一:前言
1.1:互联网时代的信息安全
60年代一位加拿大的传播理论家曾经预言:"电子媒介可以把地球变成一个村落,信息的探索能够创造出更深层次的民主,未来的全球村落舒适而开放。"跨入21世纪,Internet的发展给企业带来了革命性的改变,企业正努力利用它来提高市场反应速度和办事效率,以便更具竞争力。在享受Internet带来的方便与快捷的同时,企业也要面对Internet开放带来的数据安全的新挑战和新危险----客户、销售商、移动用户、异地员工和内部员工的安全访问以及保护企业的机密信息不受黑客和间谍的入侵。Internet的安全问题是不能忽视的。
防火墙技术作为一种网络安全的工具已发展若干年,随着Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业。
防火墙提供行之有效的网络安全机制,是网络安全策略的有机组成部分。它通过控制和监测网络之间的信息交换和访问行为实现对网络安全的有效保障,在内部网与外部网之间实施安全的防范措施。目前,虽然还没有哪一种安全机制可以完全地确保网络的安全,但建立自己的防火墙无疑会给自己的网络带来很大的好处。
作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一,CheckPoint公司致力于企业级网络安全产品的研发,据IDC的最近统计,其FireWall-1防火墙在市场占有率上已超过44%,《财富》排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。
Check Point防火墙作为新一代的"网络卫士",能有效地防止黑客入侵,抵御来自外部网络的攻击,保证内部系统的资料不被盗取,可为电信、邮政、政府、教育、能源、金融、企业等各部门现有的网络提供最有效、最彻底的保安措施。
二:计算机网络基础知识
本章主要介绍计算机网络的基础知识,介绍TCP/IP协议及一些重要概念。
2.1:计算机网络的结构
所谓计算机网络,是指互联起来的独立自主的计算机的集合。"互联"意味着相互连接的两台计算机能够互相交换信息。连接是物理的,由硬件实现。信息交换具有物理和逻辑的双重性质。在网络结构的最底层(物理层),信息交换体现为直接相连的两台机器之间无结构的比特流传输;物理层以上各层,所交换的信息便有了一定的逻辑结构,越往上逻辑结构越复杂,也越接近用户真正需要的形式。信息交换在网络的底层由硬件实现,而到了高层则由软件实现。
概念上,无论哪一种网络,都可以将它划分为两部分:主机(host)和子网(subnet)。如图1-1所示。
主机是组成网络的独立自主的计算机,用于运行用户程序(即应用程序),有些文献中把它称为末端系统ES(End System)。子网,也就是通信子网(communication subnet),是将入网主机连接起来的实体。子网的任务是在入网主机之间传送分组,以提供通信服务,正如电话网络将话音从发送方传送至接受方一样。把网络中纯通信部分的子网与应用部分的主机分离开,这是网络层次结构思想的重要体现,使得对整个网络的分析与设计大为简化。
2.2:OSI模型
国际标准化组织(ISO)开发了一个七层模型,称为开放式互联的参考模型(OSI)。OSI模型的目标是解决不同系统交换信息的方法问题,使得用户不必去关心个别系统怎样工作和如何通信。
OSI模型的七个层次的功能如下:
w 物理层: 涉及在物理信道上传输原始比特,处理与物理传输介质有关的机械的和电器的过程的接口。
w 数据链路层: 分为介质访问控制(MAC)和逻辑链路控制(LLC)两个子层。MAC子层解决广播型网络中多用户竞争信道使用权的问题。LLC的主要任务是将有噪声的物理信道变成无传输差错的通信信道,提供数据成帧、差错控制、流量控制和链路控制等功能。
w 网络层: 负责将数据从物理连接的一端传到另一端,即所谓点到点通信。主要功能是寻径,以及与之相关的流量控制和拥塞控制等。
w 传输层: 主要目的在于弥补网络层服务与用户需求之间的差距。传输层通过向上提供一个标准、通用的界面,使上层与通信子网的细节相隔离。传输层的主要任务就是提供进程间通信机制和保证数据传输的可靠性。
w 会话层: 主要针对远程终端访问。主要任务包括会话管理、传输同步以及活动管理等,会话一般都是面向连接的,远程过程调用是个例外。
