圖1 顯示了FireWall-1監測模塊在OSI七層模型中所處的位置,并簡單描述了它的工作流程。狀態監測模塊截獲、分析并處理所有試圖通過防火墻的數據包,據此判斷該通信是否符合安全策略,以保證網絡的高度安全和數據完整。一旦某個通信違反安全策略,安全警報器就會拒絕該通信,并作記錄,向系統管理器報告網絡狀態。
1.2 全面的狀態記錄
FireWall-1檢查從整個七層模型的每層傳送來的數據,并分析其中狀態信息,以監測所有狀態,并將網絡和各種應用的通信狀態動態存儲、更新到動態狀態表中,結合預定義好的規則,實現安全策略。監測模塊檢查IP地址、端口號以及其他決定其是否符合企業安全策略的信息。監測模塊保存和更新動態連接表中的狀態和內容
信息,這些表不斷更新,為FireWall-1檢查后繼的通信提供積累的先驗數據。
1.3 INSPECT語言
使用Check Point的INSPECT語言,FireWall-1將安全規則、應用系統、狀態和通信
信息集成在一個強大的安全系統中。INSPECT是一個面向對象的高級腳本語言,為狀態監測模塊提供企業安全規則。安全策略是用FireWall-1的圖形用戶界面來定義的。根據安全策略,FireWall-1生成一個INSPECT語言寫成的腳本文件,這個腳本被編譯后,加載到安裝有狀態監測模塊的系統上,腳本文件是ASCII文件,可以編輯,以滿足用戶特定的安全要求。
2. FireWall-1的體系結構與組成
FireWall-1具有可伸縮性、模塊化的體系結構,采用的是集中控制下的分布式客戶機/服務器結構,性能好,配置靈活。企業網安裝了FireWall-1后,可以用一個工作站對多個網關和服務器的安全策略進行配置和管理。企業安全策略只須在中心管理控制臺定義一次,并被自動下載到網絡的多個安全策略執行點上,而不需逐一配制。FireWall-1由圖形用戶接口(GUI)、管理模塊(Management Module)和防火墻模塊(FireWall Module)三部分組成。
2.1圖形用戶接口
企業范圍的安全策略使用一個直觀的圖形用戶接口來定義和管理,安全策略由網絡實體和安全規則構成。可定義的網絡實體有:主機、網段、其他網絡設備、用戶、服務、資源、時間、加密密鑰等。FireWall-1直觀的圖形用戶界面為集中管理、執行企業安全策略提供了強有力的工具。FireWall-1的圖形用戶接口包括安全策略編輯器、日志管理器和系統狀態查看器。安全策略編輯器維護被保護對象,維護規則庫,添加、編輯、刪除規則,加載規則到已安裝了狀態檢測模塊的系統上。日志管理器提供可視化的對所有通過防火墻網關的連接的跟蹤、監視和統計
信息,提供實時報警和入侵檢測及阻斷功能。系統狀態查看器提供實時的系統狀態、審計和報警功能。
2.2管理模塊
管理模塊對一個或多個安全策略執行點提供集中的、圖形化的安全管理功能。安全策略存在管理服務器上,管理服務器維護FireWall-1的數據庫,包括網絡實體的定義、用戶的定義、安全策略和所有防火墻軟件執行點的日志文件。圖形用戶接口和管理服務器可以同時裝在一臺機器上,也可以采用客戶機/服務器的結構。
2.3防火墻模塊
防火墻模塊可以在Internet網關和其他網絡訪問點上工作。管理服務器將安全策略下載到防火墻模塊上來保護網絡。防火墻模塊包括一個狀態監測模塊,另外提供認證、內容安全服務。
2. 3.1認證
FireWall-1可以在不修改本地服務器或客戶應用程序的情況下,對試圖訪問內部服務器的用戶進行身份認證。FireWall-1的認證服務集成在其安全策略中,通過圖形用戶界面集中管理,通過日志管理器監視、跟蹤認證會話。安全服務器為FTP、HTTP、TELNET和RLOGIN用戶提供認證。如果安全策略為這些服務都指定了認證,監測模塊就將其和合適的安全服務器相聯,來完成需要的認證。如果認證成功,則聯向提供相應服務的目標服務器。此外,FireWall-1還有一個獨創功能,即客戶認證。客戶認證的機制可以用來認證任何應用(標準的或自定的)的客戶,無論它是基于TCP,UDP還是RPC協議,采用客戶認證時,授權是按機器IP進行的。
2.3.2內容安全
