当各种企、事业网络与Internet相联之后,其安全性就成为一个至关重要的问题。防火墙随之应运而生,它是一个加强机构网络与Internet之间安全访问的控制系统。本文介绍了防火墙市场的主导产品——Check Point公司的Fire Wall-1的一些功能特点,以供网络安全管理人员以及参与防火墙设计的人员借鉴。
对应用程序的广泛支持
Fire Wall-1支持预定的应用程序,服务和协议120多种(比其他同类产品都多)。
Fire Wall-1既支持Internet网络的主要服务(如Web browser, E-mail, FTP(等)和基于TCP协议的应用程序,又支持基于PRC和UDP一类非链接协议的应用程序。而且,如今惟有FireWall-1支持刚出现的如Oracle SQL Net数 据库访问这样的商务应用程序和象Real Audio, VDOLive和InternetPhone这样的多媒体应用程序。在软件业,Check Point公司的合作伙伴是最广泛的。凭借 Fire Wall-1的技术优势,CheckPoint今后对应用程序的支持会更多更广泛。
Fire Wall-1的开放式结构设计为扩充新的应用程序提供了便利。新服务可以在弹出式窗口中直接加入,也可以使用INSECT(CheckPoint功能强大的编程 语言)来加入。Fire Wall-1这种扩充功能可以有效地适应时常变化的网络安全要求。
集中管理下的分布式客户机/服务器结构
Fire Wall-1采用的是集中控制下的分布式客户机/服务器结构,性能好,配置灵活。公司内部网络可以设置多个FireWall-1模块,由一个工作站负责监控。对于受安全保护的信息,客户只有在获得授权后才能访问它。灵活的配置和可靠的监控使得Fire Wall-1成为Internet单网关或整个企业网安全保障的首选产品。
网络安全的新模式——Stateful Inspection技术
Stateful Inspection采用了一个检测模块(一个在网关上执行网络安全策略的软件引擎)。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据(状态信息)并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。
Wall-1的“状态监视技术”的工作性能超过传统的防火墙达两倍以上. Wall-1在通信网络层截取数据包,然后在所有的通信层上抽取有关的状态信息,据此判析该通信是否符合安全政策。
与其它安全方案不同,当用户访问到达网关的操作系统前,要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给庐通信加密等决定。
一旦某个访问违反安全规定,安全报警就会拒绝该访问,并作记录,向系统管理器报告网络状态。程网络访问的安全保障,远程网络访问的安全保障系统采用透明客户加密技术,通过拨号方式与Internet网连接。实现世界范围内可靠的加密通信。当前,衡量一个企业网点的工作性能首先要看它是否能够为远程工作站,移动用户提供安全的访问服务。Fire Wall-1严格的鉴定过程和加密服务恰好满足这一要求。