图1 显示了FireWall-1监测模块在OSI七层模型中所处的位置,并简单描述了它的工作流程。状态监测模块截获、分析并处理所有试图通过防火墙的数据包,据此判断该通信是否符合安全策略,以保证网络的高度安全和数据完整。一旦某个通信违反安全策略,安全警报器就会拒绝该通信,并作记录,向系统管理器报告网络状态。
1.2 全面的状态记录
FireWall-1检查从整个七层模型的每层传送来的数据,并分析其中状态信息,以监测所有状态,并将网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。监测模块检查IP地址、端口号以及其他决定其是否符合企业安全策略的信息。监测模块保存和更新动态连接表中的状态和内容
信息,这些表不断更新,为FireWall-1检查后继的通信提供积累的先验数据。
1.3 INSPECT语言
使用Check Point的INSPECT语言,FireWall-1将安全规则、应用系统、状态和通信
信息集成在一个强大的安全系统中。INSPECT是一个面向对象的高级脚本语言,为状态监测模块提供企业安全规则。安全策略是用FireWall-1的图形用户界面来定义的。根据安全策略,FireWall-1生成一个INSPECT语言写成的脚本文件,这个脚本被编译后,加载到安装有状态监测模块的系统上,脚本文件是ASCII文件,可以编辑,以满足用户特定的安全要求。
2. FireWall-1的体系结构与组成
FireWall-1具有可伸缩性、模块化的体系结构,采用的是集中控制下的分布式客户机/服务器结构,性能好,配置灵活。企业网安装了FireWall-1后,可以用一个工作站对多个网关和服务器的安全策略进行配置和管理。企业安全策略只须在中心管理控制台定义一次,并被自动下载到网络的多个安全策略执行点上,而不需逐一配制。FireWall-1由图形用户接口(GUI)、管理模块(Management Module)和防火墙模块(FireWall Module)三部分组成。
2.1图形用户接口
企业范围的安全策略使用一个直观的图形用户接口来定义和管理,安全策略由网络实体和安全规则构成。可定义的网络实体有:主机、网段、其他网络设备、用户、服务、资源、时间、加密密钥等。FireWall-1直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具。FireWall-1的图形用户接口包括安全策略编辑器、日志管理器和系统状态查看器。安全策略编辑器维护被保护对象,维护规则库,添加、编辑、删除规则,加载规则到已安装了状态检测模块的系统上。日志管理器提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计
信息,提供实时报警和入侵检测及阻断功能。系统状态查看器提供实时的系统状态、审计和报警功能。
2.2管理模块
管理模块对一个或多个安全策略执行点提供集中的、图形化的安全管理功能。安全策略存在管理服务器上,管理服务器维护FireWall-1的数据库,包括网络实体的定义、用户的定义、安全策略和所有防火墙软件执行点的日志文件。图形用户接口和管理服务器可以同时装在一台机器上,也可以采用客户机/服务器的结构。
2.3防火墙模块
防火墙模块可以在Internet网关和其他网络访问点上工作。管理服务器将安全策略下载到防火墙模块上来保护网络。防火墙模块包括一个状态监测模块,另外提供认证、内容安全服务。
2. 3.1认证
FireWall-1可以在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。安全服务器为FTP、HTTP、TELNET和RLOGIN用户提供认证。如果安全策略为这些服务都指定了认证,监测模块就将其和合适的安全服务器相联,来完成需要的认证。如果认证成功,则联向提供相应服务的目标服务器。此外,FireWall-1还有一个独创功能,即客户认证。客户认证的机制可以用来认证任何应用(标准的或自定的)的客户,无论它是基于TCP,UDP还是RPC协议,采用客户认证时,授权是按机器IP进行的。
2.3.2内容安全
