|
|
CheckPoint防火墙简介与Next Generation
FireWall-1 产品组成
基本模块:
状态检测模块(Inspection Module):提供访问控制、客户机认证、会话认证、地址翻译和审计功能;
防火墙模块(FireWall Module):包含一个状态检测模块,另外提供用户认证、内容安全和多防火墙同步功能;
管理模块(Management Module):对一个或多个安全策略执行点(安装了FireWall-1 的某个模块,如状态检测模块、防火墙模块或路由器安全管理模块等的系统)提供集中的、图形化的安全管理功能;
可选模块
连接控制(Connect Control):为提供相同服务的多个应用服务器提供负载平衡功能;
路由器安全管理模块(Router Security Management):提供通过防火墙管理工作站配置、维护 3Com,Cisco,Bay 等路由器的安全规则;
其它模块,如加密模块等。
图形用户界面(GUI):是管理模块功能的体现,包括
策略编辑器:维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去;
日志查看器:查看经过防火墙的连接,识别并阻断攻击;
系统状态查看器:查看所有被保护对象的状态。
FireWall-1 提供单网关和企业级两种产品组合:
单网关产品:只有防火墙模块(包含状态检测模块)、管理模块和图形用户界面各一个,且防火墙模块和管理模块必须安装在同一台机器上
企业级产品:可以有若干基本模块和可选模块以及图形用户界面组成,特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。
FireWall-1 支持的硬件及操作系统
支持平台: HP-PA9000/700 and 800
Intel x86 or Pentium
Sun SPARC-based systems
IBM RS-6000 and PowerPC
操作系统: HP-UX 9.x and 10.x
Solaris 2.5 and 2.6
Sun OS 4.1.3 and 4.1.4
WindowsNT 3.51 and 4.0
IBM AIX
监测模块支持: BayNetworks
U.S.Robotics'EdgeServers
XylanSwithes
TimeStepEncryptionDevices
Windows系统平台: WindowsNT
Windows95
X/Motif,OpenLook 1.3
FireWall-1 V4.1 的主要特点
从网络安全的需求上来看,可以将 FireWall-1 的主要特点分为三大类:
安全性,包括访问控制、授权论证、加密、内容安全等;
管理和记账,包括安全策略管理、路由器安全管理、记账、监控等;
连接控制,主要为企业消息发布的服务器提供可靠的连接服务,包括负载均衡、高可靠性等;下面分别进行介绍。
1. 访问控制
这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术,无法实施对应用级协议处理,也无法处理 UDP、RPC 或动态的协议。第二代应用代理网关防火墙技术,为实现访问控制需要占用大量的 CPU 资源,对 Internet 上不断出现的新应用(如多媒体应用),无法快速支持。
Check Point FireWall-1 的状态监测技术,结合强大的面向对象的方法,可以提供全七层应用识别,对新应用很容易支持。目前支持160种以上的预定义应用和协议,包括所有 Internet 服务,如安全 Web 浏览器、传统 Internet 应用(mail、ftp、telnet)、UDP、RPC 等;此外,支持重要的商业应用,如 Oracle SQL*Net 、Sybase SQL 服务器数据库访问;支持多媒体应用,如 RealAudio、 CoolTalk、etMeeting、InternetPhone 等,以及 Internet 广播服务,如 BackWeb、oint- Cast。
另外,FireWall-1 还可以提供基于时间为对象的安全策略定制方法。FireWall-1 开放系统具有良好的扩展性,可以方便的定制用户的服务,提供复杂的访问控制。
2. 授权认证(Authentication)
由于一般企业网络资源不仅提供给本地用户使用,同时更要面向各种远程用户、移动用户、电信用户的访问,为了保护自身网络和信息的安全,有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证,Firewall-1 能保证一个用户发起的通信连接在允许之前,就其真实性进行确认。FireWall-1 提供的认证无需在服务器和客户端的应用进行任何修改。FireWall-1 的服务认证是集成在整个企业范围内的安全策略,可以通过防火墙的 GUI 进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。
FireWall-1 提供三种认证方法:
用户认证(User Authentication):
用户认证(UA)是基于每个用户的访问权限的认证,与用户的 IP 地址无关, FireWall-1 提供的认证服务器包括:FTP、TELNET、HTTP、RLOGIN。UA 对移动用户特别有意义,用户的认证是在防火墙系统的网关上实施的。FireWall-1 网关截取需要的认证请求,并把该连接转向相应的安全服务器。当用户经过认证后,安全服务器打开第二个连接,接入目的主机,其后续的数据包都需经过网关上的 FireWall-1 检查。
客户认证(Client Authentication):
