防火墙的技术与应用-选购和应用(3)
六、 分布的客户机/服务器结构
FireWall-1通过分布式的客户机/服务器结构管理安全策略,保证高性能、高伸缩性和集中控制。
FireWall-1由基本模块(防火墙模块、状态检测模块和管理模块)和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/服务器结构。
管理模块包括了图形用户界面和管理员定义的相关管理对象——规则库,网络对象,服务、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行安全策略,安装了这些模块的系统称为受保护对象(Firewalled System),又称为安全策略执行点(Security Enforcement Point)。
FireWall-1的客户机/服务器结构是完全集成的,只有一个统一的安全策略和一个规则库,通过一个单一的防火墙管理工作站,管理多个装载了防火墙模块、状态检测模块或可选模块的系统。
七、 认证(Authentication)
远程用户和拨号用户可以经过FireWall-1的认证后,访问内部资源。
FireWall-1可以在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。
FireWall-1提供三种认证方法:
● 用户认证(User Authentication):针对特定服务提供的基于用户的透明的身份认证,服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN。
● 客户机认证(Client Authentication):基于客户机IP的认证,对访问的协议不做直接的限制。客户机认证不是透明的,需要用户先登录到防火墙认证IP和用户身份之后,才允许访问应用服务器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后,同时也就已经通过客户机认证。
● 会话认证(Session Authentication):提供基于服务会话的的透明认证,与IP无关。采用会话认证的客户机必须安装一个会话认证代理,访问不同的服务时必须单独认证。
FireWall-1提供多种认证机制供用户选择:S/Key,FireWall-1 Password,OS Password,LDAP,SecureID,RADIUS,TACACS等。
八、 地址翻译(NAT)
FireWall-1支持三种不同的地址翻译模式:
● 静态源地址翻译:当内部的一个数据包通过防火墙出去时,把其源地址(一般是一个内部保留地址)转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。
● 静态目的地址翻译:当外部的一个数据包通过防火墙进入内部网时,把其目的地址(合法地址)转换成一个内部使用的地址(一般是内部保留地址)。
● 动态地址翻译(也称为隐藏模式):把一个内部网的地址段转换成一个合法地址,以解决企业的合法IP地址太少的问题,同时隐藏内部网络结构,提高网络安全性能。
九、 内容安全
FireWall-1的内容安全服务保护网络免遭各种威胁,包括病毒、Jave和ActiveX代码攻击等。内容安全服务可以通过定义特定的资源对象,制定与其它安全策略类似的规则来完成。内容安全与FireWall-1的其它安全特性集成在一起,通过图形用户界面集中管理。OPSEC提供应用开发接口(API)以集成第三方内容过滤系统。
FireWall-1的内容安全服务包括:
● 利用第三方的防病毒服务器,通过防火墙规则配置,扫描通过防火墙的文件,清除计算机病毒;
● 根据安全策略,在访问WEB资源时,从HTTP页面剥离Java Applet,ActiveX等小程序及Java,Script等代码;
● 用户定义过滤条件,过滤URL;
● 控制FTP的操作,过滤FTP传输的文件内容;
● SMTP的内容安全(隐藏内部地址、剥离特定类型的附件等);
● 可以设置在发现异常时进行记录或报警;
● 通过控制台集中管理、配置、维护。