CheckPoint FireWall-1防火墙技术

　　随着Internet的迅速发展，如何保证信息和网络自身安全性的问题，尤其是在开放互联环境中进行商务等机密信息的交换中，如何保证信息存取和传输中不被窃取、篡改，已成为企业非常关注的问题。

作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位，其FireWall-1防火墙在市场占有率上已超过44%，世界上许多著名的大公司，如IBM、HP、CISCO、3COM、BAY等，都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。

CheckPoint FireWall-1 V3.0防火墙的主要特点。

从网络安全的需求上来看，可以将FireWall-1的主要特点分为三大类，第一类为安全性类，包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐，包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制，包括负载均衡高可靠性等；下面分别进行介绍。

1．访问控制

这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术，无法实施对应用级协议处理，也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术，为实现访问控制需要占用大量的CPU资源，对Internet上不断出现的新应用(如多媒体应用)，无法快速支持.

CheckPoint FireWall-1的状态监测技术，结合强大的面向对象的方法，可以提供全七层应用识别，对新应用很容易支持。目前支持160种以上的预定义应用和协议，包括所有Internet服务，如安全Web浏览器、传统Internet应用（mail、ftp、telnet）、UDP、RPC等，此外，支持重要的商业应用，如OracleSQL*Net、SybaseSQL服务器数据库访问；支持多媒体应用，如RealAudio、CoolTalk、NetMeeting、InternetPhone等，以及Internet广播服务，如BackWeb、PointCast。

另外，FireWall-1还可以提供基于时间为对象的安全策略定制方法。

FireWall-1开放系统具有良好的扩展性，可以方便的定制用户的服务，提供复杂的访问控制。

2．授权认证（Authentication）

由于一般企业网络资源不仅提供给本地用户使用，同时更要面向各种远程用户、移动用户、电信用户的访问，为了保护自身网络和信息的安全，有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证，FireWall-1能保证一个用户发起的通信连接在允许之前，就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略，可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。

FireWall-1提供三种认证方法：

用户认证（Authentication）

用户认证（UA）是基于每个用户的访问权限的认证，与用户的IP地址无关，FireWall-1提供的认证服务器包括：FTP、TELNET、HTTP、RLOGIN。

UA对移动用户特别有意义，用户的认证是在防火墙系统的网关上实施的。FireWall-1网关截取需要的认证请求，并把该连接转向相应的安全服务器。当用户经过认证后，安全服务器打开第二个连接，接入目的主机，其后续的数据包都需经过网关上的FireWall-1检查。

客户认证（Client Authentication）

客户认证（CA）是基于用户的客户端主机的IP地址的一种认证机制，允许系统管理员提供特定IP地址客户的授权用户定制访问权限的控制，同UA相比，CA与IP地址相关，对访问的协议不做直接的限制。同样，服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户如何授权，允许访问哪些服务器资源、应用程序，何时允许用户访问，允许建立多少会话等等。

话路认证（Session Authentication）

话路认证（SA）是基于每个话路的，属透明认证。实现SA需要在用户端安装Session Agent软件。当用户需要直接同服务器建立连接时，位于用户和用户要访问的目的主机间的防火墙系统网关，截获该话路连接，并确认是否有用户级的认证，如果有，则向话路认证代理（Session Agent）发起一个连接，由话路认证代理负责响应的认证，决定是否把该连接继续指向用户的请求服务器。

3．内容安全检测（Content Security）

内容安全检测把FireWall-1具有的数据监测功能扩展到高层服务协议，保护用户的网络、信息资源免遭宏病毒、恶意Java、ActiveX小应用程序及含不需要内容的Web文件的入侵和骚扰，同时又能提供向Internet的较好访问。

FireWall-1中的内容安全是与FireWall-1其他特性完全集成在一起的，可以通过GUI集中管理。另外，CheckPoint的OPSEC框架提供集成第三方内容扫描程序的API接口，企业可以根据需要自由选择内容扫描程序，以取得最佳效果。

FireWall-1提供以下内容安全机制：（需第三方厂家软件支持）

计算机病毒扫描

病毒检查对企业的网络安全是至关重要的，同时对如何实施病毒检查策略也不容忽视，要取得理想的效果，应在访问网络的每一个点上实施病毒检查，而不应该交给每个用户自己去实施。

URL扫描（URL Screening）

URL扫描允许网络管理员设定对某些Web页面的访问权，从而有效的节省公司的网络带宽，增加网络层的另一级别的控制机制。该机制可以实现内部员工之间对不同信息的不同访问权限的安全策略。

URL扫描支持以下三种方式设定：统配符设定、按文件名设定、按第三方URL数据库设定。

Jave、ActiveX小应用程序的剥离

FireWall-1内容安全管理可以保护企业免遭Java、ActiveX的攻击。系统管理员可以按一定的条件，如URL、授权认证用户名等，控制进入的Java、ActiveX代码。FireWall-1提供以下Java、ActiveX扫描能力：