客户认证(CA)是基于用户的客户端主机的 IP 地址的一种认证机制,允许系统管理员提供特定 IP 地址客户的授权用户定制访问权限的控制,同 UA 相比, CA 与 IP 地址相关,对访问的协议不做直接的限制。同样,服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户如何授权,允许访问哪些服务器资源、应用程序,何时允许用户访问,允许建立多少会话等等。
会话认证(Session Authentication):
会话认证(SA)是基于每个话路的,属透明认证。实现 SA 需要在用户端安装 Session Agent 软件。 当用户需要直接与服务器建立连接时,位于用户和用户要访问的目的主机间的防火墙系统网关,截获该话路连接,并确认是否有用户级的认证,如果有,则向话路认证代理(Session Agent)发起一个连接,由话路认证代理负责响应的论证,决定是否把该连接继续指向用户的请求服务器。
FireWall-1 提供以下认证方案(Schemes):
SecurID -- 该认证属于利用外部服务器提供的认证方法,系统要求用户输入 Security Dynamics SecuID 卡上显示的数据。
S/Key -- 该认证属于 one-time 密码体系,每次要求输入的密码是不同的 。
OS Password -- 系统要求用户输入本人的 OS 密码。
Internal -- 在防火墙系统内建立的用户和密码,系统要求用户输入该密码。
Agent -- 为利用外部安全服务器提供的认证方法,系统要求用户根据 Agent Server 定义的方式对应系统。
RADIUS -- 为利用外部安全服务器提供的认证方法,系统要求用户按 RADIUS 服务器定义的方式对应系统。
3. 内容安全(Content Security)
内容安全是 Check Point FireWall-1 V3.0 提供的新功能。它把 FireWall-1 具有的数据监测功能扩展到高层服务协议,保护用户的网络、信息资源免遭宏病毒、恶意 Java 、ActiveX 小应用程序及不需要内容的 Web 文件的入侵和骚扰,同时又能提供向 Internet 的较好访问。
FireWall-1 中的内容安全是与 FireWall-1 其他特性完全集成在一起的,可以通过 GUI 集中管理。另外,Check Point 的 OPSEC Alliance 程序的接口,企业可以根据需要自由选择内容扫描程序,以取得最佳效果。
FireWall-1 提供以下内容安全机制:
计算机病毒扫描
病毒检查对企业的网络安全是至关重要的,同时对如何实施病毒检查策略也不容忽视, 要取得理想的效果,应在访问网络的每一个点上实施病毒检查,而不应该交给每个用户自己去实施。FireWall-1 内容扫描,通过 OPSEC 联盟伙伴提供业界领先的防病毒程序。用户可以自由选择 OPSEC 联盟中的任何程序。防病毒程序可以与 FireWall-1 运行在两个不同的服务器上,这种特性允许系统管理员采用集中方式管理整个企业的安全策略。
URL 扫描(URL Screening)
URL 扫描允许网络管理员设定对某些 Web 页面的访问权,从而有效的节 IDC 的网络带宽,增加网络层的另一级别的控制机制。该机制可以实现内部员工之间对不同信息的不同访问权限的安全策略。URL 扫描支持以下三种方式设定:统配符设定、按文件名设定、按第三方URL数据库设定。
Java、ActiveX 小应用程序的剥离
FireWall-1 内容安全管理可以保护企业免遭 Java、ActiveX 的攻击。系统管理员可以按一定的条件,如 URL、授权认证用户名等,控制进入的 Java、ActiveX 代码。FireWall-1 提供以下 Java、ActiveX 扫描能力:
从 HTML 页中剥离 Java 小应用标识(Tags);
剥离所有服务器到客户端的响应(Response)中的 Java 小应用程序,不管响应是否为压缩文件或文档;
阻止可疑回应的连接,防止 Java 的攻击;
从 HTML 页中剥离 ActiveX 标识;
从 HTML 页中剥离 javascript 标识;
支持 Mail(STMP)
Mail 是在企业通信中广泛使用的 Internet 工具。SMTP 不仅支持 E-mail,同时支持附贴的文件,为了防止来自利用 Internet E-mail 工具的攻击,FireWall-1 对 SMTP 连接提供高粒度的控制:
隐藏向外发送的 FROM 地址,用对的一个通用 IP 地址代替,以达到隐藏内部网络结构和真实用户身份的目的;
重定向 MAIL 到给定的 TO 地址;
丢弃来自给定地址的邮件;
剥离邮件中给定类型的附贴文件;
从向外发送的邮件剥离 Receival 信息,以达到隐藏内部地址的目的;
丢弃大于给定大小的邮件;
防病毒扫描;
HTTP 过滤 URL
资源可以提供定义方案(HTTP、FTP)、方法(GET、POST)、主机(如“* .com”)、路径和查询。也可以通过文件指定要过滤的 IP 地址、服务器列表。
支持 FTP
FireWall-1 中的 FTP 安全服务器提供认证服务和基于 FTP 命令的内容安全服务。支持 PUT、GET 、文件名限制、防病毒检查。例如,一旦定义了对 FTP“GET”命令制定防病毒检查功能,FireWall-1 会自动截获 FTP“GET”访问,把传送的文件转发给防病毒服务器,经过防病毒服务器检查后把结果传回防火墙模块。这一切对用户来说都是透明的。
4. 加密(FireWall-1 的 VPN 技术)
企业、合作伙伴、分公司、移动用户之间的长距离通信已成为商业联系的关键。传统方法中的点对点的连接方式即缺乏灵活性,成本又高,无法大规模的使用。随着公共网络的发展,如 Internet,作为一种灵活、价格低廉的网间互联工具,已越来越成为企业采用的方法。但如何在公共网络上实现企业信息的安全传输是一个关键问题。
