一、 CheckPoint简介:
二、FireWall-1产品组成:
CheckPoint FireWall-1产品包括以下模块:
● 基本模块
防火墙模块(FireWall Module):包含一个状态检测模块,另外提供用户认证、内容安全和多防火墙同步功能;
● 可选模块
连接控制(Connect Control):为提供相同服务的多个应用服务器提供负载平衡功能;
路由器安全管理模块(Router Security Management):提供通过防火墙管理工作站配置、维护3Com,Cisco,Bay等路由器的安全规则;
其它模块,如加密模块等。
● 图形用户界面(GUI):是管理模块功能的体现,包括
策略编辑器:维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去;
日志查看器:查看经过防火墙的连接,识别并阻断攻击;
系统状态查看器:查看所有被保护对象的状态。
FireWall-1提供单网关和企业级两种产品组合:
单网关产品:只有防火墙模块(包含状态检测模块)、管理模块和图形用户界面各一个,且防火墙模块和管理模块必须安装在同一台机器上。
企业级产品:可以有若干基本模块和可选模块以及图形用户界面组成,特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。
三、 状态检测机制
FireWall-1采用CheckPoint公司的状态检测(Stateful Inspection)专利技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。
FireWall-1状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。
状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。
状态检测模块可以识别不同应用的服务类型,还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。
状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新,通过这些数据,FireWall-1可以检测到后继的通信。
状态检测技术对应用程序透明,不需要针对每个服务设置单独的代理,使其具有更高的安全性、高性能、更好的伸缩性和扩展性,可以很容易把用户的新应用添加到保护的服务中去。
FireWall-1提供的INSPECT语言,结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。
INSPECT是一个面向对象的脚本语言,为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件,经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件,可以编辑,以满足用户特定的安全要求。
