網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)，它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體，實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。

FireWall-1網(wǎng)絡(luò)安全防火墻(3)

    

六、 分布的客戶機(jī)/服務(wù)器結(jié)構(gòu)

　　FireWall-1通過分布式的客戶機(jī)/服務(wù)器結(jié)構(gòu)管理安全策略，保證高性能、高伸縮性和集中控制。

　　FireWall-1由基本模塊（防火墻模塊、狀態(tài)檢測(cè)模塊和管理模塊）和一些可選模塊組成。這些模塊可以通過不同數(shù)量、平臺(tái)的組合配置成靈活的客戶機(jī)/服務(wù)器結(jié)構(gòu)。

　　管理模塊包括了圖形用戶界面和管理員定義的相關(guān)管理對(duì)象——規(guī)則庫(kù)，網(wǎng)絡(luò)對(duì)象，服務(wù)、用戶等。防火墻模塊、狀態(tài)檢測(cè)模塊以及其它可選模塊用來執(zhí)行安全策略，安裝了這些模塊的系統(tǒng)稱為受保護(hù)對(duì)象（Firewalled System），又稱為安全策略執(zhí)行點(diǎn)（Security Enforcement Point）。

　　FireWall-1的客戶機(jī)/服務(wù)器結(jié)構(gòu)是完全集成的，只有一個(gè)統(tǒng)一的安全策略和一個(gè)規(guī)則庫(kù)，通過一個(gè)單一的防火墻管理工作站，管理多個(gè)裝載了防火墻模塊、狀態(tài)檢測(cè)模塊或可選模塊的系統(tǒng)。

七、 認(rèn)證（Authentication）

　　遠(yuǎn)程用戶和撥號(hào)用戶可以經(jīng)過FireWall-1的認(rèn)證后，訪問內(nèi)部資源。

　　FireWall-1可以在不修改本地服務(wù)器或客戶應(yīng)用程序的情況下，對(duì)試圖訪問內(nèi)部服務(wù)器的用戶進(jìn)行身份認(rèn)證。FireWall-1的認(rèn)證服務(wù)集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認(rèn)證會(huì)話。
FireWall-1提供三種認(rèn)證方法：

　　● 用戶認(rèn)證（User Authentication）：針對(duì)特定服務(wù)提供的基于用戶的透明的身份認(rèn)證，服務(wù)限于FTP、TELNET、HTTP、HTTPS、RLOGIN。

　　● 客戶機(jī)認(rèn)證（Client Authentication）：基于客戶機(jī)IP的認(rèn)證，對(duì)訪問的協(xié)議不做直接的限制。客戶機(jī)認(rèn)證不是透明的，需要用戶先登錄到防火墻認(rèn)證IP和用戶身份之后，才允許訪問應(yīng)用服務(wù)器。客戶機(jī)不需要添加任何附加的軟件或做修改。當(dāng)用戶通過用戶認(rèn)證或會(huì)話認(rèn)證后，同時(shí)也就已經(jīng)通過客戶機(jī)認(rèn)證。

　　● 會(huì)話認(rèn)證（Session Authentication）：提供基于服務(wù)會(huì)話的的透明認(rèn)證，與IP無關(guān)。采用會(huì)話認(rèn)證的客戶機(jī)必須安裝一個(gè)會(huì)話認(rèn)證代理，訪問不同的服務(wù)時(shí)必須單獨(dú)認(rèn)證。

　　FireWall-1提供多種認(rèn)證機(jī)制供用戶選擇：S/Key，F(xiàn)ireWall-1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。

八、 地址翻譯（NAT）

　　FireWall-1支持三種不同的地址翻譯模式：

　　● 靜態(tài)源地址翻譯：當(dāng)內(nèi)部的一個(gè)數(shù)據(jù)包通過防火墻出去時(shí)，把其源地址（一般是一個(gè)內(nèi)部保留地址）轉(zhuǎn)換成一個(gè)合法地址。靜態(tài)源地址翻譯與靜態(tài)目的地址翻譯通常是配合使用的。

　　● 靜態(tài)目的地址翻譯：當(dāng)外部的一個(gè)數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)部網(wǎng)時(shí)，把其目的地址（合法地址）轉(zhuǎn)換成一個(gè)內(nèi)部使用的地址（一般是內(nèi)部保留地址）。

　　● 動(dòng)態(tài)地址翻譯（也稱為隱藏模式）：把一個(gè)內(nèi)部網(wǎng)的地址段轉(zhuǎn)換成一個(gè)合法地址，以解決企業(yè)的合法IP地址太少的問題，同時(shí)隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，提高網(wǎng)絡(luò)安全性能。

九、 內(nèi)容安全

　　FireWall-1的內(nèi)容安全服務(wù)保護(hù)網(wǎng)絡(luò)免遭各種威脅，包括病毒、Jave和ActiveX代碼攻擊等。內(nèi)容安全服務(wù)可以通過定義特定的資源對(duì)象，制定與其它安全策略類似的規(guī)則來完成。內(nèi)容安全與FireWall-1的其它安全特性集成在一起，通過圖形用戶界面集中管理。OPSEC提供應(yīng)用開發(fā)接口（API）以集成第三方內(nèi)容過濾系統(tǒng)。

　　FireWall-1的內(nèi)容安全服務(wù)包括：

　　● 利用第三方的防病毒服務(wù)器，通過防火墻規(guī)則配置，掃描通過防火墻的文件，清除計(jì)算機(jī)病毒；

　　● 根據(jù)安全策略，在訪問WEB資源時(shí)，從HTTP頁(yè)面剝離Java Applet，ActiveX等小程序及Java，Script等代碼；

　　● 用戶定義過濾條件，過濾URL；

　　● 控制FTP的操作，過濾FTP傳輸?shù)奈募��?nèi)容；

　　● SMTP的內(nèi)容安全（隱藏內(nèi)部地址、剝離特定類型的附件等）；

　　● 可以設(shè)置在發(fā)現(xiàn)異常時(shí)進(jìn)行記錄或報(bào)警；

　　● 通過控制臺(tái)集中管理、配置、維護(hù)。

網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中，正因如此，網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......，各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)，對(duì)應(yīng)發(fā)展，這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。