我们把一个利用了部分公共网络资源组成的私用网络称为虚拟专用网(VPN)。VPN 技术在低费用、灵活性方面明显要比传统的定制专用网占优势,VPN 技术的引进,为全球范围内的企业连接提供了高度灵活、安全、可靠、廉价的方法。采用 VPN 技术,每个专用网只要接入本地的 Internet 供应商即可。如果要想增加新的连接既简单又价格低廉。但是,接入公共网络又使企业面临安全方面的新问题,要防止未授权的 Internet 访问、保证信息不被窃取和篡改等。
FireWall-1 提供160多种预定义协议的可选择、透明的加密算法,允许企业充分利用 Internet 资源,安全地实现其所有商业和接入需求。FireWall-1 提供多种加密方案、密钥管理和内部权威认证机构(Certificate Authority)。
安全的 VPN
安装了防火墙的网关对基于 Internet 的网网之间信息传输进行了加密,提供安全的 VPN 技术 。VPN 中的专用网之间的加密由 FireWall 实施,无需在每一台主机上都安装加密软件。由网关代替受其保护的 LAN 和一组 LAN 间的信息加密。在网关后的信息包是不加密的。
可选的加密
FireWall-1 允许对同一工作站和网络之间按协议选择加密或明文传送方式。对主机来说,无需对所有的通讯进行加密,提高了网络的效率。 FireWall-1 支持以下三种加密方案:
FWZ -- 该方案为 FireWall-1 内置的专利加密和密钥管理方案,主要采用 FWZI 和 DES 加密算法,普通 PC 端每秒可以处理 10M 的数据流,加密以后的数据包长度不变,该方法对 IP 包头不加密。
Manual IPsec -- 为固定密钥加密和认证算法,密钥需通过其他途径手工交换,加密后的 IP 包长度增大,同时对 IP 包头进行了加密。
SKIP -- 为 Simple Key for Internet Protocol 的缩写。 SKIP 是一种新性的密钥管理协议,可在网络上自动地实现加密和认证密钥的分配。
其中 Manual IPsec、SKIP 是 IETF 工程组下 IP 安全协议工作组(IPsec) 对 Internet wl 制定的安全标准的一种实现。IPsec 主要提供 IP 层加密和认证的一种总体框架,采用的加密算法主要有 DES、TripleDES、SHA-1 等。
5. SecuRemote 模块
FireWall-1 SecuRemote 使 Win95 和 WinNT 的移动用户和远程用户得以访问他们的企业网络,可以直接或通过 ISP 连接到企业的服务器,同时保证企业敏感数据的安全传送。该模块把 VPN 技术扩展到了远程用户。
SecuRemote 是一种称为客户端加密的技术。因为 SecuRemote 在数据离开客户端平台前就已对数据进行了加密,故能为远程的用户到企业防火墙系统间的通讯连接提供完全的安全解决方案。FireWall-1 SecuRemote 可以透明地加密任何 TCP/IP通讯,没有必要对现有的用户使用的网络应用程序作任何修改。FireWall-1 SecuRemote 支持任何现有的网络适配卡和 TCP/IP 栈。运行 SecuRemote 的 PC 机可以连接到 VPN 中的多个不同的地点。
SecuRemote 支持以下特点:
- 支持动态 IP 地址
- 提供 DH、RSA 算法的用户认证
- 支持 FWZ、DES 加密算法
6. 路由器安全管理(Router Security Management)
FireWall-1 对路由器安全管理提供一个较好的解决方案。系统管理员可以通过 GUI 生成路由过滤和配置。目前,支持的路由器有 3COM、CISCO、Bay 。利用 FireWall-1 的面向对象的定义网络对象方法,可以把路由器定义为防火墙安全策略中的一个网络对象,经过定义的路由器对象可以作为普通网络对象在 GUI 的安全策略中方便应用。利用 GUI 中支持的点击式操作,无需了解路由器具体命令,就可以对路由器实现安全策略加载。
同时,配置变化相当的直观。如果基本安全策略配置影响到多个网络对象,系统会自动改变所有相关的路由器。一旦网络对象改变,只需单击“LoadPolicy”按钮,ACL 就被自动更新。
FireWall-1 支持路由器的集中管理。通过一个集中的管理主控,可以配置和管理多个路由器上的访问控制列表。如果需要改变配置,只要在中央管理主控中改变一次,系统可自动生成访问控制列表,并自动地把 ACL 分布到整个企业范围内的相关路由器中。
7. 地址翻译(NAT)
FireWall-1 提供 IP 地址翻译的能力。IP 翻译可以满足以下两种需求: 隐藏企业内部 IP 地址和网络结构;
把内部的非法 IP 地址翻译成合法的 IP 地址;
Internet 技术是基于 IP 协议的,为了通过 IP 协议进行通信,每个参与通信的设备必须具有一个唯一的 IP 地址。这在不与 Internet 相连的内部物理网络上是较易做到的。但是,一旦企业要接入 Internet,则IP地址必须是全球唯一的,同时由于 IP 地址空间有限,现在要申请整段的 IP 地址已很困难,为了有效地利用有限的 IP 地址空间,LANA 为 Internet 预留了三段地址空间,允许企业内部使用。总之,企业接入 Internet 后在 IP 地址方面会遇到需要对原非法地址合法化和隐藏内部地址两个问题。
FireWall-1 NAT 支持动态和静态地址翻译:
动态模式(Dynamic Mode/Hide Mode )
把所有要通过防火墙系统连接的内部主机 IP 地址全部映射到同一个合法的 IP 地址, 对内部含非法地址的不同主机间采用动态分配的端口号进行区别。因为 IP 地址是按动态的方式使用的,故这种方式只用于由内部主机发起的向外部主机的通信。可以防止电子欺骗。
动态模式有以下几点限制:
不允许从外部主机发起的内向连接;
不能用于端口号不能改变的服务协议;
不能用于当外部服务器必须使用基于 IP 地址来区别客户端的应用, 因为所有客户端共享相同的地址.
