CheckPoint FireWall-1防火墙技术(3)

　　3．内容安全检测（Content Security）

　　内容安全检测把FireWall-1具有的数据监测功能扩展到高层服务协议，保护用户的网络、信息资源免遭宏病毒、恶意Java、ActiveX小应用程序及含不需要内容的Web文件的入侵和骚扰，同时又能提供向Internet的较好访问。

　　FireWall-1中的内容安全是与FireWall-1其他特性完全集成在一起的，可以通过GUI集中管理。另外，CheckPoint的OPSEC框架提供集成第三方内容扫描程序的API接口，企业可以根据需要自由选择内容扫描程序，以取得最佳效果。

　　FireWall-1提供以下内容安全机制：（需第三方厂家软件支持）

　　计算机病毒扫描

　　病毒检查对企业的网络安全是至关重要的，同时对如何实施病毒检查策略也不容忽视，要取得理想的效果，应在访问网络的每一个点上实施病毒检查，而不应该交给每个用户自己去实施。

　　URL扫描（URL Screening）

　　URL扫描允许网络管理员设定对某些Web页面的访问权，从而有效的节省公司的网络带宽，增加网络层的另一级别的控制机制。该机制可以实现内部员工之间对不同信息的不同访问权限的安全策略。

　　URL扫描支持以下三种方式设定：统配符设定、按文件名设定、按第三方URL数据库设定。

　　Jave、ActiveX小应用程序的剥离

　　FireWall-1内容安全管理可以保护企业免遭Java、ActiveX的攻击。系统管理员可以按一定的条件，如URL、授权认证用户名等，控制进入的Java、ActiveX代码。FireWall-1提供以下Java、ActiveX扫描能力：

　　--从HTML页中剥离Java小应用标识（Tags）

　　--剥离所有服务器到客户端的响应（Response）中的Java小应用程序，不管响应是否为压缩文件或文档文件

　　--阻止可疑回应的连接，防止Java的攻击

　　--从HTML页中剥离ActiveX标识

　　--从HTML页中剥离JavaScript标识

　　支持Mail(SMTP)

　　Mail是在企业通信中广泛使用的Internet工具。SMTP不仅支持E-mail，同时支持附贴的文件，为了防止来自利用Internet E-mail工具的攻击，FireWall-1对SMTP连接提供高粒度的控制：

　　--隐藏向外发送的FROM地址，用对外的一个通用IP地址代替，以达到隐藏内部网络结构和真实用户身份的目的

　　--重定向MAIL到给定的TO地址

　　--丢弃来自给定地址的邮件

　　--剥离邮件中给定类型的附贴文件