Checpoint中文资料.doc

Check Point FireWall-1 技 术 资 料 目 录 Check Point FireWall-1技术白皮书 1. FireWall-1简介 2 1.1. 状态检测机制 2 1.2. FireWall-1产品组成 3 1.2.1. Check Point FireWall-1产品包括以下模块： 3 1.2.2. FireWall-1提供单网关和企业级两种产品组合。 3 1.3. OPSEC 4 1.4. 企业级防火墙安全管理 4 1.5. 分布的客户机/服务器结构 4 1.6. 认证（Authentication） 5 1.7. 地址翻译（NAT） 5 1.8. 内容安全 5 1.9. 连接控制 6 1.10. 路由器安全管理 6 2. FireWall-1的规划 7 2.1. FireWall-1体系结构 7 2.1.1. 管理模块 7 2.1.2. 防火墙模块 8 2.2. 典型配置分析 9 网关方式配置 9 防火墙的网关和分离的管理工作站 9 2.2.3. 防火墙网关和两个内部网络 10 2.2.4. 由一个管理工作站和控制的两个防火墙网关 11 2.2.5 失效恢复网关配置 11 3. 与Cisco PIX的比较 12 Check Point FireWall-1安装配置手册 4. FireWall-1安装 15 4.1. 安装前的准备 15 4.1.1. 网络环境准备 15 4.1.2. 配置需求 16 4.2. 一步一步的安装 17 5. FireWall-1卸载 28 6. 停止FireWall-1运行 28 6.1. 卸载安全策略 28 6.2. 停止状态检测 28 6.3. 屏蔽FireWall-1 28 7. 重新配置FireWall-1 28 8. 典型配置案例 29 8.1. 工程简介及工程要求： 29 8.1.1. 拓扑图 29 8.1.2. 工程具体要求如下： 29 8.2. FireWall-1安装过程及注意事项： 30 8.3. FireWall-1的规则制定细节及含义 30 8.4. 定义网络规则的注意事项： 31 8.5. 安装完FireWall-1防火墙后的测试工作 32 9. 小结 32  Check Point FireWall-1 技术白皮书 FireWall-1简介 状态检测机制 FireWall-1提出了一个全新的“状态检测”的防火墙技术，它可以在网络层实现所有必要的防火墙功能。利用状态检测技术，FireWall-1的检测模块访问和分析所有从通讯层得到的数据。为了控制无连接的协议（例如：基于RPC和UDP的应用），FireWall-1提供了虚拟会话信息，这些会话信息的“状态”和“上下文”数据动态地存储和更新。从通讯和应用状态积累起来的数据，网络配置和安全规则常常用来产生适当的动作，接受、拒绝或者加密通讯的数据包。任何没有被安全规则明确允许的数据包默认被丢弃，并且产生实时的报警，为系统管理者提供完全的网络状态。 FireWall-1采用Check Point公司的状态检测（Stateful Inspection）专利技术，以不同的服务区分应用类型，为网络提供高安全、高性能和高扩展性保证。 FireWall-1状态检测模块分析所有的包通讯层，汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用。 状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。 状态检测模块可以识别不同应用的服务类型，还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。 状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新，通过这些数据，FireWall-1可以检测到后继的通信。 状态检测技术对应用程序透明，不需要针对每个服务设置单独的代理，使其具有更高的安全性、高性能、更好的伸缩性和扩展性，可以很容易把用户的新应用添加到保护的服务中去。 FireWall-1提供的INSPECT语言，结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。 INSPECT是一个面向对象的脚本语言，为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件，经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件，可以编辑，以满足用户特定的安全要求。 FireWall-1产品组成 Check Point FireWall-1产品包括以下模块：