Board logo

标题: 在线求助:checkpoint防火墙软件的安装 [打印本页]
作者: chnzbcn    时间: 2005-10-12 13:26     标题: 在线求助:checkpoint防火墙软件的安装

安装checkpoint防火墙的主机,是不是必须有两块网卡,否则无法安装?请那位高手回复一下
作者: 久木    时间: 2005-10-12 15:34     标题: 在线求助:checkpoint防火墙软件的安装

FireWall-1 产品组成
基本模块
状态检测模块(Inspection Module):提供访问控制、客户机认证、会话认证、地址翻译和审计功能;
防火墙模块(FireWall Module):包含一个状态检测模块,另外提供用户认证、内容安全和多防火墙同步功能;
管理模块(Management Module):对一个或多个安全策略执行点(安装了FireWall-1 的某个模块,如状态检测模块、防火墙模块或路由器安全管理模块等的系统)提供集中的、图形化的安全管理功能;
可选模块
连接控制(Connect Control):为提供相同服务的多个应用服务器提供负载平衡功能;
路由器安全管理模块(Router Security Management):提供通过防火墙管理工作站配置、维护 3Com,Cisco,Bay 等路由器的安全规则;
其它模块,如加密模块等。
图形用户界面(GUI):是管理模块功能的体现,包括
    策略编辑器:维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去;
    日志查看器:查看经过防火墙的连接,识别并阻断攻击;
    系统状态查看器:查看所有被保护对象的状态。
FireWall-1 提供单网关和企业级两种产品组合:
  单网关产品:只有防火墙模块(包含状态检测模块)、管理模块和图形用户界面各一个,且防火墙模块和管理模块必须安装在同一台机器上
  企业级产品:可以有若干基本模块和可选模块以及图形用户界面组成,特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。
FireWall-1 支持的硬件及操作系统
支持平台:   HP-PA9000/700 and 800
  Intel x86 or Pentium
  Sun SPARC-based systems
  IBM RS-6000 and PowerPC  
操作系统:   HP-UX 9.x and 10.x
  Solaris 2.5 and 2.6
  Sun OS 4.1.3 and 4.1.4
  WindowsNT 3.51 and 4.0
  IBM AIX  
监测模块支持:   BayNetworks
  U.S.Robotics';EdgeServers
  XylanSwithes
  TimeStepEncryptionDevices  
Windows系统平台:   WindowsNT
  Windows95
  X/Motif,OpenLook 1.3  
FireWall-1 V4.1 的主要特点
  从网络安全的需求上来看,可以将 FireWall-1 的主要特点分为三大类:
    安全性,包括访问控制、授权论证、加密、内容安全等;
    管理和记账,包括安全策略管理、路由器安全管理、记账、监控等;
    连接控制,主要为企业消息发布的服务器提供可靠的连接服务,包括负载均衡、高可靠性等;下面分别进行介绍。
1. 访问控制
  这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术,无法实施对应用级协议处理,也无法处理 UDP、RPC 或动态的协议。第二代应用代理网关防火墙技术,为实现访问控制需要占用大量的 CPU 资源,对 Internet 上不断出现的新应用(如多媒体应用),无法快速支持。
  Check Point FireWall-1 的状态监测技术,结合强大的面向对象的方法,可以提供全七层应用识别,对新应用很容易支持。目前支持160种以上的预定义应用和协议,包括所有 Internet 服务,如安全 Web 浏览器、传统 Internet 应用(mail、ftp、telnet)、UDP、RPC 等;此外,支持重要的商业应用,如 Oracle SQL*Net 、Sybase SQL 服务器数据库访问;支持多媒体应用,如 RealAudio、 CoolTalk、etMeeting、InternetPhone 等,以及 Internet 广播服务,如 BackWeb、oint- Cast。
  另外,FireWall-1 还可以提供基于时间为对象的安全策略定制方法。FireWall-1 开放系统具有良好的扩展性,可以方便的定制用户的服务,提供复杂的访问控制。
2. 授权认证(Authentication)
  由于一般企业网络资源不仅提供给本地用户使用,同时更要面向各种远程用户、移动用户、电信用户的访问,为了保护自身网络和信息的安全,有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证,Firewall-1 能保证一个用户发起的通信连接在允许之前,就其真实性进行确认。FireWall-1 提供的认证无需在服务器和客户端的应用进行任何修改。FireWall-1 的服务认证是集成在整个企业范围内的安全策略,可以通过防火墙的 GUI 进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。
  FireWall-1 提供三种认证方法:
  用户认证(User Authentication):
  用户认证(UA)是基于每个用户的访问权限的认证,与用户的 IP 地址无关, FireWall-1 提供的认证服务器包括:FTP、TELNET、HTTP、RLOGIN。UA 对移动用户特别有意义,用户的认证是在防火墙系统的网关上实施的。FireWall-1 网关截取需要的认证请求,并把该连接转向相应的安全服务器。当用户经过认证后,安全服务器打开第二个连接,接入目的主机,其后续的数据包都需经过网关上的 FireWall-1 检查。
  客户认证(Client Authentication):
  客户认证(CA)是基于用户的客户端主机的 IP 地址的一种认证机制,允许系统管理员提供特定 IP 地址客户的授权用户定制访问权限的控制,同 UA 相比, CA 与 IP 地址相关,对访问的协议不做直接的限制。同样,服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户如何授权,允许访问哪些服务器资源、应用程序,何时允许用户访问,允许建立多少会话等等。