静态模式(Static Mode)
该方式分为静态源模式和静态目的模式。
静态源模式把非法的 IP 地址翻译成合法的 IP 地 址,在具有非法地址的内部客户机发起的连接时采用该模式。源模式可以保证内部主机具有唯一的、确定的合法 IP 地址,常同静态目的模式一起使用。
静态目的模式把合法地址翻译成非法地址,用于由外部客户端发起的连接。因内部网络中的服务器采用非法的 IP 地址,为了保证从外部进入内部网络的数据包能正确地到达目的地,在这种情况下需采用静态目的模式。静态目的模式经常同静态源模式一起使用。
另外,在实现地址翻译时,需要重新配置网关中的路由表,以确保数据包能到达防火墙网关及网关能正确地把包传送给内部主机。IANA 建议因为 IP 地址空间的限制,IANA 为私用网络保留了以下三块 IP 地址空间,这些地址永远不会在 Internet 合法地址中出现,允许企业自由采用(参见下表)。
类型
IP 地址
子网掩码
A
10.0.0.0
10.255.255.255
B
172.16.0.0
172.31.255.255
C
192.168.0.0
192.168.255.255
企业在建设 Internet 时应采用 IANA 为私用网预留的 IP 地址空间,如果内部网络的非法 IP 地址与外部主机的 IP 地址相同,则在这两台主机之间就无法通信,因为地址翻译是在网关的外部接口中执行的,故发送主机本身会直接把数据包返回给源主机,数据包根本到达不了防火墙网关。
8. 负载均衡(Load Balance)
FireWall-1 负载均衡特性能使提供相同服务的多个服务器之间实现负载分担。所有的 HTTP 服务器都可以为 HTTP 客户机提供相同的服务,另外不要求所有的服务器都在防火墙之后。同样,其中的 FTP 服务器也可以对所有的 FTP 客户机提供相同的服务。
FireWall-1 提供以下负载均衡算法:
Server Load:该方法由服务器提供负载均衡算法。需要在服务器端安装负载测量引擎;
Round-Trip:FireWall-1 利用 PING 命令测定防火墙到各个服务器之间的循回时间,选用循回时间最小者响应用户要求;
Randam:FireWall-1 随机选取防火墙响应;
Domain:FireWall-1 按照域名最近的原则,指定最近的服务器响应;
9. 日志、报警、记帐能力
FireWall-1 可以对用户在网络中的活动情况进行记录,如对用户入退网时间、传送的字节数、传送的包数等进行记录。同时 FireWall-1 提供实时的报警功能,报警方式可以是通知系统管理员、发送 E-mail、发送 SNMP 给其他网络系统或激活用户定义的报警方式,如接入寻呼机等。
FireWall-1 允许系统管理员对选择的连接进行记账处理。一旦定义了记账功能后, FireWall-1 在通常的记录字段信息外,还记录用户连接的持续时间,传送的字节数、包数量,系统管理员可以用命令生成记账报表,也可以通过 FireWall-1 通过的安全机制 (加密和认证)把记账信息转入第三方的报表应用程序或数据库中。
Check Point Next Generation
当今的网络安全专家发现,综合的安全解决方案正在变得越来越难管理、扩展和集成。 随着企业规模不断扩大,安全策略、对象和用户数量不断增加,带来了不可避免的安全策略的复杂性;其次,企业网络环境中,部署多个安全产品或多种安全技术的需求在近一两年增长了50%~100%;另外,企业用户也在不断增多,企业 Internet 流量在急剧增加。我们面临的种种挑战都对安全产品在管理、性能和扩展性方面提出了更高的要求。
正是基于当前和未来将面临的挑战,Check Point 历经三年研发出了我们的新一代产品 -- Check Point Next Generation,该产品已经向全球的用户销售。
NG 可以说是 Check Point 解决方案中最重要的版本,它包括了 Check Point 以前所有的产品(VPN-1/FireWall-1、FloodGate-1,Management Console 等),并针对以前的技术核心进行了重新设计,使它能游刃有余地胜任当前和未来用户的需求。Check Point NG 向业界提供的是最先进的互联网安全、VPN 和管理解决方案。用户领略到的是 NG 无与伦比的可管理能力、可靠性和性能。
一、 更加简单的安全管理
Check Point NG 管理构架是一种创新的互联网安全管理基础结构,提供了无与伦比的效率、可扩展性和集成能力,满足了客户当今乃至将来的需要。
Check Point Next Generation 用户界面
Check Point NG 用户界面是对安全管理员管理日益复杂的安全环境方法的一种创新。Check Point NG 用户界面采用功能强大的图形管理能力,为安全管理员提供安全性系统(即,防火墙、VPN、服务器、网络等)中各种对象的详细图形及网络拓扑。安全管理员利用这些图形突出表示这些对象的位置、编辑的对象、充分展示安全策略规则,并通过图形确认各项安全规则所要起到的作用。 通过在传统基于策略的管理控制台上增加视图能力,是对 Check Point 的业界领先的用户界面的补充。
*安全对象作为安全策略的组成部分,被用来创建网络拓扑图。
*直接点击拓扑图上的网络对象,就能对其属性进行编辑
*策略规则可在图形中得到演示,确保它们起到预期的效果。在图中还可定位并突出显示安全对象,如网络和服务器等。
*现在制定安全规则时,只需将网络对象编辑器中定制的网络对象用鼠标拖放到相应的安全规则栏目中即可。
全面的管理和集成
Check Point NG 界面通过将众多的安全因素紧密集成在一起,为客户提供了高效的管理手段,这些安全因素包括:各种安全对象地制定、VPN 和防火墙安全策略、地址转换、流量管理和控制策略、VPN 客户端安全策略和 OPSEC 第三方产品集成管理。用户通过一个集中的管理构架就能轻松地管理全局的安全策略。
SecureUpdate -- 保证安全随时更新
