網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。
六、 分布的客戶機/服務器結構
FireWall-1通過分布式的客戶機/服務器結構管理安全策略,保證高性能、高伸縮性和集中控制。
FireWall-1由基本模塊(防火墻模塊、狀態檢測模塊和管理模塊)和一些可選模塊組成。這些模塊可以通過不同數量、平臺的組合配置成靈活的客戶機/服務器結構。
管理模塊包括了圖形用戶界面和管理員定義的相關管理對象——規則庫,網絡對象,服務、用戶等。防火墻模塊、狀態檢測模塊以及其它可選模塊用來執行安全策略,安裝了這些模塊的系統稱為受保護對象(Firewalled System),又稱為安全策略執行點(Security Enforcement Point)。
FireWall-1的客戶機/服務器結構是完全集成的,只有一個統一的安全策略和一個規則庫,通過一個單一的防火墻管理工作站,管理多個裝載了防火墻模塊、狀態檢測模塊或可選模塊的系統。
七、 認證(Authentication)
遠程用戶和撥號用戶可以經過FireWall-1的認證后,訪問內部資源。
FireWall-1可以在不修改本地服務器或客戶應用程序的情況下,對試圖訪問內部服務器的用戶進行身份認證。FireWall-1的認證服務集成在其安全策略中,通過圖形用戶界面集中管理,通過日志管理器監視、跟蹤認證會話。
FireWall-1提供三種認證方法:
● 用戶認證(User Authentication):針對特定服務提供的基于用戶的透明的身份認證,服務限于FTP、TELNET、HTTP、HTTPS、RLOGIN。
● 客戶機認證(Client Authentication):基于客戶機IP的認證,對訪問的協議不做直接的限制。客戶機認證不是透明的,需要用戶先登錄到防火墻認證IP和用戶身份之后,才允許訪問應用服務器。客戶機不需要添加任何附加的軟件或做修改。當用戶通過用戶認證或會話認證后,同時也就已經通過客戶機認證。
● 會話認證(Session Authentication):提供基于服務會話的的透明認證,與IP無關。采用會話認證的客戶機必須安裝一個會話認證代理,訪問不同的服務時必須單獨認證。
FireWall-1提供多種認證機制供用戶選擇:S/Key,FireWall-1 Password,OS Password,LDAP,SecureID,RADIUS,TACACS等。
八、 地址翻譯(NAT)
FireWall-1支持三種不同的地址翻譯模式:
● 靜態源地址翻譯:當內部的一個數據包通過防火墻出去時,把其源地址(一般是一個內部保留地址)轉換成一個合法地址。靜態源地址翻譯與靜態目的地址翻譯通常是配合使用的。
● 靜態目的地址翻譯:當外部的一個數據包通過防火墻進入內部網時,把其目的地址(合法地址)轉換成一個內部使用的地址(一般是內部保留地址)。
● 動態地址翻譯(也稱為隱藏模式):把一個內部網的地址段轉換成一個合法地址,以解決企業的合法IP地址太少的問題,同時隱藏內部網絡結構,提高網絡安全性能。
九、 內容安全
FireWall-1的內容安全服務保護網絡免遭各種威脅,包括病毒、Jave和ActiveX代碼攻擊等。內容安全服務可以通過定義特定的資源對象,制定與其它安全策略類似的規則來完成。內容安全與FireWall-1的其它安全特性集成在一起,通過圖形用戶界面集中管理。OPSEC提供應用開發接口(API)以集成第三方內容過濾系統。
FireWall-1的內容安全服務包括:
● 利用第三方的防病毒服務器,通過防火墻規則配置,掃描通過防火墻的文件,清除計算機病毒;
● 根據安全策略,在訪問WEB資源時,從HTTP頁面剝離Java Applet,ActiveX等小程序及Java,Script等代碼;
● 用戶定義過濾條件,過濾URL;
● 控制FTP的操作,過濾FTP傳輸的文件內容;
● SMTP的內容安全(隱藏內部地址、剝離特定類型的附件等);
● 可以設置在發現異常時進行記錄或報警;
● 通過控制臺集中管理、配置、維護。
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。