  会话认证(Session Authentication):
  会话认证(SA)是基于每个话路的,属透明认证。实现 SA 需要在用户端安装 Session Agent 软件。 当用户需要直接与服务器建立连接时,位于用户和用户要访问的目的主机间的防火墙系统网关,截获该话路连接,并确认是否有用户级的认证,如果有,则向话路认证代理(Session Agent)发起一个连接,由话路认证代理负责响应的论证,决定是否把该连接继续指向用户的请求服务器。
  FireWall-1 提供以下认证方案(Schemes):
  SecurID -- 该认证属于利用外部服务器提供的认证方法,系统要求用户输入 Security Dynamics SecuID 卡上显示的数据。
  S/Key -- 该认证属于 one-time 密码体系,每次要求输入的密码是不同的 。
  OS Password -- 系统要求用户输入本人的 OS 密码。
  Internal -- 在防火墙系统内建立的用户和密码,系统要求用户输入该密码。
  Agent -- 为利用外部安全服务器提供的认证方法,系统要求用户根据 Agent Server 定义的方式对应系统。
  RADIUS -- 为利用外部安全服务器提供的认证方法,系统要求用户按 RADIUS 服务器定义的方式对应系统。
3. 内容安全(Content Security)
  内容安全是 Check Point FireWall-1 V3.0 提供的新功能。它把 FireWall-1 具有的数据监测功能扩展到高层服务协议,保护用户的网络、信息资源免遭宏病毒、恶意 Java 、ActiveX 小应用程序及不需要内容的 Web 文件的入侵和骚扰,同时又能提供向 Internet 的较好访问。
  FireWall-1 中的内容安全是与 FireWall-1 其他特性完全集成在一起的,可以通过 GUI 集中管理。另外,Check Point 的 OPSEC Alliance 程序的接口,企业可以根据需要自由选择内容扫描程序,以取得最佳效果。
  FireWall-1 提供以下内容安全机制:
  计算机病毒扫描
  病毒检查对企业的网络安全是至关重要的,同时对如何实施病毒检查策略也不容忽视, 要取得理想的效果,应在访问网络的每一个点上实施病毒检查,而不应该交给每个用户自己去实施。FireWall-1 内容扫描,通过 OPSEC 联盟伙伴提供业界领先的防病毒程序。用户可以自由选择 OPSEC 联盟中的任何程序。防病毒程序可以与 FireWall-1 运行在两个不同的服务器上,这种特性允许系统管理员采用集中方式管理整个企业的安全策略。
  URL 扫描(URL Screening)
  URL 扫描允许网络管理员设定对某些 Web 页面的访问权,从而有效的节 IDC 的网络带宽,增加网络层的另一级别的控制机制。该机制可以实现内部员工之间对不同信息的不同访问权限的安全策略。URL 扫描支持以下三种方式设定:统配符设定、按文件名设定、按第三方URL数据库设定。
  Java、ActiveX 小应用程序的剥离
  FireWall-1 内容安全管理可以保护企业免遭 Java、ActiveX 的攻击。系统管理员可以按一定的条件,如 URL、授权认证用户名等,控制进入的 Java、ActiveX 代码。FireWall-1 提供以下 Java、ActiveX 扫描能力:
    从 HTML 页中剥离 Java 小应用标识(Tags);
    剥离所有服务器到客户端的响应(Response)中的 Java 小应用程序,不管响应是否为压缩文件或文档;
    阻止可疑回应的连接,防止 Java 的攻击;
    从 HTML 页中剥离 ActiveX 标识;
    从 HTML 页中剥离 JavaScript 标识;
  支持 Mail(STMP)
  Mail 是在企业通信中广泛使用的 Internet 工具。SMTP 不仅支持 E-mail,同时支持附贴的文件,为了防止来自利用 Internet E-mail 工具的攻击,FireWall-1 对 SMTP 连接提供高粒度的控制:
    隐藏向外发送的 FROM 地址,用对的一个通用 IP 地址代替,以达到隐藏内部网络结构和真实用户身份的目的;
    重定向 MAIL 到给定的 TO 地址;
    丢弃来自给定地址的邮件;
    剥离邮件中给定类型的附贴文件;
    从向外发送的邮件剥离 Receival 信息,以达到隐藏内部地址的目的;
    丢弃大于给定大小的邮件;
    防病毒扫描;
HTTP 过滤 URL
   资源可以提供定义方案(HTTP、FTP)、方法(GET、POST)、主机(如“* .com”)、路径和查询。也可以通过文件指定要过滤的 IP 地址、服务器列表。
支持 FTP
   FireWall-1 中的 FTP 安全服务器提供认证服务和基于 FTP 命令的内容安全服务。支持 PUT、GET 、文件名限制、防病毒检查。例如,一旦定义了对 FTP“GET”命令制定防病毒检查功能,FireWall-1 会自动截获 FTP“GET”访问,把传送的文件转发给防病毒服务器,经过防病毒服务器检查后把结果传回防火墙模块。这一切对用户来说都是透明的。
4. 加密(FireWall-1 的 VPN 技术)
  企业、合作伙伴、分公司、移动用户之间的长距离通信已成为商业联系的关键。传统方法中的点对点的连接方式即缺乏灵活性,成本又高,无法大规模的使用。随着公共网络的发展,如 Internet,作为一种灵活、价格低廉的网间互联工具,已越来越成为企业采用的方法。但如何在公共网络上实现企业信息的安全传输是一个关键问题。
  我们把一个利用了部分公共网络资源组成的私用网络称为虚拟专用网(VPN)。VPN 技术在低费用、灵活性方面明显要比传统的定制专用网占优势,VPN 技术的引进,为全球范围内的企业连接提供了高度灵活、安全、可靠、廉价的方法。采用 VPN 技术,每个专用网只要接入本地的 Internet 供应商即可。如果要想增加新的连接既简单又价格低廉。但是,接入公共网络又使企业面临安全方面的新问题,要防止未授权的 Internet 访问、保证信息不被窃取和篡改等。
  FireWall-1 提供160多种预定义协议的可选择、透明的加密算法,允许企业充分利用 Internet 资源,安全地实现其所有商业和接入需求。FireWall-1 提供多种加密方案、密钥管理和内部权威认证机构(Certificate Authority)。
