[转载]Check Point的FireWall-1
信息来源:Check Point 软件科技公司Check Point的FireWall-1具有强有力的组合访问控制、卓越的性能以及简捷的管理工具。
尽管FireWall-1被认为不是代理类型的防火墙,但它的全状态检查能力非常接近代理类型的防火墙。例如,除了NAT之外,它还提供用户认证,能防止SYN和分割包(packet-fragmentation)攻击,还可以实现基于“put”、“get”命令和文件名的FTP管制。对于SMTP,你可以管制各种命令并丢弃任何超过某一尺寸的邮件,可以检查邮件中的病毒,并可以在邮件离开内部网之前去掉邮件报头信息中有关内部网细节的信息。 FireWall-1还能防止运行可能造成危害的SMTP命令,例如“debug”。在FireWall-1提供这些给人以深刻印象的功能的同时,Raptor的SMTP 代理产品则更进一步,它可以限制外来邮件的邮件报头尺寸以防止缓冲区溢出攻击(buffer overrun attack)。
FireWall-1还可以针对ActiveX和Java程序扫描HTTP流量,实现基于手工输入文件的URL过滤器,或者集成第三方的URL过滤服务。Raptor的HTTP 代理再次超前提供了限制URL长度的功能以防止缓冲区溢出攻击,因为它确实在运行HTTP服务器代码,所以它能够做到只承认有效的HTTP语法。
FireWall-1的用户界面提供了一个集中控制点,使用它可以轻松定义和实现复杂的安全策略。所有的相关主机、网络和服务都被定义成带有关联图标的对象,可以很轻松地将其放入对象组内并用它们自己的图标来描述,然后可以在定义规则时使用这些图标。每个分立规则可以单独指定其他描述集中日志和警告级别的图标。
每个规则有一个注释域用来添加文档,我们在Syracuse大学广泛地使用了这一功能。随着时间的推移,这一功能就会变得非常有用,可以用它来了解为什么指定一个特殊规则,还有日期,甚至添加这一规则的人的名字等信息。4.0版增加了输入规则的能力,然后用一个红色的"X"为它做注释。我们还可以在这一版本中临时隐藏规则,这使得长长的规则列表变得易读。一个友好的用户界面并不能担保安全性,但它可以节约你的时间并减少出错的可能性,而且很容易培训其他人来管理这个防火墙。这个GUI还能让你远程控制大量FireWall-1模块,可以管理Bay、Cisco和3Com的路由器,甚至Cisco的PIX防火墙,并且可以在这些产品之上实现过滤功能。
我们在FireWall-1策略编辑器里启动了日志浏览器。这个浏览器根据选定的日志级别显示源地址和目的地址以及和每个规则有关联的端口。所有这些都带有时间戳和日期戳。所有信息都按照易读的专栏形式排列——描述可接受数据包的条目用绿色文本显示,描述丢弃和拒绝数据包的条目用红色文本显示。用鼠标指向并点击几下,我们就定制了可以在日志浏览器中显示的内容。例如,通过显示丢弃和拒绝数据包的日志条目,我们就可以很容易地发现那些试图进行非法访问的数据包。查找通过防火墙的正常通讯中的意外干扰是一个非常好的方法,日志可以让你看到有关的IP地址和相关服务,而且你可以由此确认出导致正常通讯中断的嫌疑犯。一般来说,对于正常通讯的中断,最新安装的防火墙最有嫌疑。其他产品中在日志信息方面最接近FireWall-1的是AXENT的Raptor。尽管Raptor的日志更新快速而且相当详细,但是它没有对条目进行格式化,而且没有颜色编码,这使得它相当难读。
FireWall-1用户界面中有关NAT的部分令我们感到有些失望。比如为了建立一个静态映射,你就要在相当多的网络对象定义窗口之间出来进去。在映射建立起来之后,规则自动产生并显示在一个非常类似于策略编辑器的规则窗口之中,每个映射对应两个规则。我们发现如果仅简单地浏览视图则很难理解这个配置。我们还必须在Unix命令行下给每个映射设置路由。与之形成鲜明对比的是,尽管Cisco PIX的管理功能一般说来要差一些,但是它的单行命令对于设置NAT来说非常易于理解。然而,尽管FireWall-1运行NAT时的性能要比所有代理类型防火墙好(包括Raptor,它和FireWall-1一样安装在Solaris Ultra 2平台上),但是也显然要比不启用NAT时慢。Check Point在我们的测试进行之前并没有预先告诉我们启动NAT会影响性能。
Check Point通过它的OPSEC(Open Platform for Secure Enterprise Connectivity,安全企业连通性开放平台)向第三方厂商提供API,第三方厂商可以使用这些API开发可以集成到这款防火墙中的产品。结果是100多种产品在内容安全、入侵侦测、容错和报告能力等方面充实了FireWall-1的内建功能。FireWall-1使用一种称作"Inspect"的宏语言创建全状态检查宏,尽管一般用户可能不会钻研这些东西,但这毕竟使得为复杂的新协议定义新的服务成为可能。它还允许Check Point为新的服务定义协议,用户只要简单地从Check Point的Web站点下载这些协议并把它们安装到FireWall-1防火墙上就行了。
