汇丰代理—CheckPoint FireWall-1系统.docVIP

汇丰代理—CheckPoint FireWall-1系统(第1页) 　 新一代防火墙产品 CheckPoint FireWall-1主要特性 　　从网络安全的需求上来看，可以把FireWall-1的主要特点分为三大类，第一类为安全性类，包括访问控制、授权论证、加密、内容安全等；第二类是管理和记帐，包括安全策略管理、路由器安全管理、记帐、监控等；第三类为连接控制，主要为企业消息发布的服务器提供可靠的连接服务，包括负载均衡、高可靠性等。 一、安全性类 1、 访问控制 　　FireWall-1的状态监测技术，可以提供全七层应用识别，支持160种以上的预定义应用和协议。另外，FireWall-1还可以提供基于时间为对象的安全策略定制方法，可以利用年、月、日、时定制时间对象。 2、 授权认证（Aughrntication） 　　FireWall-1能为用户提供透明授权认证服务。FireWall-1的服务认证是集成在整个企业范围内的安全策略，可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。 FireWall-1提供三种认证方法： ● 用户认证（User Authentication） ● 客户认证（Client Authentication） ● 话路认证（Session Authentication） FireWall-1提供以下五种认证方案（Schemes）： SecurID，S/Key，OS Password，Internal，Axent，RADIUS 3、 内容安全（Content Security） 　　内容安全是CheckPoint FireWall-1 V 3.0 提供的新功能。可能保护用户的网络、信息资源免遭宏病毒、恶意Java、A ctvie X小应用程序及含不需要内容的Web文件的入侵和骚扰，同时又能提供向Internet的较好访问。 　　CheckPoint 的 OPSEC 框架提供集成第三方内容扫描程序的API接口。有了支持OPSECAlliance程序的接口，企业可以根据需要自由选择内容扫描程序，以取得最佳效果。 FireWall-1提供以下内容安全机制： ● 计算机病毒扫描 ● URL扫描（URL Screening） ● Java、Active X小应用程序的剥离 ● 支持Mail（SMTP） ● HTTP过滤 ● 支持FTP 4、 加密（FireWall-1的VPN技术） 　　为了保证在公共网络上实现企业信息的安全传输 FireWall-1 提供了基于Internet的VPN技术。FireWall-1提供160多种预定义协议的可选择、透明的加密算法，允许企业充分利用Internet资源，安全地实现其所有商业和接入需求。FireWall-1提供多种加密方案、密钥管理和内部权威密钥认证机构（Certificate Authotity）。 安全的VPNs 可选的加密 FireWall-1支持以下三种加密方案：FWZ，Manual Ipsec，SKIP 5、 SecuRemote模块 　　FireWall-1 SecuRemote使Win95和Win NT的移动用户和远程用户得以访问他们的企业网络，可以直接或通过ISP连接到企业的服务器，同时保证企业敏感数据的安全传送。 6、 地址翻译（NAT） FireWall-1提供IP地址翻译的能力，支持动态和静态地址翻译。IP翻译可以满足以下两种需求： ● 隐藏企业内部IP地址和网络结构 ● 把内部的非法IP地址翻译成合法的IP地址 NAT技术有3种——静态NAT(Static NAT)、NAT池(Pooled NAT)和端口级NAT（Port－Level NAT）。端口级NAT有时也被称作端口地址转换或PAT（Port Address Translation）。静态NAT是这三种中最容易实现的一种，内部网中的每一台主机都被静态地映射到一个外部网络地址上去。NAT池定义了一个外部网络合法地址的地址池，地址池中的地址每次都会被动态地分配给内部主机。PAT则将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。 端口地址转换（Port Address Translation）可以扩展公司可使用的Internet IP，用户 的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP可以映射六万多 个内部网主机，并发访问为16384条。 如果企业希望内部网络中的服务器可以让Internet用户访问的话，可以利用反向NAT（R -NAT）或反向PAT（R-PAT）系统，为内部网络服务