    安全的 VPN
    安装了防火墙的网关对基于 Internet 的网网之间信息传输进行了加密,提供安全的 VPN 技术 。VPN 中的专用网之间的加密由 FireWall 实施,无需在每一台主机上都安装加密软件。由网关代替受其保护的 LAN 和一组 LAN 间的信息加密。在网关后的信息包是不加密的。
    可选的加密
    FireWall-1 允许对同一工作站和网络之间按协议选择加密或明文传送方式。对主机来说,无需对所有的通讯进行加密,提高了网络的效率。 FireWall-1 支持以下三种加密方案:
    FWZ -- 该方案为 FireWall-1 内置的专利加密和密钥管理方案,主要采用 FWZI 和 DES 加密算法,普通 PC 端每秒可以处理 10M 的数据流,加密以后的数据包长度不变,该方法对 IP 包头不加密。
    Manual IPsec -- 为固定密钥加密和认证算法,密钥需通过其他途径手工交换,加密后的 IP 包长度增大,同时对 IP 包头进行了加密。
    SKIP -- 为 Simple Key for Internet Protocol 的缩写。 SKIP 是一种新性的密钥管理协议,可在网络上自动地实现加密和认证密钥的分配。
  其中 Manual IPsec、SKIP 是 IETF 工程组下 IP 安全协议工作组(IPsec) 对 Internet wl 制定的安全标准的一种实现。IPsec 主要提供 IP 层加密和认证的一种总体框架,采用的加密算法主要有 DES、TripleDES、SHA-1 等。
5. SecuRemote 模块
  FireWall-1 SecuRemote 使 Win95 和 WinNT 的移动用户和远程用户得以访问他们的企业网络,可以直接或通过 ISP 连接到企业的服务器,同时保证企业敏感数据的安全传送。该模块把 VPN 技术扩展到了远程用户。
  SecuRemote 是一种称为客户端加密的技术。因为 SecuRemote 在数据离开客户端平台前就已对数据进行了加密,故能为远程的用户到企业防火墙系统间的通讯连接提供完全的安全解决方案。FireWall-1 SecuRemote 可以透明地加密任何 TCP/IP通讯,没有必要对现有的用户使用的网络应用程序作任何修改。FireWall-1 SecuRemote 支持任何现有的网络适配卡和 TCP/IP 栈。运行 SecuRemote 的 PC 机可以连接到 VPN 中的多个不同的地点。
  SecuRemote 支持以下特点:
     - 支持动态 IP 地址
     - 提供 DH、RSA 算法的用户认证
     - 支持 FWZ、DES 加密算法
6. 路由器安全管理(Router Security Management)
  FireWall-1 对路由器安全管理提供一个较好的解决方案。系统管理员可以通过 GUI 生成路由过滤和配置。目前,支持的路由器有 3COM、CISCO、Bay 。利用 FireWall-1 的面向对象的定义网络对象方法,可以把路由器定义为防火墙安全策略中的一个网络对象,经过定义的路由器对象可以作为普通网络对象在 GUI 的安全策略中方便应用。利用 GUI 中支持的点击式操作,无需了解路由器具体命令,就可以对路由器实现安全策略加载。
  同时,配置变化相当的直观。如果基本安全策略配置影响到多个网络对象,系统会自动改变所有相关的路由器。一旦网络对象改变,只需单击“LoadPolicy”按钮,ACL 就被自动更新。
  FireWall-1 支持路由器的集中管理。通过一个集中的管理主控,可以配置和管理多个路由器上的访问控制列表。如果需要改变配置,只要在中央管理主控中改变一次,系统可自动生成访问控制列表,并自动地把 ACL 分布到整个企业范围内的相关路由器中。
7. 地址翻译(NAT)
  FireWall-1 提供 IP 地址翻译的能力。IP 翻译可以满足以下两种需求:     隐藏企业内部 IP 地址和网络结构;
    把内部的非法 IP 地址翻译成合法的 IP 地址;
  Internet 技术是基于 IP 协议的,为了通过 IP 协议进行通信,每个参与通信的设备必须具有一个唯一的 IP 地址。这在不与 Internet 相连的内部物理网络上是较易做到的。但是,一旦企业要接入 Internet,则IP地址必须是全球唯一的,同时由于 IP 地址空间有限,现在要申请整段的 IP 地址已很困难,为了有效地利用有限的 IP 地址空间,LANA 为 Internet 预留了三段地址空间,允许企业内部使用。总之,企业接入 Internet 后在 IP 地址方面会遇到需要对原非法地址合法化和隐藏内部地址两个问题。
  FireWall-1 NAT 支持动态和静态地址翻译:
    动态模式(Dynamic Mode/Hide Mode )
    把所有要通过防火墙系统连接的内部主机 IP 地址全部映射到同一个合法的 IP 地址, 对内部含非法地址的不同主机间采用动态分配的端口号进行区别。因为 IP 地址是按动态的方式使用的,故这种方式只用于由内部主机发起的向外部主机的通信。可以防止电子欺骗。
    动态模式有以下几点限制:
    不允许从外部主机发起的内向连接;
    不能用于端口号不能改变的服务协议;
    不能用于当外部服务器必须使用基于 IP 地址来区别客户端的应用, 因为所有客户端共享相同的地址.
    静态模式(Static Mode)
    该方式分为静态源模式和静态目的模式。
    静态源模式把非法的 IP 地址翻译成合法的 IP 地 址,在具有非法地址的内部客户机发起的连接时采用该模式。源模式可以保证内部主机具有唯一的、确定的合法 IP 地址,常同静态目的模式一起使用。
    静态目的模式把合法地址翻译成非法地址,用于由外部客户端发起的连接。因内部网络中的服务器采用非法的 IP 地址,为了保证从外部进入内部网络的数据包能正确地到达目的地,在这种情况下需采用静态目的模式。静态目的模式经常同静态源模式一起使用。
    另外,在实现地址翻译时,需要重新配置网关中的路由表,以确保数据包能到达防火墙网关及网关能正确地把包传送给内部主机。IANA 建议因为 IP 地址空间的限制,IANA 为私用网络保留了以下三块 IP 地址空间,这些地址永远不会在 Internet 合法地址中出现,允许企业自由采用(参见下表)。
类型
IP 地址
子网掩码
A
10.0.0.0
10.255.255.255
B
172.16.0.0
172.31.255.255
C
192.168.0.0
192.168.255.255

