当各种企、事业网络与Internet相联之后，其安全性就成为一个至关重要的问题。防火墙随之应运而生，它是一个加强机构网络与Internet之间安全访问的控制系统。本文介绍了防火墙市场的主导产品——Check Point公司的Fire Wall-1的一些功能特点，以供网络安全管理人员以及参与防火墙设计的人员借鉴。

对应用程序的广泛支持

Fire Wall-1支持预定的应用程序，服务和协议120多种(比其他同类产品都多)。

Fire Wall-1既支持Internet网络的主要服务(如Web browser, E-mail, FTP（等)和基于TCP协议的应用程序，又支持基于PRC和UDP一类非链接协议的应用程序。而且，如今惟有FireWall-1支持刚出现的如Oracle SQL Net数 据库访问这样的商务应用程序和象Real Audio, VDOLive和InternetPhone这样的多媒体应用程序。在软件业，Check Point公司的合作伙伴是最广泛的。凭借 Fire Wall-1的技术优势，CheckPoint今后对应用程序的支持会更多更广泛。

Fire Wall-1的开放式结构设计为扩充新的应用程序提供了便利。新服务可以在弹出式窗口中直接加入，也可以使用INSECT(CheckPoint功能强大的编程 语言)来加入。Fire Wall-1这种扩充功能可以有效地适应时常变化的网络安全要求。

集中管理下的分布式客户机/服务器结构

Fire Wall-1采用的是集中控制下的分布式客户机/服务器结构，性能好，配置灵活。公司内部网络可以设置多个FireWall-1模块，由一个工作站负责监控。对于受安全保护的信息，客户只有在获得授权后才能访问它。灵活的配置和可靠的监控使得Fire Wall-1成为Internet单网关或整个企业网安全保障的首选产品。

网络安全的新模式——Stateful Inspection技术

Stateful Inspection采用了一个检测模块(一个在网关上执行网络安全策略的软件引擎)。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据(状态信息)并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。

Wall-1的“状态监视技术”的工作性能超过传统的防火墙达两倍以上. Wall-1在通信网络层截取数据包，然后在所有的通信层上抽取有关的状态信息，据此判析该通信是否符合安全政策。

与其它安全方案不同，当用户访问到达网关的操作系统前，要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给庐通信加密等决定。

一旦某个访问违反安全规定，安全报警就会拒绝该访问，并作记录，向系统管理器报告网络状态。程网络访问的安全保障，远程网络访问的安全保障系统采用透明客户加密技术，通过拨号方式与Internet网连接。实现世界范围内可靠的加密通信。当前，衡量一个企业网点的工作性能首先要看它是否能够为远程工作站，移动用户提供安全的访问服务。Fire Wall-1严格的鉴定过程和加密服务恰好满足这一要求。