Fire Wall-1采用的是集中控制下的分布式客户机/服务器结构,性能好,配置灵活。公司内部网络可以设置多个Fire Wall-1模块,由一个工作站负责监控。对于受安全保护的信息,客户只有在获得授权后才能访问它。灵活的配置和可靠的监控使得Fire Wall-1成为Internet单网关或整个企业网安全保障的首选产品。
网络安全的新模式——Stateful Inspection技术
Stateful Inspection采用了一个检测模块(一个在网关上执行网络安全策略的软件引擎)。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据(状态信息)并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。Fire Wall-1的“状态监视技术”的工作性能超过传统的防火墙达两倍以上. Fire Wall-1在通信网络层截取数据包,然后在所有的通信层上抽取有关的状态信息,据此判析该通信是否符合安全政策。与其它安全方案不同,当用户访问到达网关的操作系统前,Stateful Inspection 要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给庐通信加密等决定。一旦某个访问违反安全规定,安全报警就会拒绝该访问,并作记录,向系统管理器报告网络状态。
Fire Wall-1的用户鉴定功能是指通过一个扩充的登录过程鉴定Telnet、FTP 和HTTP的用户身份。此外,Fire Wall-1还有一个独创功能——客户鉴定。客户鉴定的机制可以用以鉴别任何应用(标准的或自定的)的客户。无论它是基于TCP 、UDP还是RPC协议。采用客户鉴定时,授权是按机器进行的,因为这种服务并无登录的步骤。无论用户鉴定还是客户鉴定都不会对服务器和应用程序有任何影响。鉴定采用标准密码或标准结卡或软件之类的密码机加ID和S/key。
Fire Wall-1的SecuRemote客户加密软件保护用户与防火墙的通信。用户的数据从Windows 95发出就是经过SecuRemote加密的,这一过程用户是毫无察觉的。对网络进行访问的移动用户或远方访问用户,为了安全起见,采用SecuRemote 将是思想的选择,而且Secu Remote支持动态IP地址,对于拨号连接的用户恰好适用,对于LAN网内需要加密保护的通信也是适用的。
Fire Wall-1的加密模块可以在Internet网上建立完全保密的信道。在公共线路上传输保密数据,Fire Wall-1可以确保与远程工作站通信的安全性和灵活性,而费用要比租用专用线路少得多。可选择的加密方式:Fire Wall-1可采用DES或FWZ1两种加密算法,网络与工作站之间既能传输明码数据又能传输加密数据。DES和FWZ1可同时配置,用户依据效率、安全性和传输速度选择最佳方式。
集成的、易操作的密钥管理程序
Fire Wall-1可自动产生和维护各类密钥。应用Diffire-Hellman模式,每一个加密通信将产生一对高度保密的公共和专有密钥。利用SRA技术,可以实现通信的确认授权。为了便于安装、管理和控制,Fire Wall-1保留了路由选择的优先权和策略,这也提高了工作效率。
附加安全措施
□防电子欺骗术 Fire Wall-1的防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。Fire Wall-1还会对可疑信息进行鉴别,并向网络管理员报警。
□网络地址转换 Fire Wall-1的地址转换是对Internet隐藏内部地址,防止内疗地址公开。这一功能克服了IP寻址方式的诸多控制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可对Internet进行访问。
□开放式结构设计 Fire Wall-1的开放式结构设计使得它与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
□路由器安全管理程序(选择) Fire Wall-1的网络安全管理器是一个供选择的模块,它为Bay和Cisco的路由器提供集中管理和访问列表控制。Fire Wall-1 的图形界面和功能强大的工具软件使得制定安全政策、管理、审查和报表等工作都很简单直观。
□直观简便 Fire Wall-1提供了功能强大的图形界面工具,用于定义安全策略、灵活的管理、审计、报告,从而集成整个企业的安全保障。
□操作简便 Fire Wall-1的安装,配置和管理都很简单,它的图形界面使得用户对各类实体的控制更加方便,能够在不影响系统运行的前提下,实施新的安全政策或修改现行政策。一旦安全策略制订完毕,Fire Wall-1将自动检查它的一致性,保证供给规定不相矛盾,减少潜在的操作员失误。
Fire Wall-1的一大特点是具有图形化登录浏览引擎。它能够跟踪整理每个通信请示,实现与安全网关的连接。每个通信都有一个记录,记录包括时间、日期、协议及详细的信息、服务请求、动作(接受、拒绝、丢弃加密等)、源、目的地址、用户、数据包长度,如果需要的话,密钥和用户姓名也包含在内。凭借图形化浏览器和许多分析工具可以进行实时和历史审查,并对网上各种可疑行动都能够跟踪和监视,利用Check Point的编程语言INSPEC,可以扩充管理器的标准登记录格式,为满足特殊需要也可以定义新的格式。详细报表与Log Viewer 相匹配的是一个综合查询报表引擎。只要在登录浏览引擎中选择数字段名,用户报表就很容易产生。
上海市商城路341号紫光大厦1305室 
+0086-21-58878998 
+0086-21-58879030
HappyFreeAngel@hotmail.com