 
  企业在建设 Internet 时应采用 IANA 为私用网预留的 IP 地址空间,如果内部网络的非法 IP 地址与外部主机的 IP 地址相同,则在这两台主机之间就无法通信,因为地址翻译是在网关的外部接口中执行的,故发送主机本身会直接把数据包返回给源主机,数据包根本到达不了防火墙网关。
8. 负载均衡(Load Balance)  
  FireWall-1 负载均衡特性能使提供相同服务的多个服务器之间实现负载分担。所有的 HTTP 服务器都可以为 HTTP 客户机提供相同的服务,另外不要求所有的服务器都在防火墙之后。同样,其中的 FTP 服务器也可以对所有的 FTP 客户机提供相同的服务。
  FireWall-1 提供以下负载均衡算法:
    Server Load:该方法由服务器提供负载均衡算法。需要在服务器端安装负载测量引擎;
    Round-Trip:FireWall-1 利用 PING 命令测定防火墙到各个服务器之间的循回时间,选用循回时间最小者响应用户要求;
    Randam:FireWall-1 随机选取防火墙响应;
    Domain:FireWall-1 按照域名最近的原则,指定最近的服务器响应;
9. 日志、报警、记帐能力
    FireWall-1 可以对用户在网络中的活动情况进行记录,如对用户入退网时间、传送的字节数、传送的包数等进行记录。同时 FireWall-1 提供实时的报警功能,报警方式可以是通知系统管理员、发送 E-mail、发送 SNMP 给其他网络系统或激活用户定义的报警方式,如接入寻呼机等。
    FireWall-1 允许系统管理员对选择的连接进行记账处理。一旦定义了记账功能后, FireWall-1 在通常的记录字段信息外,还记录用户连接的持续时间,传送的字节数、包数量,系统管理员可以用命令生成记账报表,也可以通过 FireWall-1 通过的安全机制 (加密和认证)把记账信息转入第三方的报表应用程序或数据库中。
Check Point Next Generation
  当今的网络安全专家发现,综合的安全解决方案正在变得越来越难管理、扩展和集成。 随着企业规模不断扩大,安全策略、对象和用户数量不断增加,带来了不可避免的安全策略的复杂性;其次,企业网络环境中,部署多个安全产品或多种安全技术的需求在近一两年增长了50%~100%;另外,企业用户也在不断增多,企业 Internet 流量在急剧增加。我们面临的种种挑战都对安全产品在管理、性能和扩展性方面提出了更高的要求。
  正是基于当前和未来将面临的挑战,Check Point 历经三年研发出了我们的新一代产品 -- Check Point Next Generation,该产品已经向全球的用户销售。
  NG 可以说是 Check Point 解决方案中最重要的版本,它包括了 Check Point 以前所有的产品(VPN-1/FireWall-1、FloodGate-1,Management Console 等),并针对以前的技术核心进行了重新设计,使它能游刃有余地胜任当前和未来用户的需求。Check Point NG 向业界提供的是最先进的互联网安全、VPN 和管理解决方案。用户领略到的是 NG 无与伦比的可管理能力、可靠性和性能。
一、 更加简单的安全管理
  Check Point NG 管理构架是一种创新的互联网安全管理基础结构,提供了无与伦比的效率、可扩展性和集成能力,满足了客户当今乃至将来的需要。
Check Point Next Generation 用户界面
  Check Point NG 用户界面是对安全管理员管理日益复杂的安全环境方法的一种创新。Check Point NG 用户界面采用功能强大的图形管理能力,为安全管理员提供安全性系统(即,防火墙、VPN、服务器、网络等)中各种对象的详细图形及网络拓扑。安全管理员利用这些图形突出表示这些对象的位置、编辑的对象、充分展示安全策略规则,并通过图形确认各项安全规则所要起到的作用。 通过在传统基于策略的管理控制台上增加视图能力,是对 Check Point 的业界领先的用户界面的补充。