Check Point Firewall-I产品功能:
<1>、访问控制(Access Control)
限制未授权用户访问本企业网络和信息资源的措施,访问者必需要能适用于现行的所有服务和应用。FireWall-1支持100 种以上预先定义的应用、服务和协议,支持所有Internet服务,包括安全Web浏览器、电子邮件、FTP
、Telnet及RPC和UDP等。此外还支持重要商业应用,如Oracle SQL*Net,Sybase SQL服务器数据库访问,多媒体应用如RealAudio,VDOLive,CoolTalk ,NetMeeting,Internet Phone等及 Internet广播服务,如
BackWeb和PointCast。
<2>、授权认证(Authentication)
因为企业网络为本地用户及各种远程用户、移动用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采取有效的权限控制和身份识别,以确保系统安全。
<3>.加密(Encryption)
FireWall-1可以对广泛的服务提供透明、可选择的加密方法,允许企业充分利用Internet资源,安全地实现企业网的商务和连接需求。FireWall-1提供多种加密方案、密钥管理及内部证书管理(CA)。
<4>.网络地址翻译(Network Address Translation)
主要防范企业网内部IP地址被公开,并满足企业网上的IP地址能接入Internet上使用及管理。IP地址翻译要求主要源于下列原因:
1.网络管理员为避免网络内部的IP地址于INTERNET上被公开。
2.将内部网络的IP地址翻译成外部可以使用的IP的地址。
FireWall-1提供了透明的地址翻译功能,管理员可以根据需要来定义隐藏内部地址及建立外部IP地址对于内部IP地址范围的功能,以利于接入INTERNET。
<5>.路由安全管理(Router Security Management)
安全管理员可以很轻松地通过GUI 对路由器生成路由过滤和配置,支持路由器的集中管理,通过一个集中管理的主控,可以配置和管理多个路由器上的访问控制列表。改变配置时,也只需在中央管理主控中改变,系统就会自动生成访问控制列表(ACL) ,并把ACL分布到全企业范围的相关路由器中,支持的路由器有3Com,CISCO,Bay。
<6>.内容安全(Content Security)
对高层服务协议提供数据监测功能,保护用户的网络系统及信息资源免遭病毒、恶意Java和Active X应用程序的攻击及含有不必要内容的Web文件的入侵,并提供最佳的Internet访问。FireWall-1利用其FireWall-1安全服务器为HTTP,SMTP及FTP协议提供内容安全监测功能的API接口,用户可根据需要自我选择所需内容的扫描程序,结合支持OPSEC Alliance程序接口,透过GUI的集中管理,达到最安全的内容保护措施。
<7>.连接控制(Connection Control)
提供强大的连接功能,保证系统在安全的环境中达到最高的性能,其中最具代表性的的两种功能为:
服务器负载均衡(Server Load Balancing)
FireWall-1模块同步运行(Synchronization of FireWall-1 Modules)
<8>.记帐(Auditing)
可提供用户在网络中的活动情形记录,如入、退网时间,传送的字节数、包数量等。
<9>.企业安全策略管理(Enterprise-wide Security Managemant)
透过提供集中的安全管理机制,只要在一工作站中,即可在保障网络安全性的条件下,实时对网络配置控制及实时报警等功能。
FireWall-1 4.0 新特性
增强的安全性:数字证书,Internet密钥交换(IKE)和用户认证
提高网络性能:VPN加速器硬件加密
策略管理扩展:LDAP用户管理和安全向导
系统需求
硬件平台
HP-PA 9000/700 and 800
IBM RS-6000 and PowerPC
Intel x86 or Pentium
Sun SPARC-based systems
操作系统
HP-UX 10.10 and 10.20
IBM AIX 4.2.1 and 4.3.0
Solaris 2.5 and 2.6
Windows NT 4.0
最小硬盘
30M
最小内存
64M 现在已经是NGX平台了.
页:
[1]