七、 认证(Authentication)
远程用户和拨号用户可以经过FireWall-1的认证后,访问内部资源。
FireWall-1可以在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。
FireWall-1提供三种认证方法:
● 用户认证(User Authentication):针对特定服务提供的基于用户的透明的身份认证,服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN。
● 客户机认证(Client Authentication):基于客户机IP的认证,对访问的协议不做直接的限制。客户机认证不是透明的,需要用户先登录到防火墙认证IP和用户身份之后,才允许访问应用服务器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后,同时也就已经通过客户机认证。
● 会话认证(Session Authentication):提供基于服务会话的的透明认证,与IP无关。采用会话认证的客户机必须安装一个会话认证代理,访问不同的服务时必须单独认证。
FireWall-1提供多种认证机制供用户选择:S/Key,FireWall-1 Password,OS Password,LDAP,SecureID,RADIUS,TACACS等。
FireWall-1支持三种不同的地址翻译模式:
● 静态源地址翻译:当内部的一个数据包通过防火墙出去时,把其源地址(一般是一个内部保留地址)转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。
● 静态目的地址翻译:当外部的一个数据包通过防火墙进入内部网时,把其目的地址(合法地址)转换成一个内部使用的地址(一般是内部保留地址)。
九、 内容安全
FireWall-1的内容安全服务保护网络免遭各种威胁,包括病毒、Jave和ActiveX代码攻击等。内容安全服务可以通过定义特定的资源对象,制定与其它安全策略类似的规则来完成。内容安全与FireWall-1的其它安全特性集成在一起,通过图形用户界面集中管理。OPSEC提供应用开发接口(API)以集成第三方内容过滤系统。
FireWall-1的内容安全服务包括:
● 利用第三方的防病毒服务器,通过防火墙规则配置,扫描通过防火墙的文件,清除计算机病毒;
● 根据安全策略,在访问WEB资源时,从HTTP页面剥离Java Applet,ActiveX等小程序及Java,Script等代码;
● 用户定义过滤条件,过滤URL;
● 控制FTP的操作,过滤FTP传输的文件内容;
● SMTP的内容安全(隐藏内部地址、剥离特定类型的附件等);
● 可以设置在发现异常时进行记录或报警;
● 通过控制台集中管理、配置、维护。