    *安全对象作为安全策略的组成部分,被用来创建网络拓扑图。
    *直接点击拓扑图上的网络对象,就能对其属性进行编辑
    *策略规则可在图形中得到演示,确保它们起到预期的效果。在图中还可定位并突出显示安全对象,如网络和服务器等。
    *现在制定安全规则时,只需将网络对象编辑器中定制的网络对象用鼠标拖放到相应的安全规则栏目中即可。
全面的管理和集成

  Check Point NG 界面通过将众多的安全因素紧密集成在一起,为客户提供了高效的管理手段,这些安全因素包括:各种安全对象地制定、VPN 和防火墙安全策略、地址转换、流量管理和控制策略、VPN 客户端安全策略和 OPSEC 第三方产品集成管理。用户通过一个集中的管理构架就能轻松地管理全局的安全策略。
SecureUpdate -- 保证安全随时更新
  今天的网络安全实施点已经遍布到整个网络中。由于需要管理众多安全产品,企业在人员配置方面将会面临很大挑战。所以如何进行有效的安全管理就成为当今面临的巨大挑战。保证一个组织机构的安全不仅需要合适的安全产品,而且要保持这些产品总是处于最新,这样才能保证提供最高的安全性。Check Point NG 提供的 SecureUpdate 工具能够从中央管理控制台自动向分布式安全执行点进行软件(包括新的补丁程序、新版本软件等)和许可证更新。这样保证了企业全局安全设置总是处于最新状态。SecureUpdate 提供了更出色的控制能力和效率,而维护成本却大大降低。

  安全策略审计跟踪
  Check Point NG 提供的记录文件包括更加丰富的结构化的安全信息,它将日志分为更容易查看的几大类:连接、审计、计费信息及针对防火墙、VPN、QoS、隧道等专用信息。当前,它还提供了对管理员操作的审计跟踪能力。安全管理员的登录/注销、网络对象的修改、安全策略的建立等,均可记录在日志文件中。它能帮助我们更好进行安全策略的管理。

  实现安全管理的高可用性
  使用过 Check Point 产品的用户都知道,Check Point 有针对网关产品实施高可用性的解决方案。作为中央集成的管理策略,当安全管理服务器出现故障时,无疑是对我们完全性的挑战。Check Point NG 的管理服务器能够支持使用一个或更多辅助管理服务器来保证当主管理服务器出现问题时,辅助管理服务器接替其所有工作,继续保证安全管理地连续可用。Check Point NG 解决了安全网络环境中任何一个细节可能出现的单点故障问题。
二、NG 的性能
  Check Point NG 产品采用开放的方法,利用先进的技术和良好的合作关系来满足高性能安全解决方案的需要。
  Check Point NG 新的状态监测技术整合优化了通信状态表,使之查询和修改效率更高。举例来说,Check Point NG 防火墙产品性能能够达到以前产品的一倍以上。另外,新的状态监测技术进行了模块化设计;这样,多种安全功能就可以集成到硬件上,以实现最大可能的性能。Check Point 提出的 SecureXL 是一种用于集成硬件安全加速器的新型加速接口,该接口提供各种安全功能包括防火墙、VPN、NAT 和公钥操作的加速。
  Check Point 正在宣布一系列与业界领先的硬件供应商的合作关系,他们将一起构建 SecureXL 兼容的硬件解决方案。客户将具有多种加速选项,包括 PCI 插件卡和专用加速设备。
三、Next Generation VPN-1 系统
  Check Point 的 VPN-1 NG 产品中包括建立了新行业性能标准的多种创新技术。VPN-1 NG 产品,为满足下一代互联网的安全需要而部署,能够提供最佳的扩展性和可靠性。
  VPN 自动部署 -- Internet Certificate Authority
  我们知道 Check Point 管理服务器和安全执行点之间通信是加密的,以前的版本我们采用 Check Point 自己的加密方式 FWZ,而 NG 产品为了更好地适应当今网络环境飞速的增长,使管理和扩展达到更高的标准,在管理服务器上内置了 ICA。ICA 是一个集成的内部认证授权中心,它可向 Check Point 安全执行点产品提供基于 X.509 的数字证书服务,包括证书的生成、授权和撤消等。安全执行点在安装过程中自动从管理服务器处申请到一个数字证书安装到本地,然后通过基于 SSL 的标准通信方式构成所有安全执行点之间的保密通信。用户无需创建复杂的 VPN 隧道就能将新的 VPN/FireWall-1 网关加入到通信网络中,大大减轻了用户实施安全产品过程中的烦琐操作。
  实时性能监视
  VPN-1 NG 产品中包括成熟的 VPN 隧道性能监视机制,它所采用的综合工具为网络管理人员提供了对端到端 VPN 隧道性能的实时分析能力。网络管理员可以利用分析结果来作出如何以及在何处提高 VPN 系统性能的明智决策。

  实现端到端的 VPN 服务质量
  当前,FloodGate-1 NG 产品支持 DiffServ 服务。DiffServ 是一种领先的 IP QoS 标准,能够保证在 Internet 公网上进行关键业务传输时,向关键业务通信提供与点对点连接或专线等效的可靠性,保证端到端的通信质量。
  Next Generation VPN 客户端
  Check Point 的 VPN-1 SecureClient NG 产品是利用集成的个人防火墙来保护远程用户宽带或拨号连接,向它们提供真正的、端到端互联网安全的 VPN 解决方案。同时,这种创新的客户端方案还提供了全面的管理能力来简化大规模的 VPN 的部署和后续管理。
  针对远程用户制定详细的安全策略
  VPN-1 SecureClient 为 VPN 客户机提供了综合、灵活和基于策略的安全性。防火墙策略、记录和告警能够保护客户机免遭非法用户访问和潜在的攻击,而随着“Always-ON”连接的使用,这些风险的可能性也大大提高。NG产品使管理员能够为具体的用户组定义更加细致的安全策略。

