[互联网]第11章网络安全.ppt

小型办公室：小型办公室要管理的用户和机器显然比较少。它们通常不大容易成为攻击目标。而且只需要访问极少量的因特网服务：电子邮件、Web以及有时需要的流媒体。在这种情形下，几乎任何防火墙都能够胜任。因为一般说来，办公室规模越小，用户数就越少，面临的风险也就越低。 因此，就小型办公室而言，简单的数据包过滤防火墙就足够了，譬如许多DSL或线缆路由器随机自带的那些防火墙。其中包括D-Link、3Com、Netgear和Linksys等公司出品的宽带路由器。另外，WatchGuard的Firebox SOHO、Symantec的Firewall 100、Global科技公司的GNAT、NetScreen以及SonicWall SOHO等防火墙也完全适用于这种环境。Check Point和Cisco分别提供小型办公室版本的FireWall-1和PIX，不过价格要贵一点。 复杂的大型环境：拥有诸多用户和诸多有问题的复杂服务的大企业更具挑战性。“有问题的”服务是指貌似简单但实际上需要防火墙开放多个端口的服务，譬如VoIP和NetMeeting。这两种服务都需要为25种以上的不同服务开放端口，所以就应该使用应用网关防火墙，或者仅限于严格控制的环境（譬如，从内部网络、某一组IP地址启动服务、只在特定时间段进行）。此外，如果在复杂的大型环境安装防火墙，应该使用支持集中式防火墙管理和配置功能的防火墙，譬如PIX、CyberGuard、Firebox、FireWall-1、NetScreen和Sidewinder G2。 记住这些是指导原则，如果配置得当，每个类型的任何一款防火墙以及没有提到的其它防火墙都能够胜任。 二、FireWall-1产品组成：CheckPoint FireWall-1产品包括以下模块：● 基本模块状态检测模块：提供访问控制、客户机认证、会话认证、地址翻译和审计功能；防火墙模块：包含一个状态检测模块，另外提供用户认证、内容安全和多防火墙同步功能；管理模块：对一个或多个安全策略执行点（安装了FireWall-1的某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等的系统）提供集中的、图形化的安全管理功能；● 可选模块连接控制（Connect Control）：为提供相同服务的多个应用服务器提供负载平衡功能；路由器安全管理模块（Router Security Management）：提供通过防火墙管理工作站配置、维护3Com，Cisco，Bay等路由器的安全规则；其它模块，如加密模块等。● 图形用户界面（GUI）：是管理模块功能的体现，包括策略编辑器：维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去；日志查看器：查看经过防火墙的连接，识别并阻断攻击；系统状态查看器：查看所有被保护对象的状态。FireWall-1提供单网关和企业级两种产品组合：单网关产品：只有防火墙模块（包含状态检测模块）、管理模块和图形用户界面各一个，且防火墙模块和管理模块必须安装在同一台机器上。企业级产品：可以有若干基本模块和可选模块以及图形用户界面组成，特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。 OPSECCheckPoint是开放安全企业互联联盟(OPSEC)的组织和倡导者之一。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。OPSEC通过把FireWall-1嵌入到已有的网络平台（如Unix、NT服务器、路由器、交换机以及防火墙产品），或把其它安全产品无缝集成到FireWall-1中，为用户提供一个开放的、可扩展的安全框架。目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。 内容安全 FireWall-1的内容安全服务保护网络免遭各种威胁，包括病毒、Jave和ActiveX代码攻击等。内容安全服务可以通过定义特定的资源对象，制定与其它安全策略类似的规则来完成。内容安全与FireWall-1的其它安全特性集成在一起，通过图形用户界面集中管理。OPSEC提供应用开发接口（API）以集成第三方内容过滤系统。 FireWall-1的内容安全服务包括： ● 利用第三方的防病毒服务器，通过防火墙规则配置，扫描通过防火墙的文件，清除计算机病毒； ● 根据安全策略，在访问WEB资源时，从HTTP页面剥离Java Applet，ActiveX等小程序及Java，Script等代码； ● 用户定义过滤条件，过滤URL； ● 控制FTP的操作，过滤FTP传输的文件内容； ● SMTP的内容安全（隐藏内部地址、剥离特定类型的附件等）； ● 可以设置在发现异常时进行记录或报警； ● 通过控制