w 表示层: 主要功能是信息转换,包括信息压缩、加密、与标准格式的转换(以及上述各操作的逆操作)等等。
w 应用层: 提供最常用且通用的应用程序,包括电子邮件和文件传输等。
2.3:TCP/IP协议
TCP/IP协议是目前使用最普遍,应用最广泛的通讯协议。TCP/IP协议簇之所以流行,部分原因是因为它可以用在各种各样的信道和底层协议(例如T1、E1、X.25、FR、PPP、Ethernet、Novellnet)之上。确切地说,TCP/IP协议是一个包括TCP、IP、UDP、ICMP等协议的协议簇。下面将简单介绍一下使用最广泛的TCP、IP、UDP、ICMP协议。
2.4:IP(Internet Protocol)协议
IP协议作为通信子网的最高层,它的主要功能包括提供无连接的数据报传输机制、数据报寻径和差错处理。
无连接的数据报传输机制是指对数据进行"尽力传递",即只管将分组传往信宿机,无论传输正确与否,不做验证,不发确认也不保证分组的正确顺序,因此这种机制导致了IP协议的不可靠性。后面将要讲到的TCP协议正是为了弥补这一不足而设计的。
寻径是分组交换系统中的一个重要概念,指寻找一条将分组从信源机传往信宿机的传输路径的过程。按照OSI体系结构,寻径是属于网络层的功能;在TCP/IP中,寻径由IP层完成。IP协议在寻径过程中,主要依据IP地址和路由表。
IP协议对数据报的差错控制、拥塞控制和路径控制是由ICMP协议来完成的。
2.5:ICMP(Internet Control Message Protocol)协议
ICMP协议是IP协议的一个子协议,它主要用于差错和控制信息传输以及某些网络信息的获取。ICMP为网关和主机之间的通信提供了一种简单实用的手段,它是IP协议中不可缺少的部分。
2.6:UDP(User Datagram Protocol)协议
用户数据报协议UDP是传输层的一个重要协议,它建立在IP协议之上,同IP协议一样提供无连接数据报传输。相对于IP协议,它唯一增加的能力是提供协议端口,以保证进程通信。
许多基于UDP的应用程序在高可靠性、低延迟的局域网上运行很好,而一旦到了通信子网QOS很低的网间网环境下,可能根本不能运行。原因就在于UDP不可靠,而这些程序本身又没有做可靠性处理。因此,基于UDP的应用程序在不可靠子网上必须自己解决可靠性(诸如报文丢失、重复、失序和流控等问题)。
既然UDP如此不可靠,为何TCP/IP还要采纳它?最主要的原因在于UDP的高效率。在实践中,UDP往往面向交易型应用,一次交易往往只有一来一回两次报文交换,假如为此而建立连接和撤除连接,开销是相当大的。这种情况下使用UDP就很有效了,即使因报文损失而重传一次,其开销也比面向连接的传输要小。
2.7:TCP(Transmission Control Protocol)协议
传输控制协议TCP是传层的另一个重要协议,它是一个完整的传输协议的典范,除提供和UDP一样的进程通信能力外,其主要特点是可靠性很高,几乎可以解决所有的可靠性问题。
TCP的可靠性特点可以用一句话来概括:TCP提供面向连接的流传输。面向连接对可靠性的保证首先是它在进行实际数据传输前,必须在信源端与信宿端建立一条连接。假如由于种种原因,连接建立不成功,则信源端不会像UDP一样贸然向信宿端发送数据。其次,面向连接传输的每一个报文都需接收端确认,未确认报文被认为是出错报文。
2.8:安全基础
网络安全需要保护什么
当机器接上了Internet,同时就带来了三种风险:
数据:存储在电脑中的数据信息
资源:机器设备
信誉:公司、企业的信誉
对个人或企业来说,数据的三个特性是需要保护的。
秘密性:不想给其他人知道的。
完整性:不想给其他人更改的。
有效性:需要确认的,可以使用的。
虽然机器中没有什么重要的数据,但是侵入者可以随意的使用你的机器及其资源,如:储存一些资料,进行运算,甚至将其做为一个可以攻击其它网络或机器的跳板。需要注意的是:这是黑客的惯用伎俩,狡猾的黑客有不止一个攻击跳板,且分布不一,有很大程度的欺骗性和隐蔽性。
如果一个侵入者以你个人或一个企业的身份出现在Internet上,他做什么事情看上去都是来自你或你的企业,那会带来什么影响或危害呢?试想一下,当某个企业遭到来自黑客的攻击、破坏后,这企业还会有信心继续在原本的公众网上经营业务,开发新业务吗?而其它不了解详细情况,打算将要挂接在这个公众网上的企业将会做出什么反应?