FireWall-1為HTTP、FTP、SMTP連接提供可靠的安全服務,其中包含對傳輸文件反病毒檢查、特殊網絡資源的存取控制和SMTP命令。內容安全用資源對象來定義,并通過安全服務器實現。例如,FTP安全服務器提供基于FTP命令(PUT/GET)、傳送文件的文件名限制和防病毒檢查的內容安全管理。SMTP安全服務器提供基于郵件頭的“From”和“To”域以及附件類型的內容安全管理,并且提供安全的sendmail程序阻止直接在線連接攻擊。SMTP安全服務器也作為SMTP地址轉換器,即它可以對外網隱藏真正的用戶名,通過重寫“From”域,而在回應時恢復正確的地址以保持連接。
2.3.3網絡地址轉換(NAT)
FireWall-1的靈活的網絡地址轉換可以對使用私有IP地址因特網主機提供完全的Internet存取。NAT技術是一種將一個IP地址域映射到另一個IP地址域,從而為終端主機提供透明路由的技術。NAT包括靜態網絡地址轉換、動態網絡地址轉換、網絡地址及端口轉換、動態網絡地址及端口轉換、端口映射等。NAT常用于私有地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火墻上實現NAT后,可以隱藏受保護網絡的內部拓撲結構,在一定程度上提高網絡的安全性。如果反向NAT提供動態網絡地址及端口轉換功能,還可以實現負載均衡等功能。
FireWall-1支持三種不同的地址翻譯模式:
靜態源地址翻譯:當內部的一個數據包通過防火墻出去時,把其源地址(一般是一個內部保留地址)轉換成一個合法地址。靜態源地址翻譯與靜態目的地址翻譯通常是配合使用的。
靜態目的地址翻譯:當外部的一個數據包通過防火墻進入內部網時,把其目的地址(合法地址)轉換成一個內部使用的地址(一般是內部保留地址)。
動態地址翻譯(也稱為隱藏模式):把一個內部網的地址段轉換成一個合法地址,以解決企業的合法IP地址太少的問題,同時隱藏內部網絡結構,提高
網絡安全性能。
2. 4分布式客戶機/服務器配置
在分布式客戶機/服務器配置里,可從一個唯一的機器來配置和管理某一處網絡的活動。安全策略在GUI客戶機上定義,同時FireWall-1數據庫在管理服務器上維護。安全策略被下載到各個防火墻模塊上,每個防火墻模塊可以裝在不同的平臺上,分別保護不同的網絡。客戶機、服務器和多個防火墻軟件執行點之間能夠保證真正的遠程管理的連接是安全的。盡管在這種情況下,FireWall-1在一個分布配置下運行,但安全策略是唯一的,不論防火墻模塊被安裝了多少個,都只從唯一的中心管理控制臺定義和更新安全策略。
FireWall-1允許企業定義并執行統一的防火墻中央管理安全策略。企業的防火墻安全策略都存放在防火墻管理模塊的一個規則庫里。規則庫里存放的是一些有序的規則,每條規則分別指定了源地址、目的地址、服務類型(HTTP、FTP、TELNET等)、針對該連接的安全措施(放行、拒絕、丟棄或者是需要通過認證等)、需要采取的行動(日志記錄、報警等)、以及安全策略執行點(是在防火墻網關還是在路由器或者其它保護對象上上實施該規則)。 FireWall-1管理員通過一個防火墻管理工作站管理該規則庫,建立、維護安全策略,加載安全規則到裝載了防火墻或狀態監測模塊的系統上。這些系統和管理工作站之間的通信必須先經過認證,然后通過加密信道傳輸。
該防火墻系統主機操作系統平臺選擇的是Solaris8,安裝的防火墻軟件為Check Point FireWall-1(版本為CPFW1-41),用于對外提供服務的服務器:如WEB、Email、BBS等服務器放在DMZ區;將OA、文件、數據庫等對內的服務器放在企業網內網區;IP地址劃分:DMZ區采用外部合法IP,企業網內網區用私有IP,內網用戶通過防火墻的NAT功能照樣訪問外網,這樣隱含了內部網絡結構;用防火墻對DMZ區、內部領導辦公網、內部其它子網進行隔離,通過防火墻的安全規則設置,對DMZ區及內網進行保護,對內部子網之間的相互訪問進行適當的訪問控制設置,對部分重要數據的訪問進行審計;利用防火墻IP與MAC地址綁定功能,能夠防止內部用戶隨意更改IP地址,避免造成網絡癱瘓;GUI客戶端軟件應安裝在內網工作站中。FireWall-1的安裝、配置和管理都很簡單,限于篇幅本文不再贅敘。
5.結束語
介紹Check Point FireWall-1 防火墻專有的狀態監測技術和安全企業連通性開放平臺(OPSEC)技術,分布式客戶機/服務器的體系結構與組成,并給出其在企業Interanet安全系統中的應用方案。隨著互聯網的不斷發展,網絡安全已成為世界各國十分關注的熱點問題,在建設和利用網絡時,全面規劃和實施網絡安全是非常必要的,而作為網絡互連中最基本的網絡安全機制防火墻技術也必將擁有更廣闊的發展空間。
