企业如何选择合适的防火墙知识讲稿.pptVIP

第11章 企业如何选择合适的防火墙 ;11.1 防火墙的技术与应用-选购和应用;小型办公室：小型办公室要管理的用户和机器显然比较少。它们通常不大容易成为攻击目标。而且只需要访问极少量的因特网服务：电子邮件、Web以及有时需要的流媒体。在这种情形下，几乎任何防火墙都能够胜任。因为一般说来，办公室规模越小，用户数就越少，面临的风险也就越低。 因此，就小型办公室而言，简单的数据包过滤防火墙就足够了，譬如许多DSL或线缆路由器随机自带的那些防火墙。其中包括D-Link、3Com、Netgear和Linksys等公司出品的宽带路由器。另外，WatchGuard的Firebox SOHO、Symantec的Firewall 100、Global科技公司的GNAT、NetScreen以及SonicWall SOHO等防火墙也完全适用于这种环境。Check Point和Cisco分别提供小型办公室版本的FireWall-1和PIX，不过价格要贵一点。;需求一般的大中型办公室：“一般”是指基本或标准的因特网服务。当然，“一般”的定义会随着时间而变化，不过就目前实际应用而言，它包括下列服务：Web、电子邮件、流式媒体以及少量的文件传输和终端访问。 几乎任何功能并不局限于简单的静态过滤防火墙都能满足这种需求。应用代理防火墙也能胜任这项任务，不过现在纯粹的基于网关的应用防火墙寥寥无几。许多主要品牌的防火墙都是混合型，如CyberGuard、Firebox、PIX、NetScreen、Sidewinder、Raptor和FireWall-1，在有些情况下，允许用户选择代理、状态检测还是动态过滤。如果配置成让尽可能多的服务使用安全代理，上述任何一款防火墙都很合适。电子邮件应当始终使用代理，防火墙应当只允许电子邮件进出指定的电子邮件服务器。从内部到因特网的所有Web访问应该实行代理。如果常用服务没有代理，使用动态即状态过滤也不失为好办法。 ;状态检测机制 FireWall-1采用CheckPoint公司的状态检测（Stateful Inspection）专利技术以不同的服务区分应用类型，为网络提供高安全、高性能和高扩展性保证。 FireWall-1状态检测模块分析所有的包通讯层，汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用状态检测模块截获、分析并处理所有试图通过防??墙的数据包，保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。 状态检测模块可以识别不同应用的服务类型，还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。 状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新，通过这些数据，FireWall-1可以检测到后继的通信。 状态检测技术对应用程序透明，不需要针对每个服务设置单独的代理，使其具有更高的安全性、高性能、更好的伸缩性和扩展性，可以很容易把用户的新应用添加到保护的服务中去。 FireWall-1提供的INSPECT语言，结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。 INSPECT是一个面向对象的脚本语言，为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件，经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件，可以编辑，以满足用户特定的安全要求。;OPSECCheckPoint是开放安全企业互联联盟(OPSEC)的组织和倡导者之一。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。OPSEC通过把FireWall-1嵌入到已有的网络平台（如Unix、NT服务器、路由器、交换机以及防火墙产品），或把其它安全产品无缝集成到FireWall-1中，为用户提供一个开放的、可扩展的安全框架。目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。;企业级防火墙安全管理 FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则，每条规则分别指定了源地址、目的地址、服务类型（HTTP、FTP、TELNET等）、针对该连接的安全措施（放行、拒绝、丢弃或者是需要通过认证等）、需要采取的行动（日志记录、报警等）、以及安全策略执行点（是在防火墙网关还是在路由器或者其它保护对象上上实施该