信息安全之防火墙评测:软件(1)

CheckPointVPN-1/Firewall-1 NG

---- CheckPoint Firewall-1是目前市场占有率最高的防火墙产品，我们这次拿到的是最新推出的

---- Firewall-1功能丰富，并具有良好的高可用和分布式管理特性，防火墙模块可安装在不同的服务器上，由策略服务器统一管理，将策略分发至各个防火墙模块。在安装时，用户需要访问Internet上CheckPoint公司的用户中心页面进行注册，并获得许可证，从而完成安装。

---- Firewall-1中最有代表性的技术是状态监测（Stateful Inspection），Firewall-1的监测模块可以检查经过Internet网关、服务器、路由器、交换机等网络关键设备的数据包，将不符合企业安全策略的网络连接拒之门外。监测模块工作在数据链路层和网络层之间，可分析数据包中从网络层到应用层的状态和上下文特征数据，并进行动态更新。对于UDP或者RPC等无连接的协议，监测模块可创建虚会话信息用来进行跟踪。这一过程对最终用户完全透明。

---- Firewall-1的主要设定工作是由策略编辑器(Policy Editor NG)来完成的。在安全规则的设定上，Firewall-1使用了对象这一基本元素，各项策略都是对多个对象采取的不同动作。Firewall-1将对象分为8类，包括：1.网络对象，即工作站、网段和IP地址范围等，也包括防火墙；2.服务对象，即各种协议; 3.OPSEC组件对象，包括第三方的OPSEC组件；4.服务器对象，主要包括用于认证的服务器; 5.用户对象，包括用户和组; 6.时间对象，包括各种时间段；7.资源对象，包括HTTP URI以及FTP、SMTP等，用于控制应用层内容；8.虚拟链路对象。所有对象在左边窗口中分栏列出，如图2所示。

---- 需要注意的是，对象可具有隐含的全局属性，例如，在认证设置方面，我们可以在防火墙的属性设置中先限定可用的认证方法，设定规则时再做具体限定。

---- 我们使用Policy Editor轻而易举地完成了典型平安网络公司的安全策略设定。

---- 首先，我们定义了工作时间对象，然后逐一定义用户及组，Firewall-1内置了LDAP支持，同时可以很好地与Windows 2000 AD进行认证集成，这意味着我们可以不必另外建立和维护一套认证机制。事实上Firewall-1支持目前几乎所有的主流网络用户身份认证系统，很容易与已有的系统进行集成。

---- 完成了各种对象定义工作，我们首先在内网Net_192.168.1.0上启动了NAT（源网络地址转换）功能，在这里，Firewall-1支持2种转换形式，即隐藏(hiding)方式和静态（static）方式，前者是多对一的方式，将多个保留IP转换为一个真实IP，以不同的端口来区分不同的保留IP的连接，而后者是以一对一的方式将保留IP转换为真实IP，显然，我们需要选择隐藏方式，选择隐藏地址为防火墙的外部IP。点击确定后，Policy Editor会自动在地址翻译（Address Translation）一栏中添加相应的2条转换规则。但是，为了让Internet能够访问内部网中的邮件服务器，我们还需要手工添加一条转换规则，进行目的网络地址转换。需要指出的是，启动了NAT并不意味着内网的用户就都能够共享IP进行Internet访问。这还要由防火墙的安全策略来控制。