FireWall-1 采用 CheckPoint 公司的状态检测( Stateful Inspection )专利技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。
FireWall-1 状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。
状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。
状态检测模块可以识别不同应用的服务类型,还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验 IP 地址、端口以及其它需要的信息以决定通信包是否满足安全策略。状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新,通过这些数据, FireWall-1 可以检测到后继的通信。
状态检测技术对应用程序透明,不需要针对每个服务设置单独的代理,使其具有更高的安全性、高性能、更好的伸缩性和扩展性,可以很容易把用户的新应用添加到保护的服务中去。
FireWall-1 提供的 INSPECT 语言,结合 FireWall-1 的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。
INSPECT 是一个面向对象的脚本语言,为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用 INSPECT 写成的脚本文件,经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是 ASCII 文件,可以编辑,以满足用户特定的安全要求。
OPSECCheckPoint 是开放安全企业互联联盟 (OPSEC) 的组织和倡导者之一。 OPSEC 允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。
OPSEC 通过把 FireWall-1 嵌入到已有的网络平台(如 Unix 、 NT 服务器、路由器、交换机以及防火墙产品),或把其它安全产品无缝集成到 FireWall-1 中,为用户提供一个开放的、可扩展的安全框架。
目前已有包括 IBM 、 HP 、 Sun 、 Cisco 、 BAY 等超过 135 个公司加入到 OPSEC 联盟。
企业级防火墙安全管理FireWall-1 允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则,每条规则分别指定了源地址、目的地址、服务类型( HTTP 、 FTP 、 TELNET 等)、针对该连接的安全措施(放行、拒绝、丢弃或者是需要通过认证等)、需要采取的行动(日志记录、报警等)、以及安全策略执行点(是在防火墙网关还是在路由器或者其它保护对象上上实施该规则)。
FireWall-1 管理员通过一个防火墙管理工作站管理该规则库,建立、维护安全策略,加载安全规则到装载了防火墙或状态检测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证,然后通过加密信道传输。
FireWall-1 直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具。
安全策略编辑器:维护被保护对象,维护规则库,添加、编辑、删除规则,加载规则到安装了状态检测模块的系统上。
日志管理器:提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息,提供实时报警和入侵检测及阻断功能。
系统状态查看器:提供实时的系统状态、审计和报警功能。
分布的客户机 / 服务器结构FireWall-1 通过分布式的客户机 / 服务器结构管理安全策略,保证高性能、高伸缩性和集中控制。
FireWall-1 由基本模块(防火墙模块、状态检测模块和管理模块)和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机 / 服务器结构。
管理模块包括了图形用户界面和管理员定义的相关管理对象—规则库,网络对象,服务、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行安全策略,安装了这些模块的系统称为受保护对象( Firewalled System ),又称为安全策略执行点( Security Enforcement Point )。
FireWall-1 的客户机 / 服务器结构是完全集成的,只有一个统一的安全策略和一个规则库,通过一个单一的防火墙管理工作站,管理多个装载了防火墙模块、状态检测模块或可选模块的系统。
认证( Authentication )远程用户和拨号用户可以经过 FireWall-1 的认证后,访问内部资源。 FireWall-1 可以在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进行身份认证。 FireWall-1 的认证服务集成在其安全策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。
FireWall-1 提供三种认证方法:
用户认证( User Authentication ):针对特定服务提供的基于用户的透明的身份认证,服务限于 FTP 、 TELNET 、 HTTP 、 HTTPS 、 RLOGIN 。
客户机认证( Client Authentication ):基于客户机 IP 的认证,对访问的协议不做直接的限制。客户机认证不是透明的,需要用户先登录到防火墙认证 IP 和用户身份之后,才允许访问应用服务器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后,同时也就已经通过客户机认证。
会话认证( Session Authentication ):提供基于服务会话的的透明认证,与 IP 无关。采用会话认证的客户机必须安装一个会话认证代理,访问不同的服务时必须单独认证。
FireWall-1 提供多种认证机制供用户选择: S/Key , FireWall-1 Password , OS Password , LDAP , SecureID , RADIUS , TACACS 等。
地址翻译( NAT )FireWall-1 支持三种不同的地址翻译模式:
静态源地址翻译:当内部的一个数据包通过防火墙出去时,把其源地址(一般是一个内部保留地址)转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。
静态目的地址翻译:当外部的一个数据包通过防火墙进入内部网时,把其目的地址(合法地址)转换成一个内部使用的地址(一般是内部保留地址)。
动态地址翻译(也称为隐藏模式):把一个内部网的地址段转换成一个合法地址,以解决企业的合法 IP 地址太少的问题,同时隐藏内部网络结构,提高网络安全性能。