今天的网络安全实施点已经遍布到整个网络中。由于需要管理众多安全产品,企业在人员配置方面将会面临很大挑战。所以如何进行有效的安全管理就成为当今面临的巨大挑战。保证一个组织机构的安全不仅需要合适的安全产品,而且要保持这些产品总是处于最新,这样才能保证提供最高的安全性。Check Point NG 提供的 SecureUpdate 工具能够从中央管理控制台自动向分布式安全执行点进行软件(包括新的补丁程序、新版本软件等)和许可证更新。这样保证了企业全局安全设置总是处于最新状态。SecureUpdate 提供了更出色的控制能力和效率,而维护成本却大大降低。
安全策略审计跟踪
Check Point NG 提供的记录文件包括更加丰富的结构化的安全信息,它将日志分为更容易查看的几大类:连接、审计、计费信息及针对防火墙、VPN、QoS、隧道等专用信息。当前,它还提供了对管理员操作的审计跟踪能力。安全管理员的登录/注销、网络对象的修改、安全策略的建立等,均可记录在日志文件中。它能帮助我们更好进行安全策略的管理。
实现安全管理的高可用性
使用过 Check Point 产品的用户都知道,Check Point 有针对网关产品实施高可用性的解决方案。作为中央集成的管理策略,当安全管理服务器出现故障时,无疑是对我们完全性的挑战。Check Point NG 的管理服务器能够支持使用一个或更多辅助管理服务器来保证当主管理服务器出现问题时,辅助管理服务器接替其所有工作,继续保证安全管理地连续可用。Check Point NG 解决了安全网络环境中任何一个细节可能出现的单点故障问题。
二、NG 的性能
Check Point NG 产品采用开放的方法,利用先进的技术和良好的合作关系来满足高性能安全解决方案的需要。
Check Point NG 新的状态监测技术整合优化了通信状态表,使之查询和修改效率更高。举例来说,Check Point NG 防火墙产品性能能够达到以前产品的一倍以上。另外,新的状态监测技术进行了模块化设计;这样,多种安全功能就可以集成到硬件上,以实现最大可能的性能。Check Point 提出的 SecureXL 是一种用于集成硬件安全加速器的新型加速接口,该接口提供各种安全功能包括防火墙、VPN、NAT 和公钥操作的加速。
Check Point 正在宣布一系列与业界领先的硬件供应商的合作关系,他们将一起构建 SecureXL 兼容的硬件解决方案。客户将具有多种加速选项,包括 PCI 插件卡和专用加速设备。
三、Next Generation VPN-1 系统
Check Point 的 VPN-1 NG 产品中包括建立了新行业性能标准的多种创新技术。VPN-1 NG 产品,为满足下一代互联网的安全需要而部署,能够提供最佳的扩展性和可靠性。
VPN 自动部署 -- Internet Certificate Authority
我们知道 Check Point 管理服务器和安全执行点之间通信是加密的,以前的版本我们采用 Check Point 自己的加密方式 FWZ,而 NG 产品为了更好地适应当今网络环境飞速的增长,使管理和扩展达到更高的标准,在管理服务器上内置了 ICA。ICA 是一个集成的内部认证授权中心,它可向 Check Point 安全执行点产品提供基于 X.509 的数字证书服务,包括证书的生成、授权和撤消等。安全执行点在安装过程中自动从管理服务器处申请到一个数字证书安装到本地,然后通过基于 SSL 的标准通信方式构成所有安全执行点之间的保密通信。用户无需创建复杂的 VPN 隧道就能将新的 VPN/FireWall-1 网关加入到通信网络中,大大减轻了用户实施安全产品过程中的烦琐操作。
实时性能监视
VPN-1 NG 产品中包括成熟的 VPN 隧道性能监视机制,它所采用的综合工具为网络管理人员提供了对端到端 VPN 隧道性能的实时分析能力。网络管理员可以利用分析结果来作出如何以及在何处提高 VPN 系统性能的明智决策。
实现端到端的 VPN 服务质量
当前,FloodGate-1 NG 产品支持 DiffServ 服务。DiffServ 是一种领先的 IP QoS 标准,能够保证在 Internet 公网上进行关键业务传输时,向关键业务通信提供与点对点连接或专线等效的可靠性,保证端到端的通信质量。
Next Generation VPN 客户端
Check Point 的 VPN-1 SecureClient NG 产品是利用集成的个人防火墙来保护远程用户宽带或拨号连接,向它们提供真正的、端到端互联网安全的 VPN 解决方案。同时,这种创新的客户端方案还提供了全面的管理能力来简化大规模的 VPN 的部署和后续管理。
针对远程用户制定详细的安全策略
VPN-1 SecureClient 为 VPN 客户机提供了综合、灵活和基于策略的安全性。防火墙策略、记录和告警能够保护客户机免遭非法用户访问和潜在的攻击,而随着“Always-ON”连接的使用,这些风险的可能性也大大提高。NG产品使管理员能够为具体的用户组定义更加细致的安全策略。
安全配置验证(SCV)
安全配置验证是指在客户端系统上运行检查程序以确定是否进行了安全配置。例如:检查防病毒软件是否安装在客户端上。一旦 SCV 检查通过,客户端才被允许与总部建立 VPN 隧道进行加密通信。 SCV 检查程序可以由 Check Point OPSEC 合作伙伴或客户自己创建。
VPN 客户机管理
除了集成客户机安全性以外,VPN-1 SecureClient NG 产品还包括两种新的特性来帮助完成客户机软件的分发和后续维护:
VPN-1 SecureClient 打包工具
VPN-1 SecureClient 打包工具能够创建安装在客户端系统上的自执行的程序包。远程用户无需专业知识或复杂的操作就能安装 VPN-1 SecureClient,大大降低了管理和费用。
软件分发服务
