網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)，它把互聯(lián)網(wǎng)上分散的資源融為有機整體，實現(xiàn)資源的全面共享和有機協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡(luò)則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。

FireWall-1網(wǎng)絡(luò)安全防火墻(3)

    

六、 分布的客戶機/服務(wù)器結(jié)構(gòu)

　　FireWall-1通過分布式的客戶機/服務(wù)器結(jié)構(gòu)管理安全策略，保證高性能、高伸縮性和集中控制。

　　FireWall-1由基本模塊（防火墻模塊、狀態(tài)檢測模塊和管理模塊）和一些可選模塊組成。這些模塊可以通過不同數(shù)量、平臺的組合配置成靈活的客戶機/服務(wù)器結(jié)構(gòu)。

　　管理模塊包括了圖形用戶界面和管理員定義的相關(guān)管理對象——規(guī)則庫，網(wǎng)絡(luò)對象，服務(wù)、用戶等。防火墻模塊、狀態(tài)檢測模塊以及其它可選模塊用來執(zhí)行安全策略，安裝了這些模塊的系統(tǒng)稱為受保護對象（Firewalled System），又稱為安全策略執(zhí)行點（Security Enforcement Point）。

　　FireWall-1的客戶機/服務(wù)器結(jié)構(gòu)是完全集成的，只有一個統(tǒng)一的安全策略和一個規(guī)則庫，通過一個單一的防火墻管理工作站，管理多個裝載了防火墻模塊、狀態(tài)檢測模塊或可選模塊的系統(tǒng)。

七、 認證（Authentication）

　　遠程用戶和撥號用戶可以經(jīng)過FireWall-1的認證后，訪問內(nèi)部資源。

　　FireWall-1可以在不修改本地服務(wù)器或客戶應(yīng)用程序的情況下，對試圖訪問內(nèi)部服務(wù)器的用戶進行身份認證。FireWall-1的認證服務(wù)集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。
FireWall-1提供三種認證方法：

　　● 用戶認證（User Authentication）：針對特定服務(wù)提供的基于用戶的透明的身份認證，服務(wù)限于FTP、TELNET、HTTP、HTTPS、RLOGIN。

　　● 客戶機認證（Client Authentication）：基于客戶機IP的認證，對訪問的協(xié)議不做直接的限制。客戶機認證不是透明的，需要用戶先登錄到防火墻認證IP和用戶身份之后，才允許訪問應(yīng)用服務(wù)器。客戶機不需要添加任何附加的軟件或做修改。當用戶通過用戶認證或會話認證后，同時也就已經(jīng)通過客戶機認證。

　　● 會話認證（Session Authentication）：提供基于服務(wù)會話的的透明認證，與IP無關(guān)。采用會話認證的客戶機必須安裝一個會話認證代理，訪問不同的服務(wù)時必須單獨認證。

　　FireWall-1提供多種認證機制供用戶選擇：S/Key，F(xiàn)ireWall-1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。

八、 地址翻譯（NAT）

　　FireWall-1支持三種不同的地址翻譯模式：

　　● 靜態(tài)源地址翻譯：當內(nèi)部的一個數(shù)據(jù)包通過防火墻出去時，把其源地址（一般是一個內(nèi)部保留地址）轉(zhuǎn)換成一個合法地址。靜態(tài)源地址翻譯與靜態(tài)目的地址翻譯通常是配合使用的。

　　● 靜態(tài)目的地址翻譯：當外部的一個數(shù)據(jù)包通過防火墻進入內(nèi)部網(wǎng)時，把其目的地址（合法地址）轉(zhuǎn)換成一個內(nèi)部使用的地址（一般是內(nèi)部保留地址）。

　　● 動態(tài)地址翻譯（也稱為隱藏模式）：把一個內(nèi)部網(wǎng)的地址段轉(zhuǎn)換成一個合法地址，以解決企業(yè)的合法IP地址太少的問題，同時隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，提高網(wǎng)絡(luò)安全性能。

九、 內(nèi)容安全

　　FireWall-1的內(nèi)容安全服務(wù)保護網(wǎng)絡(luò)免遭各種威脅，包括病毒、Jave和ActiveX代碼攻擊等。內(nèi)容安全服務(wù)可以通過定義特定的資源對象，制定與其它安全策略類似的規(guī)則來完成。內(nèi)容安全與FireWall-1的其它安全特性集成在一起，通過圖形用戶界面集中管理。OPSEC提供應(yīng)用開發(fā)接口（API）以集成第三方內(nèi)容過濾系統(tǒng)。

　　FireWall-1的內(nèi)容安全服務(wù)包括：

　　● 利用第三方的防病毒服務(wù)器，通過防火墻規(guī)則配置，掃描通過防火墻的文件，清除計算機病毒；

　　● 根據(jù)安全策略，在訪問WEB資源時，從HTTP頁面剝離Java Applet，ActiveX等小程序及Java，Script等代碼；

　　● 用戶定義過濾條件，過濾URL；

　　● 控制FTP的操作，過濾FTP傳輸?shù)奈募��?nèi)容；

　　● SMTP的內(nèi)容安全（隱藏內(nèi)部地址、剝離特定類型的附件等）；

　　● 可以設(shè)置在發(fā)現(xiàn)異常時進行記錄或報警；

　　● 通過控制臺集中管理、配置、維護。

網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中，正因如此，網(wǎng)絡(luò)的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術(shù)都需要適時應(yīng)勢，對應(yīng)發(fā)展，這正是網(wǎng)絡(luò)迅速走向進步的催化劑。