2.9:对网络的主要攻击手段
对计算机网络进行攻击的手段可以分为几个主要种类,它们的危害程度和检测防御办法也各不相同。
2.10:收集信息攻击
收集信息攻击即是通过各种工具收集到要攻击系统的一些信息,如通过口令嗅探,各种扫描程序等方法来获得系统信息,然后再对系统采取攻击的一种手段。收集信息攻击有时是其它攻击手段的前奏。经常使用的工具包括:NSS, Strobe,Netscan, SATAN(Security Aadministrator''s Tool for Auditing Network),Jakal,IdentTCPscan,FTPScan等以及各种sniffer。广义上说,特洛依木马程序也是收集信息攻击的重要手段。对于简单的端口扫描,敏锐的安全管理员往往可以从异常的日志记录中发现攻击者的企图。但是对于隐秘的sniffer和trojan程序来说,检测就是件更高级和困难的任务了。
2.11:拒绝服务(Denial Of Service-DoS)
DoS是一类个人或多个人利用Internet协议簇的某些方面妨碍甚至关闭其它用户对系统和信息的合法访问的攻击。其特点是以潮水般的连接申请使系统在应接不暇的状态中崩溃。对于大型网络而言,此类攻击只是有限的影响,但是却可能导致较小网络退出服务,遭到重创。
DoS是最不容易捕获的一种攻击,因为不留任何痕迹,安全管理人员不易确定攻击来源。由于这种攻击可以使整个系统瘫痪,并且容易实施,所以非常危险。但是从防守的角度来讲,这种攻击的防守也比较容易。攻击者通过此类攻击不会破坏系统数据或获得未授权的权限,只是捣乱和令人心烦而已。例如使网络中某个用户的邮箱超出限制容量而不能正常使用等。
DoS主要有两类,一类是用过量访问导致拒绝服务,另一类是利用系统缺陷导致拒绝服务。第一类DoS主要有E-mail炸弹和邮件列表连接,这两种攻击都是针对单个邮箱的,但如果有缺陷的邮件系统接收了大量的这种攻击,也可能导致邮件系统的崩溃。第二类DoS主要是针对系统缺陷,使用畸形的报文,使攻击系统的堆栈溢出,导致拒绝服务。包括SYN flood,Ping of Death,Tear Drop,IP Spoofing,Default packet,IP Source route,LAND,Bonk,WinNuke等。
2.12:电子欺骗(Spoofing attack)
电子欺骗的目的是为了使攻击者的计算机代替被攻击网络中的一台计算机,以得到该计算机的权限、信任关系和交互信息。如对http,ftp,dns等协议的攻击,可以窃取普通用户甚至超级用户的权限,任意修改信息内容,造成巨大危害。所谓IP欺骗,就是伪造他人的源IP地址,其实质上就是让一台机器来扮演另一台机器,借以达到蒙混过关的目的。
电子欺骗主要有IP Spoofing、ARP Spoofing、DNS Spoofing等几种,主要是使相关的计算机不能工作(关机、切断网络、拒绝服务或趁关机的时间等),然后假借这台计算机的IP地址、MAC地址替代该计算机。DNS Spoofing是使用户使用黑客的DNS服务器或先改变被攻击网络的DNS服务器内容,也可以试图改变DNS缓冲中的内容,使用户想访问的主机名被解析成黑客的IP地址,实现欺骗。
几乎所有的电子欺骗都依赖于目标网络的信任关系(计算机之间的互相信任,在unix系统中,可以通过设置rhosts和host.equiv 来设置)。因此解决的途径是慎重设置处理网络中的主机信任关系,尤其是不同网络之间主机的信任关系。如只存在局域网内的信任关系,可以设置路由器使之过滤掉外部网络中自称源地址为内部网络地址的IP包,来抵御IP欺骗。
2.13:防御措施
入侵层次分析
可以将网络的入侵分为以下几个层次。
1. 邮件炸弹攻击(emailbomb)(1层)
2. 简单服务拒绝攻击(denial of service)(1+层)
3. 本地用户获得非授权读访问(2层)
4. 本地用户获得他们非授权的文件写权限(3层)
5. 远程用户获得非授权的帐号(3+层)
6. 远程用户获得了特权文件的读权限(4层)
7. 远程用户获得了特权文件的写权限(5层)
8. 远程用户拥有了根(root)权限(黑客已攻克系统)(6层)
以上层次划分在所有的网络中几乎都一样,基本上可以作为网络安全工作的考核指标。
2.14:不同的对策
根据遭受的攻击的不同层次,应采取不同的对策。
第一层:
处于第一层的攻击基本上应互不相干,第一层的攻击包括拒绝服务攻击和邮件炸弹攻击。邮件炸弹的攻击还包括登记列表攻击(同时将被攻击目标登录到数千或更多的邮件列表中,这样,目标有可能被巨大数量的邮件列表寄出的邮件淹没)。对付此类攻击的最好的方法是对源地址进行分析,把攻击者使用的主机(网络)信息加入inetd.sec的拒绝列表中。除了使攻击者网络中所有的主机都不能对自己的网络进行访问外,没有其它有效的方法可以防止这种攻击的出现。