--从HTML页中剥离Java小应用标识（Tags）

--剥离所有服务器到客户端的响应（Response）中的Java小应用程序，不管响应是否为压缩文件或文档文件

--阻止可疑回应的连接，防止Java的攻击

--从HTML页中剥离ActiveX标识

--从HTML页中剥离JavaScript标识

支持Mail(SMTP)

Mail是在企业通信中广泛使用的Internet工具。SMTP不仅支持E-mail，同时支持附贴的文件，为了防止来自利用Internet E-mail工具的攻击，FireWall-1对SMTP连接提供高粒度的控制：

--隐藏向外发送的FROM地址，用对外的一个通用IP地址代替，以达到隐藏内部网络结构和真实用户身份的目的

--重定向MAIL到给定的TO地址

--丢弃来自给定地址的邮件

--剥离邮件中给定类型的附贴文件

--从向外发送的邮件中剥离Received信息，以达到隐藏内部地址的目的

--丢弃大于给定大小的邮件

--防病毒扫描

HTTP过滤

URL资源可以提供定义方案（HTTP、FTP）、方法（GET、POST）、主机（如“*.com”），路径和查询。也可以通过文件指定要过滤的IP地址、服务器列表。

支持FTP

FireWall-1中的FTP安全服务器提供认证服务和基于FTP命令的内容安全服务。支持PUT、GET、文件名限制、防病毒检查。例如，一旦定义了对FTP“GET”命令制定防病毒检查功能，FireWall-1会自动截获FTP“GET”访问，把传送的文件转发给防病毒服务器，经过防病毒服务器检查后把结果传回给防火墙模块。这一切对用户来说都是透明的。

4．加密（FireWall-1的VPN技术）

企业、合作伙伴、分公司、移动用户之间的长距离通信已成为商业联系的关键。传统方法中的点对点连接方式既缺乏灵活性，成本又高，无法大规模的使用。随着公共网络的发展，如Internet，作为一种灵活、价格低廉的网间互联工具，已越来越成为企业采用的方法。但如何在公共网络上实现企业信息的安全传输是个关键问题。

我们把一个利用了部分公共网络资源组成的私用网络称为虚拟专用网（VPN）。VPN技术在低费用、灵活性方面明显要比传统的定制专用网占优势，Vpn技术的引入，使全球范围内的企业连接提供了高度灵活、安全、可靠、廉价的方法。采用VPN技术，每个专用网只需接入本地的Internet供应商即可。如果要想增加新的连接即简单又价格低廉。但是。接入公共网络又使企业面临安全方面的新问题，要防止未授权的Internet访问、保证信息不被窃取和篡改等。

FireWall-1提供160多种预定义协议的可选择、透明的加密算法，允许企业充分利用Internet资源，安全地实现其所有商业和接入需求。FireWall-1提供多种加密方案、密钥管理和内部权威密钥认证机构（Certificate Authority）。

安全的VPNs

安装了防火墙的网关对基于Internet的网网之间信息传输进行加密，提供安全的VPN技术。VPN中的专用网之间的加密由FireWall-1实施，无需在每一台主机上都安装加密软件。由网关代替受其保护的LAN和一组LAN间的信息加密。在网关后的信息是不加密的。

可选的加密

FireWall-1允许对同一工作站和网络间按协议选择加密或明文传送方式。对主机来说，无需对所有的通讯进行加密，提高了网络的效率。

FireWall-1支持以下三种加密方案：

FWZ---该方案为FireWall-1内置的专利加密和密钥管理方案，主要采用FWZ1和DES加密算法，普通PC端每秒可以处理10M数据流，加密后的数据包长度不变，该方法对IP包头不加密。

Manual Ipsec---为固定密钥加密和认证算法，密钥需通过其它途径手工交换，交换后的IP包长度增大，同时对IP包的头进行了加密。

SKIP---为Simple Key for Internet Protocol的缩写。SKIP是一种新型的密钥管理协议，可在网络上自动地实现加密和论证密钥的分配。

其中Manual Ipsec、SKIP是IETF工程组下IP安全协议工作组（Ipsec）对Internet网络制定的安全标准的一种实现。Ipsec主要提供IP层加密和认证的一种总体框架，采用的加密算法主要有DES、TripleDES、SHA-1等。

5．SecuRemote模块

FireWall-1 SecuRemote使Win95和WinNT的移动用户和远程用户得以访问他们的企业网络，可以直接或通过ISP连接到企业的服务器，同时保证企业敏感数据的安全传送。

该模块把VPN技术扩展到了远程用户。SecuRemote是一种称为客户端加密的技术。因为SecuRemote在数据离开客户端平台之前就已对数据进行了加密，故能为远程用户到防火墙系统间的通信连接提供完全的安全解决方案。FireWall-1 SecuRemote可以透明地加密任何TCP/IP通信，没有必要对现有用户使用的网络应用程序作任何修改。FireWall-1 SecuRemote支持任何现有的网络适配卡和TCP/IP栈。运行SecuRemote的PC机可以连接到VPN中的多个不同地点。