软件分发服务使客户端软件能够自动升级,远程用户无需下载或安装新的服务包或升级软件,管理员也无需向用户分发客户端更新软件。这样,客户端软件时刻保持最新,安全性也得到了最好的保证。
Check Point防火墙简介
当各种企、事业网络与Internet相联之后,其安全性就成为一个至关重要的问题。防火墙随之应运而生,它是一个加强机构网络与Internet之间安全访问的控制系统。本文介绍了防火墙市场的主导产品——Check Point公司的Fire Wall-1 的一些功能特点,以供网络安全管理人员以及参与防火墙设计的人员借鉴。
Fire Wall -1 的功能特点
对应用程序的广泛支持
Fire Wall-1支持预定的应用程序,服务和协议120多种(比其他同类产品都多)。Fire Wall-1 既支持Internet网络的主要服务(如Web browser, E-mail, FTP, Telnet等)和基于TCP协议的应用程序,又支持基于PRC和UDP一类非连接协议的应用程序。而且,如今惟有Fire Wall-1支持刚出现的如Oracle SQL Net数 据库访问这样的商务应用程序和象Real Audio, VDOLive和Internet Phone这样的多媒体应用程序。在软件业,Check Point公司的合作伙伴是最广泛的。凭借 Fire Wall-1的技术优势,Check Point今后对应用程序的支持会更多更广泛。
Fire Wall-1的开放式结构设计为扩充新的应用程序提供了便利。新服务可以在弹出式窗口中直接加入,也可以使用INSECT(Check Point功能强大的编程 语言)来加入。Fire Wall-1这种扩充功能可以有效地适应时常变化的网络安全要求。
集中管理下的分布式客户机/服务器结构
Fire Wall-1采用的是集中控制下的分布式客户机/服务器结构,性能好,配置灵活。公司内部网络可以设置多个Fire Wall-1模块,由一个工作站负责监控。对于受安全保护的信息,客户只有在获得授权后才能访问它。灵活的配置和可靠的监控使得Fire Wall-1成为Internet单网关或整个企业网安全保障的首选产品。
网络安全的新模式——Stateful Inspection技术
Stateful Inspection采用了一个检测模块(一个在网关上执行网络安全策略的软件引擎)。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据(状态信息)并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。Fire Wall-1的“状态监视技术”的工作性能超过传统的防火墙达两倍以上. Fire Wall-1在通信网络层截取数据包,然后在所有的通信层上抽取有关的状态信息,据此判析该通信是否符合安全政策。与其它安全方案不同,当用户访问到达网关的操作系统前,Stateful Inspection 要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给庐通信加密等决定。一旦某个访问违反安全规定,安全报警就会拒绝该访问,并作记录,向系统管理器报告网络状态。
远程网络访问的安全保障(Fire Wall-1 SecuRemote)
远程网络访问的安全保障系统采用透明客户加密技术,通过拨号方式与Internet 网连接。实现世界范围内可靠的加密通信。当前,衡量一个企业网点的工作性能首先要看它是否能够为远程工作站,移动用户提供安全的访问服务。Fire Wall-1严格的鉴定过程和加密服务恰好满足这一要求。Fire Wall-1面向用户的图形界面可以很容易修改安全策略,它的log Viewer 可以监视网上的通信情况
Fire Wall-1 的远程网络访问的安全保障
鉴定
Fire Wall-1的用户鉴定功能是指通过一个扩充的登录过程鉴定Telnet、FTP 和HTTP的用户身份。此外,Fire Wall-1还有一个独创功能——客户鉴定。客户鉴定的机制可以用以鉴别任何应用(标准的或自定的)的客户。无论它是基于TCP 、UDP还是RPC协议。采用客户鉴定时,授权是按机器进行的,因为这种服务并无登录的步骤。无论用户鉴定还是客户鉴定都不会对服务器和应用程序有任何影响。鉴定采用标准密码或标准结卡或软件之类的密码机加ID和S/key。
SecuRemote远程加密功能
Fire Wall-1的SecuRemote客户加密软件保护用户与防火墙的通信。用户的数据从Windows 95发出就是经过SecuRemote加密的,这一过程用户是毫无察觉的。对网络进行访问的移动用户或远方访问用户,为了安全起见,采用SecuRemote 将是思想的选择,而且Secu Remote支持动态IP地址,对于拨号连接的用户恰好适用,对于LAN网内需要加密保护的通信也是适用的。
虚拟专用网络
Fire Wall-1的加密模块可以在Internet网上建立完全保密的信道。在公共线路上传输保密数据,Fire Wall-1可以确保与远程工作站通信的安全性和灵活性,而费用要比租用专用线路少得多。可选择的加密方式:Fire Wall-1可采用DES或FWZ1两种加密算法,网络与工作站之间既能传输明码数据又能传输加密数据。DES和FWZ1可同时配置,用户依据效率、安全性和传输速度选择最佳方式。
集成的、易操作的密钥管理程序
Fire Wall-1可自动产生和维护各类密钥。应用Diffire-Hellman模式,每一个加密通信将产生一对高度保密的公共和专有密钥。利用SRA技术,可以实现通信的确认授权。为了便于安装、管理和控制,Fire Wall-1保留了路由选择的优先权和策略,这也提高了工作效率。
附加安全措施
防电子欺骗术 Fire Wall-1的防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。Fire Wall-1还会对可疑信息进行鉴别,并向网络管理员报警。
