收藏
下载资源

Checkpoint中文资料方案

上传人:hs****ma 文档编号:463925252 上传时间:2022-09-27 格式:DOC 页数:35 大小:615.50KB
返回 下载 相关 举报
Checkpoint中文资料方案_第1页
第1页 / 共35页
Checkpoint中文资料方案_第2页
第2页 / 共35页
Checkpoint中文资料方案_第3页
第3页 / 共35页
Checkpoint中文资料方案_第4页
第4页 / 共35页
Checkpoint中文资料方案_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《Checkpoint中文资料方案》由会员分享,可在线阅读,更多相关《Checkpoint中文资料方案(35页珍藏版)》请在金锄头文库上搜索。

1、Check Point FireWall-1技 术 资 料目录Check Point FireWall-1技术白皮书1.FireWall-1简介21.1.状态检测机制21.2.FireWall-1产品组成31.2.1.Check Point FireWall-1产品包括以下模块:31.2.2.FireWall-1提供单网关和企业级两种产品组合。31.3.OPSEC41.4.企业级防火墙平安管理41.5.分布的客户机/效劳器结构41.6.认证Authentication51.7.地址翻译NAT51.8.内容平安51.9.连接控制61.10.路由器平安管理62.FireWall-1的规划72.1.

2、FireWall-1体系结构72.1.1.管理模块72.1.2.防火墙模块82.2.典型配置分析9网关方式配置9防火墙的网关和别离的管理工作站92.2.3.防火墙网关和两个内部网络102.2.4.由一个管理工作站和控制的两个防火墙网关112.2.5 失效恢复网关配置113.与Cisco PIX的比拟12Check Point FireWall-1安装配置手册4.FireWall-1安装154.1.安装前的准备154.1.1.网络环境准备154.1.2.配置需求164.2.一步一步的安装175.FireWall-1卸载286.停止FireWall-1运行286.1.卸载平安策略286.2.停止状

3、态检测286.3.屏蔽FireWall-1287.重新配置FireWall-1288.典型配置案例298.1.工程简介及工程要求:298.1.1.拓扑图298.1.2.工程具体要求如下:298.2.FireWall-1安装过程及考前须知:308.3.FireWall-1的规那么制定细节及含义308.4.定义网络规那么的考前须知:318.5.安装完FireWall-1防火墙后的测试工作329.小结32Check Point FireWall-1技术白皮书1. FireWall-1简介1.1. 状态检测机制FireWall-1提出了一个全新的“状态检测的防火墙技术,它可以在网络层实现所有必要的防火

4、墙功能。利用状态检测技术,FireWall-1的检测模块访问和分析所有从通讯层得到的数据。为了控制无连接的协议例如:基于RPC和UDP的应用,FireWall-1提供了虚拟会话信息,这些会话信息的“状态和“上下文数据动态地存储和更新。从通讯和应用状态积累起来的数据,网络配置和平安规那么常常用来产生适当的动作,接受、拒绝或者加密通讯的数据包。任何没有被平安规那么明确允许的数据包默认被丢弃,并且产生实时的报警,为系统管理者提供完全的网络状态。FireWall-1采用Check Point公司的状态检测Stateful Inspection专利技术,以不同的效劳区分应用类型,为网络提供高平安、高性能

5、和高扩展性保证。FireWall-1状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度平安和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规那么,实现平安策略。状态检测模块可以识别不同应用的效劳类型,还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足平安策略。状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新,通过这些数据,

6、FireWall-1可以检测到后继的通信。状态检测技术对应用程序透明,不需要针对每个效劳设置单独的代理,使其具有更高的平安性、高性能、更好的伸缩性和扩展性,可以很容易把用户的新应用添加到保护的效劳中去。FireWall-1提供的INSPECT语言,结合FireWall-1的平安规那么、应用识别知识、状态关联信息以及通信数据构成了一个强大的平安系统。INSPECT是一个面向对象的脚本语言,为状态检测模块提供平安规那么。通过策略编辑器制定的规那么存为一个用INSPECT写成的脚本文件,经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件,可以编辑,以满足用户特定的平安要求

7、。1.2. FireWall-1产品组成1.2.1. Check Point FireWall-1产品包括以下模块:l 根本模块: 状态检测模块Inspection Module:提供访问控制、客户机认证、会话认证、地址翻译和审计功能; 防火墙模块FireWall Module:包含一个状态检测模块,另外提供用户认证、内容平安和多防火墙同步功能; 管理模块Management Module:对一个或多个平安策略执行点安装了FireWall-1的某个模块,如状态检测模块、防火墙模块或路由器平安管理模块等的系统提供集中的、图形化的平安管理功能;l 可选模块 连接控制Connect Control:

8、为提供相同效劳的多个应用效劳器提供负载平衡功能; 路由器平安管理模块Router Security Management:提供通过防火墙管理工作站配置、维护3Com,Cisco,Bay等路由器的平安规那么; 其它模块,如加密模块等。l 图形用户界面GUI:是管理模块功能的表达,包括 策略编辑器:维护管理对象、建立平安规那么、把平安规那么施加到平安策略执行点上去; 日志查看器:查看经过防火墙的连接,识别并阻断攻击; 系统状态查看器:查看所有被保护对象的状态。1.2.2. FireWall-1提供单网关和企业级两种产品组合。l 单网关产品:只有防火墙模块包含状态检测模块、管理模块和图形用户界面各一

9、个,且防火墙模块和管理模块必须安装在同一台机器上。l 企业级产品:可以有假设干根本模块和可选模块以及图形用户界面组成,特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。1.3. OPSECCheck Point是开放平安企业互联联盟(OPSEC)的组织和倡导者之一。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络平安产品。OPSEC通过把FireWall-1嵌入到已有的网络平台如Unix、NT效劳器、路由器、交换机以及防火墙产品,或把其它平安产品无缝集成到FireWall-1中,为用户提供一个开放的、可扩展的平安框架。目前已有包括

10、IBM、HP、Sun、Cisco、BAY等超过135个公司参加到OPSEC联盟。1.4. 企业级防火墙平安管理FireWall-1允许企业定义并执行统一的防火墙中央管理平安策略。企业的防火墙平安策略都存放在防火墙管理模块的一个规那么库里。规那么库里存放的是一些有序的规那么,每条规那么分别指定了源地址、目的地址、效劳类型 、FTP、TELNET等、针对该连接的平安措施放行、拒绝、丢弃或者是需要通过认证等、需要采取的行动日志记录、报警等、以及平安策略执行点是在防火墙网关还是在路由器或者其它保护对象上上实施该规那么。FireWall-1管理员通过一个防火墙管理工作站管理该规那么库,建立、维护平安策略

11、,加载平安规那么到装载了防火墙或状态检测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证,然后通过加密信道传输。FireWall-1直观的图形用户界面为集中管理、执行企业平安策略提供了强有力的工具。l 平安策略编辑器:维护被保护对象,维护规那么库,添加、编辑、删除规那么,加载规那么到安装了状态检测模块的系统上。l 日志管理器:提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息,提供实时报警和入侵检测及阻断功能。l 系统状态查看器:提供实时的系统状态、审计和报警功能。1.5. 分布的客户机/效劳器结构FireWall-1通过分布式的客户机/效劳器结构管理平安策略,保证高性能、

12、高伸缩性和集中控制。FireWall-1由根本模块防火墙模块、状态检测模块和管理模块和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/效劳器结构。管理模块包括了图形用户界面和管理员定义的相关管理对象规那么库,网络对象,效劳、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行平安策略,安装了这些模块的系统称为受保护对象Firewalled System,又称为平安策略执行点Security Enforcement Point。FireWall-1的客户机/效劳器结构是完全集成的,只有一个统一的平安策略和一个规那么库,通过一个单一的防火墙管理工作站,管理多个装载了防

13、火墙模块、状态检测模块或可选模块的系统。1.6. 认证Authentication远程用户和拨号用户可以经过FireWall-1的认证后,访问内部资源。FireWall-1可以在不修改本地效劳器或客户应用程序的情况下,对试图访问内部效劳器的用户进行身份认证。FireWall-1的认证效劳集成在其平安策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。FireWall-1提供三种认证方法:l 用户认证User Authentication:针对特定效劳提供的基于用户的透明的身份认证,效劳限于FTP、TELNET、 、 S、RLOGIN。l 客户机认证Client Authenti

14、cation:基于客户机IP的认证,对访问的协议不做直接的限制。客户机认证不是透明的,需要用户先登录到防火墙认证IP和用户身份之后,才允许访问应用效劳器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后,同时也就已经通过客户机认证。l 会话认证Session Authentication:提供基于效劳会话的的透明认证,与IP无关。采用会话认证的客户机必须安装一个会话认证代理,访问不同的效劳时必须单独认证。FireWall-1提供多种认证机制供用户选择:S/Key,FireWall-1 Password,OS Password,LDAP,SecureID,RADIUS,TACACS等。1.7. 地址翻译NATFireWall-1支持三种不同的地址翻译模式:l 静态源地址翻译:当内部的一个数据包通过防火墙出去时,把其源地址一般是一个内部保存地址转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。l 静态目的地址翻译:当外部的一个数据包通过防火墙进入内部网时,把其目的地址合法地址转换成一个内部使用的地址一般是内部保存地址。l 动态地址翻译也称为隐藏模式:把一个内部网的地址段转换成一个合法地址,以解决企业的合法IP地址太少的问题,同时隐藏内部网络结构,提高网络平安性能。1.8. 内容平安

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号