此类型的攻击只会带来相对小的危害。使人头疼的是虽然这类攻击的危害性不大,但是发生的频率却可能很高,因为仅具备有限的经验和专业知识就能进行此类型的攻击。
第二层和第三层:
这两层的攻击的严重程度取决于那些文件的读或写权限被非法获得。对于ISP来说,最安全的办法是将所有的shell帐户都集中到某一台(或几台)主机上,只有它们才能接受登录,这样可以使得管理日志,控制访问,协议配置和相关的安全措施实施变得更加简单。另外,还应该把存贮用户编写的cgi程序的机器和系统中的其它机器相隔离。
遭到攻击的原因有可能是部分配置错误或者是在软件内固有的漏洞。对于前者,管理员应该注意经常使用安全工具查找一般的配置错误,例如satan。后者的解决需要安全管理员花费大量的时间去跟踪了解最新的软件安全漏洞报告,下载补丁或联系供货商。实际上,研究安全是一个永不终结的学习过程。安全管理员可以订阅一些安全邮件列表,并学会使用一些脚本程序(如perl,等)自动搜索处理邮件,找到自己需要的最新信息。
发现发起攻击的用户后,应该立即停止其访问权限,冻结其帐号。
第四层:
该层攻击涉及到远程用户如何获取访问内部文件的权利。其起因大多是服务器的配置不当,cgi程序的漏洞和溢出问题。
第五层和第六层:
只有利用那些不该出现却出现的漏洞,才可能出现这种致命的攻击。
出现第三、四、五层的攻击表明网络已经处于不安全状态之中,安全管理员应该立即采取有效措施,保护重要数据,进行日志记录和汇报,同时争取能够定位攻击发起地点。寻找入侵者的最重要的工作就是做日志记录和定位入侵者,而找出入侵者并通过法律手段迫使其停止攻击是最有效的防卫手段。
三:防火墙介绍
3.1:防火墙简介
古时候, 人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。这种墙称作"防火墙"。在网络时代,当一个网络接入Internet以后,它的用户就可以与外部世界相互通信。为安全起见,人们在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障作为扼守本网络的安全和审计的唯一关卡,可以阻断来自外部世界的威胁和入侵。这种中介系统也叫做"防火墙",或"防火墙系统"。
防火墙作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效监控了内部网和Internet之间的任何活动,保证内部网络的安全。防火墙通常是放在外部因特网络和内部网络之间,以保证内部网络的安全,其逻辑示意图如图2.1所示。
图2.1 防火墙逻辑位置示意图
防火墙的两个重要的任务就是:
w 在不危及内部网络数据与其它资源的前提下允许本地用户使用外部网络的资源
w 将外部未被授权的用户屏蔽在内部网络之外而无法使用内部的资源
防火墙通常在两个网络间实现访问控制,一个是用户的安全网络,称之为"被信任应受保护的网络",一个是其它的非安全网络称为"某个不被信任并且不需要保护的网络"。防火墙就位于一个受信任的网络和一个不受信任的网络之间,通过过滤进出的数据包来保护受信任网络上的信息。
3.2:防火墙分类
防火墙发展至今,无论是技术延伸还是成品指标都有了一定的进步。同时防火墙从实现技术来讲,可以分为几种类型形式,我们将其简单划分为:包过滤型防火墙(Packet-filtering firewall)、电路级网关(Circuit-level gateway)、应用级网关(Application-level gateway)、状态监测防火墙(Stateful Inspection Firewall)。
3.3:包过滤防火墙
包过滤防火墙采用路由器或者是在计算机上运行的某种软件,使之能对进出的数据包作检测。我们知道,Internet中所有传输的数据包使用的是TCP/IP协议,防火墙就是通过检查TCP和IP的数据包头的信息来决定同意或拒绝该数据包。大多数防火墙能按照:源地址、目标地址、应用或协议、TCP/UDP源端口号、TCP/UDP目标端口号等设置作为判断标准在规则表中定义规则,以判断是否允许或拒绝数据包的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,并确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。
包过滤防火墙主要工作在OSI模型的第三层(网络层),与应用层无关,这样系统就具有很好的传输性能,速度快,实现方便,易扩展。但这种防火墙审计功能差,安全性也相对较低。
3.4:电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法。