  安全配置验证(SCV)
  安全配置验证是指在客户端系统上运行检查程序以确定是否进行了安全配置。例如:检查防病毒软件是否安装在客户端上。一旦 SCV 检查通过,客户端才被允许与总部建立 VPN 隧道进行加密通信。 SCV 检查程序可以由 Check Point OPSEC 合作伙伴或客户自己创建。
  VPN 客户机管理
  除了集成客户机安全性以外,VPN-1 SecureClient NG 产品还包括两种新的特性来帮助完成客户机软件的分发和后续维护:
  VPN-1 SecureClient 打包工具
  VPN-1 SecureClient 打包工具能够创建安装在客户端系统上的自执行的程序包。远程用户无需专业知识或复杂的操作就能安装 VPN-1 SecureClient,大大降低了管理和费用。
  软件分发服务
  软件分发服务使客户端软件能够自动升级,远程用户无需下载或安装新的服务包或升级软件,管理员也无需向用户分发客户端更新软件。这样,客户端软件时刻保持最新,安全性也得到了最好的保证。
结束语:
  Check Point NG 的推出让我们对安全的认识进入了一个新纪元。安全、管理、开放和灵活性始终是 Check Point 维护 Internet 安全的宗旨。所有的 Check Point 软件产品都是建立在我们的“安全虚拟网络(SVN)构架”之上的,它可通过互联网、企业内联网和 Extranet 为用户、网络、系统和应用提供无缝安全集成。以上我们了解了一些 Check Point NG 主要特点,相信在用户使用过程中能够领略到它更多、更优秀的品质。
作者: 久木    时间: 2005-10-12 15:35     标题: 在线求助:checkpoint防火墙软件的安装

chnzbcn 同志,刚好我这里有一个CheckPoint Firewall-1防火墙安装步骤的文档。8M
有需要给我短消息。我传给你
作者: 久木    时间: 2005-10-12 15:38     标题: 在线求助:checkpoint防火墙软件的安装

    这里有一些资料你先看下:


1. 开始前的声明
首先,本人在资源方面即没有netscreen,也没有checkpoint,更没有smartbits之类的测试设备,以下的内容均是本人翻遍netscreen和checkpoint网站,同时结合网络上搜集的资料中分析得出的结果,因此不可避免会有不当之处,这些地方欢迎各位资深人士指出,以便本人进一步修正和完善本文档。
其次,本文不是讲如何安装配置这些产品的,这些东西是“熟练工人“做的事情。
最后,本文对产品的各种评价均为个人看法,任何意见,非常欢迎讨论。
2. 为什么会有这么一篇文章:
相对于其他安全产品,防火墙在网络的应用中要普遍的多,同时在安全市场上也是相对要成熟的技术。但是留心的人很容易注意到,目前防火墙的宣传很乱,各家厂商都在鼓吹自己的产品,诋毁对手的产品,他们每家都可以列出来一串串的单子,宣称在某某功能超出对手。这种例子比比皆是;与此同时,很多媒体和评测机构(国外国内均是如此)也抛出了一些不负责任的所谓公平的评测报告。更给大家带来困惑。本文力图按照个人理解的一些东西来描述这两种系统。
3. 架构
首先我们来看防火墙的架构,这包括两个方面,软件和硬件两部分。也就是防火墙运行在什么软件系统上以及防火墙安装的硬件平台。
架构是防火墙的骨骼,他决定了防火墙整体的工作水平和潜能。一般而言,我们可以把常见的防火墙分为基与硬件和基于软件的两类。
基于硬件的防火墙硬件方面一般是采用专门设计的实现防火墙必要功能的ASIC,NP架构等量身定制的硬件,供防火墙跑的操作系统也是专门设计的。
而基于软件的防火墙硬件方面一般采用通用架构的pc硬件,操作系统也因此采用的多是基于unix系列或者nt系列的通用操作系统。
这里面checkpoint可以归类为基于软件的防火墙,而netscreen则是基于硬件的。
两种架构的描述:
性能:
netscreen没有采用传统的工业架构布局,而是使用的是独立研发体系结构,包括netscreen专用的screenos操作系统和为实现防火墙功能而特别设计的ASIC芯片(这包括从低端的netscreen5,10的采用的megascreen芯片到高端的netscreen 500,5000等使用的Gigascreen芯片),它们与RISC处理器等设备紧密集成,为客户提供专用的防火墙的各项功能。
由于netscreen防火墙设计上就是为了完成必要的防火墙工作,同时对数据包的访问控制,加密,地址转换等工作是通过上述专门的硬件来实现的,这就从结构上非常好的避免了传统的基于工业架构的软件防火墙不是专门为了防火墙设计,极大的依赖cpu,同时总线带宽受限制等重大的弊病,从这一点来看,理论上对防火墙的要求越高,netscreen体现的价值就越大。
在netscreen的站点上,关于防火墙的白页宣称它的高端netscreen 5400,在操作系统screenos版本为3.0防火墙时防火墙的通透性可以达到12Gbps之高(vpn可达6Gbps)-这是本人所了解的性能最高的防火墙。
checkpoint防火墙本身是一套软件,而基于软件的checkpoint防火墙本质上从操作系统到硬件架构都是使用的通用的系统,因此尽管软件本身可能已经尽可能的得到了优化,但受架构的局限,性能在理论上先天不足。
Checkpoint为了解决这个问题,相继推出了软硬件的加速方案,这些方案主要功能是一致的:一方面包括将数据包的访问控制,加解密,地址翻译等非常消耗系统资源的工作从cpu转移到专门的插卡来处理,减小cpu负荷,另外一方面通过优化软件对数据的处理层次,将本来在高层的处理工作向下放,向硬件层次靠拢。通过上述两个方面,从而实现减少承载它的系统的压力,改进提升系统性能的目的。我们可以看到的SecureXL,checkpoint Performance Pack,VPN-1 Accelerator Card以及和Corrent公司,Nortel等公司合作推出的各种加速卡,都是这一思想的产物。
从checkpoint的站点上得到的资源来看,这些解决方案的效果还是比较理想的。在checkpoint的高端产品上(如和Bivio合作推出的1000s平台上的防火墙性能可达4.0 Gbps,在64byte小包上也可达到3.2 Gbps的通透性)。
此外根据checkpoint公布的资料来看,在这个月checkpoint自己的测试中,使用了5月13宣称的新技术Application Integlligence后,性能在原来的基础上进一步提升了31%。

