Fire Wall-1 既支持Internet网络的主要服务(如Web browser, E-mail, FTP, Telnet等)和基于TCP协议的应用程序,又支持基于PRC和UDP一类非连接协议的应用程序。而且,如今惟有Fire Wall-1支持刚出现的如Oracle SQL Net数 据库访问这样的商务应用程序和象Real Audio, VDOLive和Internet Phone这样的多媒体应用程序。在软件业,Check Point公司的合作伙伴是最广泛的。凭借 Fire Wall-1的技术优势,Check Point今后对应用程序的支持会更多更广泛。
Fire Wall-1的开放式结构设计为扩充新的应用程序提供了便利。新服务可以在弹出式窗口中直接加入,也可以使用INSECT(Check Point功能强大的编程 语言)来加入。Fire Wall-1这种扩充功能可以有效地适应时常变化的网络安全要求。
集中管理下的分布式客户机/服务器结构
Fire Wall-1采用的是集中控制下的分布式客户机/服务器结构,性能好,配置灵活。公司内部网络可以设置多个Fire Wall-1模块,由一个工作站负责监控。对于受安全保护的信息,客户只有在获得授权后才能访问它。灵活的配置和可靠的监控使得Fire Wall-1成为Internet单网关或整个企业网安全保障的首选产品。
网络安全的新模式——Stateful Inspection技术
Stateful Inspection采用了一个检测模块(一个在网关上执行网络安全策略的软件引擎)。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据(状态信息)并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。Fire Wall-1的“状态监视技术”的工作性能超过传统的防火墙达两倍以上. Fire Wall-1在通信网络层截取数据包,然后在所有的通信层上抽取有关的状态信息,据此判析该通信是否符合安全政策。与其它安全方案不同,当用户访问到达网关的操作系统前,Stateful Inspection 要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给庐通信加密等决定。一旦某个访问违反安全规定,安全报警就会拒绝该访问,并作记录,向系统管理器报告网络状态。
远程网络访问的安全保障(Fire Wall-1 SecuRemote)
远程网络访问的安全保障系统采用透明客户加密技术,通过拨号方式与Internet 网连接。实现世界范围内可靠的加密通信。当前,衡量一个企业网点的工作性能首先要看它是否能够为远程工作站,移动用户提供安全的访问服务。Fire Wall-1严格的鉴定过程和加密服务恰好满足这一要求。Fire Wall-1面向用户的图形界面可以很容易修改安全策略,它的log Viewer 可以监视网上的通信情况
Fire Wall-1 的远程网络访问的安全保障
鉴定
Fire Wall-1的用户鉴定功能是指通过一个扩充的登录过程鉴定Telnet、FTP 和HTTP的用户身份。此外,Fire Wall-1还有一个独创功能——客户鉴定。客户鉴定的机制可以用以鉴别任何应用(标准的或自定的)的客户。无论它是基于TCP 、UDP还是RPC协议。采用客户鉴定时,授权是按机器进行的,因为这种服务并无登录的步骤。无论用户鉴定还是客户鉴定都不会对服务器和应用程序有任何影响。鉴定采用标准密码或标准结卡或软件之类的密码机加ID和S/key。
SecuRemote远程加密功能
Fire Wall-1的SecuRemote客户加密软件保护用户与防火墙的通信。用户的数据从Windows 95发出就是经过SecuRemote加密的,这一过程用户是毫无察觉的。对网络进行访问的移动用户或远方访问用户,为了安全起见,采用SecuRemote 将是思想的选择,而且Secu Remote支持动态IP地址,对于拨号连接的用户恰好适用,对于LAN网内需要加密保护的通信也是适用的。
共2页: 上一页 1 [2] 下一页
|