我们知道,要使用TCP协议,首先必须通过三次握手建立TCP连接,然后才开始发送数据。电路级网关通过在TCP握手过程中,检查双方的SYN,ACK和序列数据是否符合逻辑,来判断该请求的会话是否合法。一旦该网关认为会话是合法的,就会为双方建立连接,以后,网关仅复制、传递数据,而不进行过滤。电路级网关通常需要依靠特殊的应用程序来进行复制传递数据的服务。
通常来讲,电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起,所以有人也把电路级网关归为应用级网关。电路级网关是在OSI模型中会话层来过滤数据包。也因为如此,它就无法检查应用层级的数据包。
3.5:应用级网关
因为代理服务器是应用网关中的代表,所以有人也将此类型称为代理服务器。应用级网关检查进出的数据包,运行代理(Proxy),通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用网关技术针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制, 以防有价值的程序和数据被窃取。
代理服务器作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它接点的直接请求。应用级网关代理是与特定应用有关的,它适用于某些特定的Internet服务,如HTTP、FTP等等。但是特定应用的代理只能接收来自此项服务产生的数据包,如只有Telnet的代理才能对Telnet的数据进行复制传递和过滤。
代理(Proxy)能在OSI模型中应用层进行包过滤,在OSI应用层上,应用级网关代理需要检查经过网关的每个数据包的内容,这些代理能够过滤一些特定的应用协议的命令。
应用网关防火墙的工作原理是检查所有应用层的信息包,并将检查的内容信息放入决策过程,能进行安全控制又可以加速访问,能够有效地实现防火墙内外计算机系统的隔离,这样安全性有所提高。然而,它们是通过打破客户机/服务器模式实现的,每一个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每一个代理需要一个不同的应用进程,或一个后台运行的服务程序,这样如果有一个新的应用就必须添加对此应用的服务程序,否则不能使用该种服务,可伸缩性差。但应用级网关是目前比较安全并且使用最多的防火墙技术。
3.6:状态监测防火墙
状态监测防火墙使用了一个在网关上执行网络安全策略的软件模块。它在不影响网络正常运行的前提下,采用监测数据包状态的方法对网络通信的各层实施检测,通过检查连接状态信息,并动态的保存作为以后执行安全策略的参考。状态监测支持多种协议和应用软件,并可以很容易地实现实用和服务的扩充。它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息。
以上介绍的四种类型的防火墙,基于对更高安全性的要求,常把其中的类型结合起来,形成复合型防火墙,完成各种功能的组合。
四:Check Point防火墙介绍
4.1:FireWall-1产品组成
CheckPoint FireWall-1产品包括以下模块:
w 基本模块:
w 状态检测模块(Inspection Module):提供访问控制、客户机认证、会话认证、地址翻译和审计功能;
w 防火墙模块(FireWall Module):包含一个状态检测模块,另外提供用户认证、内容安全和多防火墙同步功能;
w 管理模块(Management Module):对一个或多个安全策略执行点(安装了FireWall-1的某个模块,如状态检测模块、防火墙模块或路由器安全管理模块等的系统)提供集中的、图形化的安全管理功能;
w 可选模块;
w 连接控制(Connect Control):为提供相同服务的多个应用服务器提供负载平衡功能;
w 路由器安全管理模块(Router Security Management):提供通过防火墙管理工作站配置、维护3Com,Cisco,Bay等路由器的安全规则;
w 其它模块,如加密模块等。
w 图形用户界面(GUI):是管理模块功能的体现,包括;
w 策略编辑器:维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去;
w 日志查看器:查看经过防火墙的连接,识别并阻断攻击;
w 系统状态查看器:查看所有被保护对象的状态。
FireWall-1提供单网关和企业级两种产品组合。
w 单网关产品:只有防火墙模块(包含状态检测模块)、管理模块和图形用户界面各一个,且防火墙模块和管理模块必须安装在同一台机器上。
w 企业级产品:可以有若干基本模块和可选模块以及图形用户界面组成,特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。
4.2:状态检测机制
