三、 状态检测机制
FireWall-1采用CheckPoint公司的状态检测(Stateful Inspection)专利技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。
FireWall-1状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。
状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。
状态检测模块可以识别不同应用的服务类型,还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。
状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新,通过这些数据,FireWall-1可以检测到后继的通信。
状态检测技术对应用程序透明,不需要针对每个服务设置单独的代理,使其具有更高的安全性、高性能、更好的伸缩性和扩展性,可以很容易把用户的新应用添加到保护的服务中去。
FireWall-1提供的INSPECT语言,结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。
INSPECT是一个面向对象的脚本语言,为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件,经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件,可以编辑,以满足用户特定的安全要求。
四、 OPSEC
CheckPoint是开放安全企业互联联盟(OPSEC)的组织和倡导者之一。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。
OPSEC通过把FireWall-1嵌入到已有的网络平台(如Unix、NT服务器、路由器、交换机以及防火墙产品),或把其它安全产品无缝集成到FireWall-1中,为用户提供一个开放的、可扩展的安全框架。
目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。
五、 企业级防火墙安全管理
FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。
企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则,每条规则分别指定了源地址、目的地址、服务类型(HTTP、FTP、TELNET等)、针对该连接的安全措施(放行、拒绝、丢弃或者是需要通过认证等)、需要采取的行动(日志记录、报警等)、以及安全策略执行点(是在防火墙网关还是在路由器或者其它保护对象上上实施该规则)。
FireWall-1管理员通过一个防火墙管理工作站管理该规则库,建立、维护安全策略,加载安全规则到装载了防火墙或状态检测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证,然后通过加密信道传输。
FireWall-1直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具。
● 安全策略编辑器:维护被保护对象,维护规则库,添加、编辑、删除规则,加载规则到安装了状态检测模块的系统上。
● 日志管理器:提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息,提供实时报警和入侵检测及阻断功能。
● 系统状态查看器:提供实时的系统状态、审计和报警功能。