稳定性兼容性:
由于netscreen采用的专门的软硬件,因此系统的稳定性上理论上应该领先,同时由于防火墙操作系统是专用的screenos,不存在防火墙和硬件的兼容性问题。
而checkpoint使用的优化和定制后的操作系统和硬件,但是由于防火墙需要运行在通用的操作系统和硬件之上,而这些操作系统和硬件不是特定为防火墙各项功能设计的,因此可能会存在稳定性和兼容方面的隐患。
功能和灵活性:
netscreen采用的专门设计的操作系统和硬件架构,决定了灵活性上要相对差一些,而且可能提供的功能相对较少。
比如早期为很多人诟病的高版本的screenos操作系统无法使用在早期的硬件平台上,从保护投资的角度上是很难为客户所接受的。
又如netscreen的策略数目是有限的,如果用完了访问控制策略,如果要新增新的策略,那么必须去掉已经配置好的某些策略。
此外对硬件的依赖决定了很难扩充新的功能模块,防火墙从购买之日起能提供的功能就基本上不会有太多的改变了,客户买了某种型号的防火墙后可能无法期待后期的重大升级。
而Checkpoint由于架构不依赖硬件,因此理论上功能是可以无限扩充的,它能给客户更多的控制和定制功能。
防火墙所在系统安全更新
netscreen这种基于硬件的防火墙由于采用专用的screenos操作系统,安全问题暴露很少,需要打安全patch的必要性小。
checkpoint跑在windows和unix上,由于这些操作系统本身的安全问题,管理员需要不断的更新操作系统本身的patch(尤其是windows平台上的,yiming简直受不了window隔三差五的patch了~~),这对防火墙的管理者而言是个比较痛苦的活儿。
维护成本
netscreen这种基于硬件的防火墙运行起来很容易,基本上加电开机就可以跑起来了,而且防火墙维护者不需要了解防火墙以外的任何技术。
Checkpoint正常运行需要先安装操作系统,安装各种驱动(比如网卡),配置操作系统等,这是个比较讨厌的活儿。
不过checkpoint为了解决这个问题,也推出了软硬件集成在一起的产品,国内常见的就是和NOKIA合作推出的产品,比如NOKIA IP740,就是绑定在一起的基于freebsd的checkpoint套件,直接开电防火墙就能跑起来。
此外值得注意的是,如果checkpoint防火墙运行在unix平台上,需要防火墙的维护者对unix系统熟悉,不要小看这一点,在很多的公司,这对管理员是个很大的挑战。
4. 数据包的处理方式
除了防火墙的体系架构,最重要的部分就是防火墙对数据包的处理方式了,虽然checkpoint和netscreen都说自己都是基于stateful inspection的防火墙,但两者还是有区别的。个人认为,准确的讲:checkpoint更多的是SPI(stateful packet inspection),而netscreen则更多的是SPF(stateful packet filter)
netscreen使用的是核心是SPF,所谓SPF,一言以蔽之,即:在传统的包过滤的基础上增加了对数据包的状态判断。一个数据包如果不是意图建立连接的数据包同时又不属于任何已经建立的连接的话,这个数据包直接就被丢弃或者拒绝-根本无需去和访问控制列作比较。这样就大大增加了安全性,同时提高了性能。目前基本上主流的防火墙都采用了这一非常成熟的技术,与此同时,为了更加有效的发挥防火墙的作用,netscreen公司和其他大多数公司一样,在对数据包的处理方式上,除了SPF,还增加了Application Proxy方式,利用这一方式,netscreen对高层的一些应用可以进一步加以控制,比如利用syn gateway抵抗Denial of service攻击即为一例。
(注:关于SPF,SPI, Application Proxy等具体概念,不是这里讨论的内容,大家可参考相关资料)
我们来看看netscreen是如何利用ASIC芯片和SPF处理tcp数据包的:
当数据包到达netscreen的网络端口时,要先进行基本的有效性检查,验证数据包合法后,screenos检查这个数据包是否是已存在的某个连接的session的一部分(比如属于一个已经建立成功的telnet)。
如果该数据包声明属于已存在的某个连接的session的一部分,那么进一步检查tcp的sequeuce号等参数来确认是有效的数据包,是就通过,否丢弃。
如果该数据包不属于任何已经建立的session,那么搜索管理员事先设置的访问控制列内容,如果访问控制列内没有符合该数据包的内容,数据包被丢弃,如果存在符合该数据包特性的访问控制规则,那么一条新的session建立。请注意这些工作是在它的ASIC芯片上进行的。
为什么要强调这一点呢?我们来考虑如下问题:决定防火墙性能的主要取决于什么?
为了回答这个问题,我们先温习一下防火墙的基本概念:防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。防火墙的最主要功能就是屏蔽和允许指定的数据通讯,而该功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性。
从上面的防火墙的概念我们可以看出,防火墙的主要工作就是进行访问控制,那么同样条件下,访问控制的处理速度越快,那么防火墙的性能自然就愈好。
同时,另外一方面,一般来说,某个数据包被拒绝,往往是与访问控制列的acl逐条比较,如果前面的acl不符合,那么在访问控制列的最后部分才会被拒绝。如果系统性能较差,这会是个非常耗费资源和性能的工作。
Netscreen在实现SPF时,通过在ASIC硬件而非cpu上进行访问控制的策略的比较,显著的提升了速度。在netscreen的白页上,介绍它的防火墙可以以线速处理4万条以上的访问控制规则,这个结果是令人非常满意的。这也是netscreen在实现SPF中最为闪光的一部分。
Checkpoint的工作方式主要基于SPI,SPI是工作在SPF之上的,它在提供SPF的功能基础上,增加了对数据包内容(高层)的分析功能。这对管理员对网络的安全控制能力无疑增进了一大步,同时,也是非常实用的一个功能,对一个有经验的管理员来说,利用SPI可以大大地减小网络的安全管理工作。