FireWall-1采用CheckPoint公司的状态检测(Stateful Inspection)专利技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。
FireWall-1状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。
状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。
状态检测模块可以识别不同应用的服务类型,还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。
状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新,通过这些数据,FireWall-1可以检测到后继的通信。
状态检测技术对应用程序透明,不需要针对每个服务设置单独的代理,使其具有更高的安全性、高性能、更好的伸缩性和扩展性,可以很容易把用户的新应用添加到保护的服务中去。
FireWall-1提供的INSPECT语言,结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。
INSPECT是一个面向对象的脚本语言,为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件,经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件,可以编辑,以满足用户特定的安全要求。
4.3:OPSEC
CheckPoint是开放安全企业互联联盟(OPSEC)的组织和倡导者之一。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。
OPSEC通过把FireWall-1嵌入到已有的网络平台(如Unix、NT服务器、路由器、交换机以及防火墙产品),或把其它安全产品无缝集成到FireWall-1中,为用户提供一个开放的、可扩展的安全框架。
目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。
4.4:企业级防火墙安全管理
FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。
企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则,每条规则分别指定了源地址、目的地址、服务类型(HTTP、FTP、TELNET等)、针对该连接的安全措施(放行、拒绝、丢弃或者是需要通过认证等)、需要采取的行动(日志记录、报警等)、以及安全策略执行点(是在防火墙网关还是在路由器或者其它保护对象上上实施该规则)。
FireWall-1管理员通过一个防火墙管理工作站管理该规则库,建立、维护安全策略,加载安全规则到装载了防火墙或状态检测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证,然后通过加密信道传输。
FireWall-1直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具。
w 安全策略编辑器:维护被保护对象,维护规则库,添加、编辑、删除规则,加载规则到安装了状态检测模块的系统上。
w 日志管理器:提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息,提供实时报警和入侵检测及阻断功能。
w 系统状态查看器:提供实时的系统状态、审计和报警功能。
4.5:分布的客户机/服务器结构
FireWall-1通过分布式的客户机/服务器结构管理安全策略,保证高性能、高伸缩性和集中控制。
FireWall-1由基本模块(防火墙模块、状态检测模块和管理模块)和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/服务器结构。
管理模块包括了图形用户界面和管理员定义的相关管理对象--规则库,网络对象,服务、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行安全策略,安装了这些模块的系统称为受保护对象(Firewalled System),又称为安全策略执行点(Security Enforcement Point)。
FireWall-1的客户机/服务器结构是完全集成的,只有一个统一的安全策略和一个规则库,通过一个单一的防火墙管理工作站,管理多个装载了防火墙模块、状态检测模块或可选模块的系统。
4.6:认证(Authentication)
远程用户和拨号用户可以经过FireWall-1的认证后,访问内部资源。
