CheckPoint FireWall-1防火墙技术(2)

　　由于一般企业网络资源不仅提供给本地用户使用，同时更要面向各种远程用户、移动用户、电信用户的访问，为了保护自身网络和信息的安全，有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证，FireWall-1能保证一个用户发起的通信连接在允许之前，就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略，可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。

　　FireWall-1提供三种认证方法：

　　用户认证（Authentication）

　　用户认证（UA）是基于每个用户的访问权限的认证，与用户的IP地址无关，FireWall-1提供的认证服务器包括：FTP、TELNET、HTTP、RLOGIN。

　　UA对移动用户特别有意义，用户的认证是在防火墙系统的网关上实施的。FireWall-1网关截取需要的认证请求，并把该连接转向相应的安全服务器。当用户经过认证后，安全服务器打开第二个连接，接入目的主机，其后续的数据包都需经过网关上的FireWall-1检查。

　　客户认证（Client Authentication）

　　客户认证（CA）是基于用户的客户端主机的IP地址的一种认证机制，允许系统管理员提供特定IP地址客户的授权用户定制访问权限的控制，同UA相比，CA与IP地址相关，对访问的协议不做直接的限制。同样，服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户如何授权，允许访问哪些服务器资源、应用程序，何时允许用户访问，允许建立多少会话等等。

　　话路认证（Session Authentication）

　　话路认证（SA）是基于每个话路的，属透明认证。实现SA需要在用户端安装Session Agent软件。当用户需要直接同服务器建立连接时，位于用户和用户要访问的目的主机间的防火墙系统网关，截获该话路连接，并确认是否有用户级的认证，如果有，则向话路认证代理（Session Agent）发起一个连接，由话路认证代理负责响应的认证，决定是否把该连接继续指向用户的请求服务器。