SecuRemote支持以下特点：

--支持动态IP地址

--提供DH、RSA算法的用户认证

--支持FWZ、DES加密算法

6．路由器安全管理（需另购置的模块）

FireWall-1对路由器安全管理提供一个较好的解决方案。系统管理员可以通过GUI生成路由过滤和配置。目前，支持的路由器有COM、CISCO、BAY。利用FireWall-1的面向对象的定义网络对象方法，可以把路由器定义为防火墙安全策略中的一个网络对象，经过定义的路由器对象可以作为普通网络对象在GUI的安全策略中方便的使用。利用GUI中支持的点击式操作，无需了解路由器具体命令，就可以对路由器实现安全策略加载。同时，配置变化相当的直观。如果基本安全策略配置影响到多个网络对象，系统会自动改变所有相关的路由器。一旦网络对象改变，只需单击“LoadPolicy”按钮，ACL就被自动更新。

FireWall-1支持路由器的集中管理。通过一个集中的管理主控，可以配置和管理多个路由器上的访问控制列表。如果需要改变配置，只需在中央主控中改变一次，系统可自动生成访问控制列表，并自动地把ACL分布到整个企业范围内的相关路由器中。

7.地址翻译（NAT）

FireWall-1提供IP地址翻译的能力。IP翻译可以满足以下两种需求：

--隐藏企业内部IP地址和网络结构

--把内部的非法IP地址翻译成合法的IP地址

Internet技术是基于IP协议的，为了通过IP协议进行通信，每个参与通信的设备必须具有一个唯一的IP地址。这在不与Internet相连的内部物理网络上是较容易做到的。但是，一旦企业要接入Internet，则IP地址必须是全球唯一的，同时由于IP地址空间有限，现在要申请整段的IP地址已很困难，为了有效地利用有限的IP地址，IANA为Internet预留了三段地址空间，允许企业内部使用。总之，企业接入Internet后在IP地址方面会遇到需要对原非法的地址合法化和隐藏内部地址两个问题。

FireWall-1 NAT支持动态和静态地址翻译：

动态模式（Dynamic Mode/Hide Mode）

把所有要通过防火墙系统连接的内部主机IP地址全部映射到同一个合法的IP地址，对内部含非法地址的不同主机间采用动态分配的端口号进行区别。

因为IP地址是按动态的方式使用的，故这种方式只用于由内部主机发起的向外部的连接。

静态模式（Static Mode）

该方式分为静态源模式与静态目的模式。

静态源模式把非法的IP地址翻译成合法的IP地址，在具有非法地址的内部客户机发起的连接时采用该模式。源模式可以保证内部主机具有唯一的、确定的合法IP地址，常同静态目的模式一起使用。

静态目的模式把合法地址翻译成非法地址，用于由外部客户端发起的连接。因内部网络中的服务器采用非法的IP地址，为了保证从外部进入内部网络的数据包能正确地到达目的地，在这种情况下需采用静态目的模式。静态目的模式经常同静态源模式一起使用。

另外，在实现地址翻译时，需要重新配置网关中的路由表，以确保数据包能到达防火墙网关及网关能正确地把包传送给内部主机。

IANA建议

因为IP地址空间的限制，IANA为私用网络保留了以下三块地址空间，这些地址永远不会在Internet合法地址中出现，允许企业自由采用(参见下表)。

Class from IP address to IP address

A 10.0.0.0 10.255.255.255

B 172.16.0.0 172.31.255.255

C 192.168.0.0 192.168.255.255

企业在建设Intranet时应采用IANA为私用网预留的IP地址空间，如果内部网络的非法IP地址与外部主机的IP地址相同，则在这两台主机间就无法进行通讯，因为地址翻译是在网关的外部接口中进行的，故发送主机本身会直接把数据包返回给源主机，数据包根本到达不了防火墙网关。

8．负载均衡（Load Balance）

FireWall-1负载均衡特性能使提供相同服务的多个服务器之间实现负载分担。所有的HTTP服务器都可以为HTTP客户机提供相同的服务，另外不要求所有的服务器都在防火墙之后。同样，其中的FTP服务器也可以对所有的FTP客户机提供相同的服务。

FireWall-1提供以下负载均衡算法：

--ServerLoad

该方法由服务器提供负载均衡算法。需要在服务器端安装负载测量引擎

--RoundTrip

FireWall-1利用PING命令测定防火墙到各个服务器之间的循回时间，选用循回时间最小者响应用户请求

--RoundRobin

FireWall-1根据其记录表中的情况，简单的制定下一个服务器作为响应

--Random

FireWall-1随机选取防火墙响应

--Domain

FireWall-1按照域名最近的原则，指定最近的服务器响应

9.日志、报警、记帐能力

FireWall-1可以对用户在网络中的活动情况进行记录，如对用户入退网时间、传送的字节数、传送的包数量等进行记录。同时FireWall-1提供实时的报警功能，报警方式可以是通知系统管理员、发送E-mail，发送SNMP报警，如接寻呼机等。

FireWall-1允许记帐处理。一旦定义了记帐功能后，FireWall-1在通常的记录字段信息外，还记录用户连接的持续时间，传送的字节数、包数量，系统管理员可以用命令生成记帐报表，也可以通过FireWall-1的另外模块实现其数据库式的全网络内部的用户管理。