网络地址转换 Fire Wall-1的地址转换是对Internet隐藏内部地址,防止内疗地址公开。这一功能克服了IP寻址方式的诸多控制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可对Internet进行访问。
开放式结构设计 Fire Wall-1的开放式结构设计使得它与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
路由器安全管理程序(选择) Fire Wall-1的网络安全管理器是一个供选择的模块,它为Bay和Cisco的路由器提供集中管理和访问列表控制。Fire Wall-1 的图形界面和功能强大的工具软件使得制定安全政策、管理、审查和报表等工作都很简单直观。
直观简便 Fire Wall-1提供了功能强大的图形界面工具,用于定义安全策略、灵活的管理、审计、报告,从而集成整个企业的安全保障。
操作简便 Fire Wall-1的安装,配置和管理都很简单,它的图形界面使得用户对各类实体的控制更加方便,能够在不影响系统运行的前提下,实施新的安全政策或修改现行政策。一旦安全策略制订完毕,Fire Wall-1将自动检查它的一致性,保证供给规定不相矛盾,减少潜在的操作员失误。
集中控制 企业网络安装了Fire Wall-1后,就可以用一个工作站对多个网关和服务器的安全策略进行配置和管理。工作站只需为网络定义一个安全策策,安全策略就会自动分布到每个网关上,而不需逐一配置。管理模块和防火墙模块的通信为了安全起见,增加了鉴定和数字签字的措施。
实时报警
网上一旦有可疑情况,Fire Wall-1就会报警—通知系统管理员,并向对方网络管理系统发E-mai和SNMP警报,或者激活用户自己定义的警报(例如,激活系统管理员的传呼设备)。利用制定的规则,针对不同的网络流通量模块,发不同形式的警报。功能强大的系统浏览器在一个窗口中显示分布于企业网各处安全网关的活动情况。图标表示各网关的状态,统计计数器则记录检测,拒绝,登录的数据包的数目。Log Viewer图形化显示各个安全网关的连接请求,并具备集中跟踪,审查和用户报表功能。
Fire Wall-1的一大特点是具有图形化登录浏览引擎。它能够跟踪整理每个通信请示,实现与安全网关的连接。每个通信都有一个记录,记录包括时间、日期、协议及详细的信息、服务请求、动作(接受、拒绝、丢弃加密等)、源、目的地址、用户、数据包长度,如果需要的话,密钥和用户姓名也包含在内。凭借图形化浏览器和许多分析工具可以进行实时和历史审查,并对网上各种可疑行动都能够跟踪和监视,利用Check Point的编程语言INSPEC,可以扩充管理器的标准登记录格式,为满足特殊需要也可以定义新的格式。详细报表与Log Viewer 相匹配的是一个综合查询报表引擎。只要在登录浏览引擎中选择数字段名,用户报表就很容易产生。
此外,登录文件的数据也可以输出到第三厂家的应用报告中去,例如Special Sheet或Trouble Tickting Systems高效安全的处理技术。高效安全的处理技术。为了提高敏感信息的安全性,登录信息需经过鉴定、加密和数字签字,并压缩存储。这样成千上万的登录记录便可以处理并存储起来。既不影响系统性能,又不需太多硬盘空间。
集成管理
Fire Wall-1支持SNMPV2协议,它的开放式接口与安全保障、财务管理、网络监视等应用的程序的连接非常容易。此外,提供了一个供选择的管理模块对Bay 和Cisco路由器的路由器访问列表实施集成管理和控制。
Check Point 利用 SecurePlatform 拓展部署的选择范围
10 分钟内即可将市场领先的 VPN-1/FireWall-1 安装在开放式服务器上
加利福尼亚州雷德伍德市,2002 年 3 月 11 日讯——Check Point Software Technologies(NASDAQ: CHKP)在保证 Internet 安全性方面处于全球领先地位。今天,该公司宣布了一个全新的解决方案,用于在开放式平台上快速、简单地部署处于市场领先地位的 Check Point 的安全措施。Check Point SecurePlatform Media Pack with“One-Click”Install 是一个可引导的 CD-ROM,其中包括固化的、可定制的操作系统(OS)以及 Check Point 的 VPN-1/FireWall-1 软件,该软件可运行于使用 Intel 处理器的任何 PC 或服务器。
SecurePlatform Media Pack 通过 Check Point 的“One-Click”技术显著简化了专门的安全性平台的部署,简便、自动地安装和配置完全固化的、安全的操作系统以及 Check Point 安全性组件。该解决方案提供的独特功能包括:
快速部署,10 分钟内完成全部安装
固化、优化的 OS 赋予开放式系统最高的安全性级别
Check Point 成熟的、最出色的安全性和性能价格比优势,在开放式平台上得以实现
Check Point 软件公司负责市场的副总裁 Carol Stone 说:“客户越来越多地选择可伸缩的安全性,并追求快捷的部署方案。利用 SecurePlatform Media Pack,客户现在可以用不到 10 分钟的创记录速度,加速 Check Point 成熟的 Internet 安全解决方案的部署。”
Check Point 能立刻向各种规模的公司提供 Check Point SecurePlatform Media Pack with“One-Click”Install,从而使:
企业利用 VPN-1/FireWall-1 NG Feature Pack 1 实现强健的安全性
小型分支机构利用 SmallOffice NG 实现安全的连接
数据中心和 ISP 利用 NG Performance Pack 获得 1Gbps 速度的安全性