FireWall-1为HTTP、FTP、SMTP连接提供可靠的安全服务,其中包含对传输文件反病毒检查、特殊网络资源的存取控制和SMTP命令。内容安全用资源对象来定义,并通过安全服务器实现。例如,FTP安全服务器提供基于FTP命令(PUT/GET)、传送文件的文件名限制和防病毒检查的内容安全管理。SMTP安全服务器提供基于邮件头的“From”和“To”域以及附件类型的内容安全管理,并且提供安全的sendmail程序阻止直接在线连接攻击。SMTP安全服务器也作为SMTP地址转换器,即它可以对外网隐藏真正的用户名,通过重写“From”域,而在回应时恢复正确的地址以保持连接。
2.3.3网络地址转换(NAT)
FireWall-1的灵活的网络地址转换可以对使用私有IP地址因特网主机提供完全的Internet存取。NAT技术是一种将一个IP地址域映射到另一个IP地址域,从而为终端主机提供透明路由的技术。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
FireWall-1支持三种不同的地址翻译模式:
静态源地址翻译:当内部的一个数据包通过防火墙出去时,把其源地址(一般是一个内部保留地址)转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。
静态目的地址翻译:当外部的一个数据包通过防火墙进入内部网时,把其目的地址(合法地址)转换成一个内部使用的地址(一般是内部保留地址)。
动态地址翻译(也称为隐藏模式):把一个内部网的地址段转换成一个合法地址,以解决企业的合法IP地址太少的问题,同时隐藏内部网络结构,提高
网络安全性能。
2. 4分布式客户机/服务器配置
在分布式客户机/服务器配置里,可从一个唯一的机器来配置和管理某一处网络的活动。安全策略在GUI客户机上定义,同时FireWall-1数据库在管理服务器上维护。安全策略被下载到各个防火墙模块上,每个防火墙模块可以装在不同的平台上,分别保护不同的网络。客户机、服务器和多个防火墙软件执行点之间能够保证真正的远程管理的连接是安全的。尽管在这种情况下,FireWall-1在一个分布配置下运行,但安全策略是唯一的,不论防火墙模块被安装了多少个,都只从唯一的中心管理控制台定义和更新安全策略。
FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则,每条规则分别指定了源地址、目的地址、服务类型(HTTP、FTP、TELNET等)、针对该连接的安全措施(放行、拒绝、丢弃或者是需要通过认证等)、需要采取的行动(日志记录、报警等)、以及安全策略执行点(是在防火墙网关还是在路由器或者其它保护对象上上实施该规则)。 FireWall-1管理员通过一个防火墙管理工作站管理该规则库,建立、维护安全策略,加载安全规则到装载了防火墙或状态监测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证,然后通过加密信道传输。
该防火墙系统主机操作系统平台选择的是Solaris8,安装的防火墙软件为Check Point FireWall-1(版本为CPFW1-41),用于对外提供服务的服务器:如WEB、Email、BBS等服务器放在DMZ区;将OA、文件、数据库等对内的服务器放在企业网内网区;IP地址划分:DMZ区采用外部合法IP,企业网内网区用私有IP,内网用户通过防火墙的NAT功能照样访问外网,这样隐含了内部网络结构;用防火墙对DMZ区、内部领导办公网、内部其它子网进行隔离,通过防火墙的安全规则设置,对DMZ区及内网进行保护,对内部子网之间的相互访问进行适当的访问控制设置,对部分重要数据的访问进行审计;利用防火墙IP与MAC地址绑定功能,能够防止内部用户随意更改IP地址,避免造成网络瘫痪;GUI客户端软件应安装在内网工作站中。FireWall-1的安装、配置和管理都很简单,限于篇幅本文不再赘叙。
5.结束语
介绍Check Point FireWall-1 防火墙专有的状态监测技术和安全企业连通性开放平台(OPSEC)技术,分布式客户机/服务器的体系结构与组成,并给出其在企业Interanet安全系统中的应用方案。随着互联网的不断发展,网络安全已成为世界各国十分关注的热点问题,在建设和利用网络时,全面规划和实施网络安全是非常必要的,而作为网络互连中最基本的网络安全机制防火墙技术也必将拥有更广阔的发展空间。