FireWall-1可以在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。
FireWall-1提供三种认证方法:
w 用户认证(User Authentication):针对特定服务提供的基于用户的透明的身份认证,服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN。
w 客户机认证(Client Authentication):基于客户机IP的认证,对访问的协议不做直接的限制。客户机认证不是透明的,需要用户先登录到防火墙认证IP和用户身份之后,才允许访问应用服务器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后,同时也就已经通过客户机认证。
w 会话认证(Session Authentication):提供基于服务会话的的透明认证,与IP无关。采用会话认证的客户机必须安装一个会话认证代理,访问不同的服务时必须单独认证。
FireWall-1提供多种认证机制供用户选择:S/Key,FireWall-1 Password,OS Password,LDAP,SecureID,RADIUS,TACACS等。
4.7:地址翻译(NAT)
FireWall-1支持三种不同的地址翻译模式:
w 静态源地址翻译:当内部的一个数据包通过防火墙出去时,把其源地址(一般是一个内部保留地址)转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。
w 静态目的地址翻译:当外部的一个数据包通过防火墙进入内部网时,把其目的地址(合法地址)转换成一个内部使用的地址(一般是内部保留地址)。
w 动态地址翻译(也称为隐藏模式):把一个内部网的地址段转换成一个合法地址,以解决企业的合法IP地址太少的问题,同时隐藏内部网络结构,提高网络安全性能。
4.8:内容安全
FireWall-1的内容安全服务保护网络免遭各种威胁,包括病毒、Jave和ActiveX代码攻击等。内容安全服务可以通过定义特定的资源对象,制定与其它安全策略类似的规则来完成。内容安全与FireWall-1的其它安全特性集成在一起,通过图形用户界面集中管理。OPSEC提供应用开发接口(API)以集成第三方内容过滤系统。
FireWall-1的内容安全服务包括:
w 利用第三方的防病毒服务器,通过防火墙规则配置,扫描通过防火墙的文件,清除计算机病毒;
w 根据安全策略,在访问WEB资源时,从HTTP页面剥离Java Applet,ActiveX等小程序及Java,Script等代码;
w 用户定义过滤条件,过滤URL;
w 控制FTP的操作,过滤FTP传输的文件内容;
w SMTP的内容安全(隐藏内部地址、剥离特定类型的附件等);
w 可以设置在发现异常时进行记录或报警;
w 通过控制台集中管理、配置、维护。
4.9:连接控制
FireWall-1的连接控制模块提供了负载平衡功能,在提供相同服务的多个应用服务器之间实现负载分担,应用服务器不要求都放在防火墙后面。用户可选用不同的负载均衡算法:
w Server Load--该方法由服务器提供负载均衡算法,需要在应用服务器端安装负载测量引擎;
w Round Trip--FireWall-1利用ping命令测定防火墙到各个应用服务器之间的循回时间,选用循回时间最小者响应用户请求;
w Round Robin--FireWall-1根据其记录表中的情况,简单地指定下一个应用服务器响应;
w Random--FireWall-1随机选取应用服务器响应;
w Domain--FireWall-1按照域名最近的原则,指定最近的应用服务器响应。
4.10:路由器安全管理
可以通过FireWall-1的管理工作站对企业范围内的路由器提供集中的安全管理:
w 通过图形用户界面生成路由器的过滤和配置;
w 引入、维护路由器的访问控制列表;
w 记录路由器事件(需要路由器支持日志功能);
w 在路由器上执行通过图形用户界面制定的安全策略。
FireWall-1可以集中管理以下路由器:
w Bay Networks routers, version 7.x - 12.x
w Cisco routers, IOS version 9 - 11
w Cisco PIX Firewall,version 3.0, 4.0
w 3Com NetBuilder, version 9.x
w Microsoft RAS(Steelhead) Routers for Windows NT server 4.x
CheckPoint FireWall-1防火墙是目前国际市场占有率最高的防火墙产品,通过了美国国际计算机安全协会(ICSA)认证及欧洲ITSEC E3认证。
