扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:51CTO.COM 2007年11月16日
关键字: PowerGuard Linux CheckPoint 软件 评测 防火墙
CheckPointVPN-1/Firewall-1 NG
---- CheckPoint Firewall-1是目前市场占有率最高的防火墙产品,我们这次拿到的是最新推出的
CheckPoint NG系列中的VPN-1/Firewall-1 NG(后简称Firewall-1)。
---- Firewall-1功能丰富,并具有良好的高可用和分布式管理特性,防火墙模块可安装在不同的服务器上,由策略服务器统一管理,将策略分发至各个防火墙模块。在安装时,用户需要访问Internet上CheckPoint公司的用户中心页面进行注册,并获得许可证,从而完成安装。
---- Firewall-1中最有代表性的技术是状态监测(Stateful Inspection),Firewall-1的监测模块可以检查经过Internet网关、服务器、路由器、交换机等网络关键设备的数据包,将不符合企业安全策略的网络连接拒之门外。监测模块工作在数据链路层和网络层之间,可分析数据包中从网络层到应用层的状态和上下文特征数据,并进行动态更新。对于UDP或者RPC等无连接的协议,监测模块可创建虚会话信息用来进行跟踪。这一过程对最终用户完全透明。
---- Firewall-1的主要设定工作是由策略编辑器(Policy Editor NG)来完成的。在安全规则的设定上,Firewall-1使用了对象这一基本元素,各项策略都是对多个对象采取的不同动作。Firewall-1将对象分为8类,包括:1.网络对象,即工作站、网段和IP地址范围等,也包括防火墙;2.服务对象,即各种协议; 3.OPSEC组件对象,包括第三方的OPSEC组件;4.服务器对象,主要包括用于认证的服务器; 5.用户对象,包括用户和组; 6.时间对象,包括各种时间段;7.资源对象,包括HTTP URI以及FTP、SMTP等,用于控制应用层内容;8.虚拟链路对象。所有对象在左边窗口中分栏列出,如图2所示。
---- 需要注意的是,对象可具有隐含的全局属性,例如,在认证设置方面,我们可以在防火墙的属性设置中先限定可用的认证方法,设定规则时再做具体限定。
---- 我们使用Policy Editor轻而易举地完成了典型平安网络公司的安全策略设定。
---- 首先,我们定义了工作时间对象,然后逐一定义用户及组,Firewall-1内置了LDAP支持,同时可以很好地与Windows 2000 AD进行认证集成,这意味着我们可以不必另外建立和维护一套认证机制。事实上Firewall-1支持目前几乎所有的主流网络用户身份认证系统,很容易与已有的系统进行集成。
---- 完成了各种对象定义工作,我们首先在内网Net_192.168.1.0上启动了NAT(源网络地址转换)功能,在这里,Firewall-1支持2种转换形式,即隐藏(hiding)方式和静态(static)方式,前者是多对一的方式,将多个保留IP转换为一个真实IP,以不同的端口来区分不同的保留IP的连接,而后者是以一对一的方式将保留IP转换为真实IP,显然,我们需要选择隐藏方式,选择隐藏地址为防火墙的外部IP。点击确定后,Policy Editor会自动在地址翻译(Address Translation)一栏中添加相应的2条转换规则。但是,为了让Internet能够访问内部网中的邮件服务器,我们还需要手工添加一条转换规则,进行目的网络地址转换。需要指出的是,启动了NAT并不意味着内网的用户就都能够共享IP进行Internet访问。这还要由防火墙的安全策略来控制。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者