CheckPoint FireWall-1防火墙技术(5)

　　可选的加密

　　FireWall-1允许对同一工作站和网络间按协议选择加密或明文传送方式。对主机来说，无需对所有的通讯进行加密，提高了网络的效率。

　　FireWall-1支持以下三种加密方案：

　　FWZ---该方案为FireWall-1内置的专利加密和密钥管理方案，主要采用FWZ1和DES加密算法，普通PC端每秒可以处理10M数据流，加密后的数据包长度不变，该方法对IP包头不加密。

　　Manual Ipsec---为固定密钥加密和认证算法，密钥需通过其它途径手工交换，交换后的IP包长度增大，同时对IP包的头进行了加密。

　　SKIP---为Simple Key for Internet Protocol的缩写。SKIP是一种新型的密钥管理协议，可在网络上自动地实现加密和论证密钥的分配。

　　其中Manual Ipsec、SKIP是IETF工程组下IP安全协议工作组（Ipsec）对Internet网络制定的安全标准的一种实现。Ipsec主要提供IP层加密和认证的一种总体框架，采用的加密算法主要有DES、TripleDES、SHA-1等。

　　5．SecuRemote模块

　　FireWall-1 SecuRemote使Win95和WinNT的移动用户和远程用户得以访问他们的企业网络，可以直接或通过ISP连接到企业的服务器，同时保证企业敏感数据的安全传送。

　　该模块把VPN技术扩展到了远程用户。SecuRemote是一种称为客户端加密的技术。因为SecuRemote在数据离开客户端平台之前就已对数据进行了加密，故能为远程用户到防火墙系统间的通信连接提供完全的安全解决方案。FireWall-1 SecuRemote可以透明地加密任何TCP/IP通信，没有必要对现有用户使用的网络应用程序作任何修改。FireWall-1 SecuRemote支持任何现有的网络适配卡和TCP/IP栈。运行SecuRemote的PC机可以连接到VPN中的多个不同地点。

　　SecuRemote支持以下特点：

　　--支持动态IP地址

　　--提供DH、RSA算法的用户认证

　　--支持FWZ、DES加密算法

　　6．路由器安全管理（需另购置的模块）

　　FireWall-1对路由器安全管理提供一个较好的解决方案。系统管理员可以通过GUI生成路由过滤和配置。目前，支持的路由器有COM、CISCO、BAY。利用FireWall-1的面向对象的定义网络对象方法，可以把路由器定义为防火墙安全策略中的一个网络对象，经过定义的路由器对象可以作为普通网络对象在GUI的安全策略中方便的使用。利用GUI中支持的点击式操作，无需了解路由器具体命令，就可以对路由器实现安全策略加载。同时，配置变化相当的直观。如果基本安全策略配置影响到多个网络对象，系统会自动改变所有相关的路由器。一旦网络对象改变，只需单击“LoadPolicy”按钮，ACL就被自动更新。