第6章 ：防火墙技术剖析.ppt

6.5.2 防火墙的安装 还有一种方法是把防火墙安装在一个公共子网中，其作用相当于一台双端口的主机。 采用应用与线路入口及信息包过滤来安装防火墙也是常用的方法之一。所谓应用与线路的入口，就是把所有的包都按地址送给入口上的用户级应用程序，入口在两点间传送这些包。对于多数应用入口，需要一个附加的包过滤机制来控制、筛选入口和网络之间的信息流。典型的配置包括两个路由器，其中之一作为设防主站，起两者间的应用入口的作用。而应用入口对用户、对应用程序、对运行的入口主站均不透明。对用户而言，必须对他们使用的每一个应用程序安装一个特定的客户机应用程序，而带入口的每一个应用程序均是一段独立的专用软件，需要一组自己的管理工具和许可才行。 * * 6.5.3 防火墙的维护 1. 建立防火墙的安全策略 安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。 2. 对网络维护人员培训 必须对网管人员经过一定的业务培训，使他们对自己的计算机网络，包括防火墙的内部结构配置要清楚。 * * 6.5.3 防火墙的维护 3. 实施定期安全检查 网管人员要实施定期的扫描和检查，发现系统结构出了问题能及时排除和恢复。 4．网络服务访问策略 　网络服务访问策略主要用于定义在网络中答应的或禁止的网络服务，还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。比如，假如一个防火墙阻止用户使用Telnet服务访问因特网，一些人可能会使用拨号连接来获得这些服务，这样就可能会使网络受到攻击。 * * 6.5.3 防火墙的维护 5. 保证通信线路畅通 网管人员要保证系统监控计防火墙之间的通信线路畅通无阻，以便对安全问题进行报警、恢复、处理其他安装信息等。 * * 6.6 防火墙产品介绍（最新版本） 6.5.1 Check Point Firewall-1 FireWall-1是Check Point公司推出的一个基于策略的网络安全解决方案，它对访问控制、授权、加密、网络地址转换、内容安全服务和服务器负载平衡提供集中的管理。FireWall-1使得企业可以在提供完全的、透明的互联服务的情况下定义和实施统一的全面的安全策略。下面对Check Point FireWall-1 防火墙的主要技术特点及其相关技术做一介绍。 * * 6.6 防火墙产品介绍（最新版本） 1. 状态监测技术 FireWall-1使用了Check Point的专利技术—状态监测技术（Stateful Inspection Technology），状态监测技术保证了高级别的网络安全和性能，一个功能强大的监测模块检查每一个通过网络的关键处（如Internet网关、服务器、工作站、路由器或交换机）的包，并能阻止所有非法的通信企图，只有遵循企业安全策略的包才能进入网络。 1）FireWall-1监测模块 FireWall-1监测模块在OSI七层模型中所处的位置，并简单描述了它的工作流程。状态监测模块截获、分析并处理所有试图通过防火墙的数据包，据此判断该通信是否符合安全策略，以保证网络的高度安全和数据完整。一旦某个通信违反安全策略，安全警报器就会拒绝该通信，并作记录，向系统管理器报告网络状态。如图6-35所示。 * * 6.6 防火墙产品介绍（最新版本） 2）全面的状态记录 FireWall-1检查从整个七层模型的每层传送来的数据，并分析其中状态信息，以监测所有状态，并将网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。安全策略是用FireWall-1的图形用户界面来定义的。根据安全策略，FireWall-1生成一个INSPECT语言写成的脚本文件，这个脚本被编译后，加载到安装有状态监测模块的系统上，脚本文件是ASCII文件，可以编辑，以满足用户特定的安全要求。监测模块检查IP地址、端口号以及其他决定其是否符合企业安全策略的信息。监测模块保存和更新动态连接表中的状态和内容信息，这些表不断更新，为FireWall-1检查后继的通信提供积累的先验数据。 * * 6.6 防火墙产品介绍（最新版本） 2. FireWall-1的体系结构与组成 FireWall-1具有可伸缩性、模块化的体系结构，采用的是集中控制下的分布式客户机/服务器结构，性能好，配置灵活。企业网安装了FireWall-1后，可以用一个工作站对多个网关和服务器的安全策略进行配置和管理。企业安全策略只须在中心管理控制台定义一次，并被自动下载到网络的多个安全