每个企业都需要一个创新的解决方案来集成所有的网络安全互联和.doc

Check Point FireWall-1防火墙的特性及应用 刘昌华 左爱群 （武汉工业学院 计算机与信息工程系 湖北 武汉430023） 摘要：介绍Check Point FireWall-1 防火墙专有的状态监测技术和安全企业连通性开放平台（OPSEC）技术，分布式客户机/服务器的体系结构与组成，并给出其在企业Intranet安全系统中的应用方案。 关键词：防火墙, 状态监测技术,OPSEC,企业网安全系统 0．前言 随着因特网的发展，人们越来越多的利用因特网与外部网络进行信息交流，因特网已经成为商务通信和国际商业的大市场。众所周知，因特网是一个不安全的网络，防火墙作为网络安全体系的基础设备，其作用是切断受控网络的通信主干线，对通过受控主干线的任何通信，进行安全处理。因此防火墙作为一种隔离控制技术，目前已经成为一种新兴的计算机网络安全措施。 在网络安全产品市场中，增长最快的是防火墙产品， Check Point Software Technologies公司作为开放安全企业互联联盟（OPSEC）的组织者和倡导者之一，在防火墙产品市场中占据主导地位，其防火墙产品FireWall-1在国际防火墙市场中的占有率第一。 FireWall-1是一个基于策略的网络安全解决方案[1]，它对访问控制、授权、加密、网络地址转换、内容安全服务和服务器负载平衡提供集中的管理。FireWall-1使得企业可以在提供完全的、透明的互联服务的情况下定义和实施统一的全面的安全策略。 本文将介绍Check Point FireWall-1 防火墙的主要技术特点及其相关技术和体系结构，并给出其在企业Interanet安全系统中的应用方案。 1．网络安全新模式—状态监测技术（Stateful Inspection Technology） FireWall-1使用了Check Point的专利技术—状态监测技术（Stateful Inspection Technology），状态监测技术保证了高级别的网络安全和性能，一个功能强大的监测模块检查每一个通过网络的关键处（如Internet网关、服务器、工作站、路由器或交换机）的包，并能阻止所有非法的通信企图，只有遵循企业安全策略的包才能进入网络。 FireWall-1监测模块 FireWall-1监测模块存在于操作系统的内核，在网络层之下，属于最下层的软件，是一个在网关上执行网络安全策略的软件引擎，如图1所示。监测模块在包到达网关的操作系统之前分析所有的包。除非这些包是遵循企业安全策略的，否则不会被任何高级协议层处理。监测模块检查任何通信，包括无状态的协议如UDP和RPC。 图1 监测模块通信层次图 图1 显示了FireWall-1监测模块在OSI七层模型中所处的位置，并简单描述了它的工作流程。状态监测模块截获、分析并处理所有试图通过防火墙的数据包，据此判断该通信是否符合安全策略，以保证网络的高度安全和数据完整。一旦某个通信违反安全策略，安全警报器就会拒绝该通信，并作记录，向系统管理器报告网络状态。 全面的状态记录 FireWall-1检查从整个七层模型的每层传送来的数据，并分析其中状态信息，以监测所有状态，并将网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。监测模块检查IP地址、端口号以及其他决定其是否符合企业安全策略的信息。监测模块保存和更新动态连接表中的状态和内容信息，这些表不断更新，为FireWall-1检查后继的通信提供积累的先验数据。 INSPECT语言 使用Check Point的INSPECT语言，FireWall-1将安全规则、应用系统、状态和通信信息集成在一个强大的安全系统中。INSPECT是一个面向对象的高级脚本语言，为状态监测模块提供企业安全规则。安全策略是用FireWall-1的图形用户界面来定义的。根据安全策略，FireWall-1生成一个INSPECT语言写成的脚本文件，这个脚本被编译后，加载到安装有状态监测模块的系统上，脚本文件是ASCII文件，可以编辑，以满足用户特定的安全要求。 FireWall-1的体系结构与组成 FireWall-1具有可伸缩性、模块化的体系结构，采用的是集中控制下的分布式客户机/服务器结构，性能好，配置灵活。企业网安装了FireWall-1后，可以用一个工作站对多个网关和服务器的安全策略进行配置和管理。企业安全策略只须在中心管理控制台定义一次，并被自动下载到网络的多个安全策略执行点上，而不需逐一配制。FireWall-1由图形用户接口（GUI）、管理模块（Management Module）和防火墙模块(FireWall Module)