新的 Check Point SecurePlatform Media Pack with“One-Click”Install 扩展了 Check Point 的 SecureChoice 解决方案,使 Check Point 安全性可部署在各种(超过十个厂家提供的)开放式服务器和设备上。
Check Point 首先为 IPv6、点对点、即时通信应用、微软文件共享和打印服务提供安全保证
业界的多个“首先”巩固了 Check Point 的技术领先地位和创新能力
互联网安全领域的全球领先厂商--Check Point 软件技术有限公司日前推出针对 Check Point FireWall-1® 产品的技术创新,以保障不断涌现的网络应用和标准。这些创新包括互联网协议版本6、点对点和即时通信应用以及被称为通用互联网文件系统(CIFS)的微软打印机和文件共享服务等。凭借其拥有专利的“状态监测”技术,Check Point 是业界首个及唯一一个能提供控制这些应用的全面安全保证的厂商。
Check Point 软件市场销售副总裁 Carol Stone 谈到:“通过为不断涌现的新应用和高级网络协议提供有力的安全保证,Check Point 再次建立了业界标准,从而续写了我们产品领先和技术创新的历史。通过支持 IPv6 和保证不断涌现的新应用的安全,我们在向员工、客户和业务伙伴提供对信息、应用和业务流程安全访问途径的同时,帮助用户们维护最高水平的安全保证。”
继续着其不断提升着互联网安全创新的水平的步伐,Check Point 再次:
● 成为首先支持互联网协议版本6(新一代互联网协议)的安全厂商,使客户可以安全过渡到 IPv6。
● 首先确认和控制如 Gnutella 和 Kazaa 等点对点应用以及广受欢迎的即时通信服务--为管理员提供有效管理带宽和公司资源的工具。
● 首先提供对微软文件共享和打印机服务的粒状控制,从而允许对网络资源进行更有效的控制。
互联网协议版本6
互联网协议版本6是新一代互联网协议,解决了 IPv4 支持下网址逐渐缺乏的问题。企业也期待部署 IPv6 技术以容纳不断增加的互联网设备,从而满足现在及预期未来的需求。客户们可以确信,当他们的网络需要发展时,Check Point 的解决方案将自动与目前及未来出现的标准相互匹配。
点对点访问控制
传统意义上,企业没有能力识别和控制穿越防火墙的点对点应用。在其他防火墙上,点对点信息流或者全部被阻隔,或者被当作简单的 HTTP 信息流予以通过,这样就造成了恶意信息包侵入网络的潜在可能。通过粒状监测和对穿越防火墙应用的访问控制,Check Point 拥有专利的“状态监测”技术可自动确认和控制基于 HTTP 的应用和广受欢迎的即时通信产品。Check Point FireWall-1 将保留详细的应用信息以提供全面的网络防护。
支持微软通用互联网文件系统
微软打印机和文件共享服务也被称为通用互联网文件系统(CIFS),允许用户通过网络访问文件和打印服务器。安全管理员由此面临着挑战,他们必须管理用户对共用资源的访问,以防止共享服务器遭到进攻或被误用。Check Point 增加了对微软 CIFS 系统的支持,给予管理员对网络资源更大的控制权以及管理用户网络访问的能力。
这些发展进一步提升了 Check Point 在网络安全方面的领先厂商地位,以及其在现在和未来为整体网络防护提供业界最全面、最先进安全保证的供应商形象。
供货
这些业界“首先”和其他升级的功能可以在2002年9月推出的 Check Point VPN-1/FireWall-1 Next Generation 的最新版本 Feature Pack 3 上获得。
Check Point针对DoS攻击提供更强大的防护
计算机世界网消息 Check Point软件技术有限公司日前推出了增强其SmartDefense安全解决方案的新工具,提供了抵御拒绝服务(DoS)攻击和分布式拒绝服务(DDoS)攻击更强大的防护。这
些新工具通过监测和限制来自客户或去往服务器的可疑信息流,帮助保护企业网络免受DoS和DDoS的攻击,并在网络受到攻击时保持关键任务TCP信息流的完整性。
Check Point今年4月发布并于日前供货的SmartDefense 开创了Active Defense产品的一个新范畴——利用智能安全技术,主动保护组织免受已知和未知的网络攻击。利用Check Point 获专利的状态监测(Stateful Inspection)技术,SmartDefense 通过分类和分级阻隔攻击,并通过单一、集中化控制台提供有关攻击以及攻击监测、阻隔、日志、审核及警报的实时信息。
Check Point 的SmartDefense有以下特点:
* 集中的、基于类别的攻击预防——提供单一的控制平台,利用新型攻击类型识别技术阻隔已知和未知的攻击。
* 在线升级和网络蠕虫预防——可从Check Point 的 SmartDefense 攻击中心获得在线升级,以预防新类型的攻击,其中包括新的网络蠕虫型攻击。
* 实时攻击信息——利用Check Point 的在线攻击信息中心,安全管理员能得到每种攻击类型的最新信息。
DoS 和 DDoS 攻击是互联网攻击中最普遍和最具破坏性的攻击方式之一,其攻击方法是试图用假信息流使网络或服务器满溢以阻止合法信息流的通过。Check Point 的SmartDefense通过以下新特点来降低DoS和DDoS攻击所带来的风险和破坏:
* TCP预留——允许网络管理员为 TCP 连接预留一部分 FireWall-1容量。这样就能保护关键任务TCP信息流免受基于 UDP 或 ICMP 的 DoS 攻击的影响。
* 客户限额——允许管理员对从同一 IP 地址发出的连接数设定限制,以更好地监测可疑信息流并对 DoS 攻击提前采取措施。
* 服务器限额——允许管理员对去往同一服务器的相同连接数设定限额,一旦到达限额管理员就采取措施,因此能针对 DDoS 攻击提供更强大的监测和防护。 |
|
IP卡
狗仔卡
发表于 2007-4-21 12:42:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