一个很简单的例子:一家企业分布在各地机构的局域网需要对外开放snmp管理功能,常见的防火墙一般也就是放开tcp/udp 161和162端口,无法再做更多的控制了,但是利用SPI,管理员就可以控制仅仅对外开放snmp的get功能,不允许set动作,这就极大的减少了snmp端口开放的危害性。又比如,利用SPI,管理员可以强制通过80端口的数据包必须是真实的http数据,而不是流或者即时通讯工具。
我们知道代理型防火墙同样能够提供高层访问控制,但是代理型防火墙工作在高层,他们在处理client和server的连接时,作为“二传手“来分析解释和控制数据包,每个client到server的连接被截获,演变成client到代理,代理到server,server到代理,再从代理到client的通讯形式。这就增大了延迟,同时对每种类型的通讯都需要高层的分析解释能力的单独的软件来做,局限较大。
而checkpoint的数据包处理引擎INSPECT工作在网络层和数据链路层之间,他们并不打断client和server端的连接。由于工作在最低端,进出端口的所有的数据包都会被核查,只有符合INSPECT引擎审核通过的数据包才能向高层发送。
INSPCET引擎使用可定制的INSCPET语言来理解和分析需要关心的数据包内容,并实现对数据包的动态控制。由于INSCPET语言的对象是整个原始的数据包,因此就在SPF的基础上增加了高层的控制,如:不仅向SFP那样可以对底层的ip地址限制,还可以控制到高层内容,如限制邮件的content-type。同时,管理员可以从checkpoint站点上不断取得新的INSCPET代码,从而增加对应用的扩充。
2003年5月13日,checkpoint又宣称推出近年来功能上重大的升级,即所谓的Application Integlligence,该升级主要的卖点就在于宣称能够检测和防止应用层的网络攻击。
我们知道,随着网络技术的不断发展,网络攻击行为已经逐步向高层转移,利用操作系统和网络设备本身安全问题入侵和攻击的浪潮已经逐步降低,人们越来越将攻击的目标转向高层的应用,相信这以后会是网络安全攻防的趋势。关于这方面的内容,各位可以参考OWASPWebApplicationSecurityTopTen这篇文档(http://www.owasp.org/ 需要使用代理)
本人对这一技术非常感兴趣,仔细的研究了一下checkpoint公布的相关文档,关于Application Integlligence的功能,主要有以下四点:
1:确认网络通讯符合相关的协议标准,比如:不允许http头出现二进制数据内容。
2:确认网络通讯没有滥用相关的协议标准,比如:不允许P2P通讯利用80口穿过防火墙。
3:限制应用程序携带恶意数据,比如:控制跨站脚本
4:控制对应用程序的操作,比如上面我们举的snmp例子。
仔细的分析上面的内容,个人理解对checkpoint而言,其实Application Integlligence也不能算是非常新的技术,可能只是在SPI基础上的升级和进一步扩充。
此外关于checkpoint需要注意一点的是,checkpoint数据包处理引擎INSPECT对高层的数据包核查并不象想象的那样支持非常多的应用,而是将主要精力放在了常用的http,ftp,mail等一些比较普遍的应用上,也即,不是所有的高层的所有数据包都会被INSPECT审核,使用者不要迷信checkpoint宣称的INSPECT技术,我们可以看下面的例子:
这里是checkpoint在sql slammer蠕虫蔓延时的一个扩展的INSPECT CODE,
deffunc sql_worm_slammer() {
(
dport = 1434,
packetlen >= (20 +8 +1 +96 +4),
[UDPDATA:1] = 0x04,
[UDPDATA+97:4,b] = 0xDCC9B042,
LOG(long, LOG_NOALERT, 0) or 1,
drop
)
or accept;
};
本人没有找到关于checkpoint INSPECT CODE的说明文档,但是观察上面的内容,我们可以猜出来一些东西。至少从这个CODE内容看,这是个基于签名的代码,我们可以看到比较关键部门可能包括两点:dport = 1434,端口1434,packetlen >= (20 +8 +1 +96 +4),数据包长度?20是ip头,8是udp长度,1,96,4是什么? 本人没使劲猜(我猜得到开始,猜不到结局…… ;))
从上面的内容来看,其实checkpoint防火墙本身在处理sql slammer蠕虫时,并不象想象的那样真正的懂得sql的应用的,它可能只是执行了简单的匹配而已(本来想多看几个INSPECT CODE的,可惜要口令,幸亏原来下了一个sql slammer的)。
作者: 风三    时间: 2005-10-13 17:27     标题: 在线求助:checkpoint防火墙软件的安装

我更关心checkpoint的免费版和破解版。。。
作者: cooakooa    时间: 2005-10-24 22:45     标题: 在线求助:checkpoint防火墙软件的安装

那可都是硬件墙啊
贵啊。,。。。
作者: xnbird    时间: 2005-10-26 17:17     标题: 在线求助:checkpoint防火墙软件的安装

我需要这份安装说明,能给我么?
作者: 枯藤    时间: 2005-10-26 22:26     标题: 在线求助:checkpoint防火墙软件的安装

下面引用由风三2005/10/13 05:27pm 发表的内容:
我更关心checkpoint的免费版和破解版。。。
作者: xnbird    时间: 2005-10-27 09:34     标题: 在线求助:checkpoint防火墙软件的安装

为什么我安装完了之后,什么反应都没有,要怎么启动firewall-
作者: 黑色叶子    时间: 2005-10-27 10:36     标题: 在线求助:checkpoint防火墙软件的安装

我更关心checkpoint的免费版和破解版。。。

请问checkpoint 有免费版和破解版吗?他可是世界最好最贵的防火墙了



欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2