【免费】防火墙技术word文档资源-CSDN文库

共4个文件

doc：4个

防火墙

网络

需积分: 0 120 浏览量 2009-11-26 19:36:40 上传评论收藏 14.94MB RAR 举报

资源推荐

资源详情

资源评论

收起资源包目录

防火墙技术.rar （4个子文件）

防火墙技术

第7章A.doc 7.55MB

第1-3章.doc 4.84MB

第4-6章.doc 5.19MB

第7章B.doc 811KB

第 7 章常见防火墙的选购和应用

有关防火墙方面的知识，在前面几章中已经做了较全面的介绍。大家也许听说过或者使

用过一些知名的防火墙，如 Check Point 系列防火墙、 Cisco PIX 、 Microsoft ISA

Server、NetScreen 和 Sonicwall 防火墙。这些防火墙从功能上来讲都能实现网络安全防护和

防止黑客入侵，但它们也有各自的特点和应用场合。因此，在进行网络安全设计时，要根据

自己的实际需求选购合适的防火墙产品。本章将介绍防火墙选购和应用方面需注意的有关事

项，也可称之为选购原则。下面就不同厂商防火墙系列产品从背景介绍、功能描述、安装、

配置和管理知识等方面进行介绍。

7.1 Check Point Firewall-1 4.1

Check Point 软件技术有限公司的美国总部位于加州的 Redwood 城，其国际总部位于

以色列的 Ramat-gan。Check Point 公司一直致力于企业级网络安全产品的研发，作为防火

墙软件的巨人，Check Point 公司的产品在网络安全市场上广为人知，Check Point 基本上

相当于防火墙软件的同义词。Check Point 防火墙软件的特点是以状态检查体系结构为基础，

并比包过滤器有很大的发展，它能够在 OSI 模型的所有七层中对通信信息进行分析和筛选。

Check Point 是开放安全企业互联联盟（Open Platform for Security，OPSEC）的组织和

倡导者之一。OPSEC 允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全

产品。OPSEC 通过把 Firewall-1 嵌入到已有的网络平台（如 UNIX、Windows NT 服务器、

路由器、交换机以及防火墙产品），或把其他安全产品无缝集成到 Firewall-1 中，为用户提

供一个开放的、可扩展的安全框架。

Firewall-1 4.1 是 Check Point 防火墙软件中的一个具体系列，本节将介绍它的各主要组

件部分，它的配置、如何使用管理工具以及使用 Check Point 的 GUI 客户端设定网络目标、

服务和其他配置。

7.1.1 Check Point Firewall-1 4.1 的介绍

Firewall-1 4.1 是一种基于状态检测的防火墙软件，部署在网络出口处，能对进出网络的

访问进行控制，是一个能够集成并管理以下企业安全事项的防火墙。

114 防火墙技术标准教程

●

访问控制。

●

入侵检测和恶意行为检测。

●

内容安全和用户身份验证。

●

基于 LDAP 的用户管理。

●

虚拟专用网（VPN）。

●

网络地址转换（NAT）。

●

审计和报告。

对这些安全事项的集成和管理使得 Firewall-1 4.1 防火墙更加坚固，网络更加安全。除此

之外，Firewall-1 4.1 的功能和特性还可以通过 OPSEC 进行扩展，从而形成一个完整的安全

解决方案。

7.1.2 Check Point Firewall-1 4.1 的产品组件

Firewall-1 4.1 使用了模块化的客户端/服务器体系结构，包含有下列几种组件。

●

基本模块：

·状态检测模块（Inspection Module）：提供访问控制、客户机认证、会话认证、地址

翻译和审计功能。

·防火墙模块（Firewall Module）：包含一个状态检测模块，另外提供用户认证、内容

安全和多防火墙同步的功能；它使用已安装的安全策略对网络流量进行过滤，对于不符合安

全策略的数据流量，防火墙模块将不允许通过。

·管理模块（Management Module）：对一个或多个安全策略执行点（安装了 Firewall-1

4.1 的某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等的系统）提供集中

的、图形化的安全管理功能，并负责存储对象数据库、防火墙日志、安全策略且将策略安装

至合适的防火墙模块。

●

可选模块：

·连接控制（Connect Control）：为提供相同服务的多个应用服务器提供负载平衡功能。

·路由器安全管理模块（Router Security Management）：提供通过防火墙管理工作站配

置和维护 3Com，Cisco 和 Bay 等路由器的安全规则；其他模块，如加密模块等。

·图形用户界面（Graphical User Interface，GUI）：是管理模块功能的体现，提供了对

Firewall-1 4.1 进行管理和监控的功能。它包括了策略编辑器、日志阅读器和系统状态查看器。

每一种特定的组件既能安装在一台机器上，也可使用分布式方法安装到不同的机器上。下面

详细介绍几种模块的功能以及使用。

1. 管理模块

管理模块通过创建安全策略对防火墙模块进行监测和控制，它包括管理服务器和图形用

户界面（GUI）。其中 GUI 是管理服务器与管理员的前端界面。管理模块对防火墙数据库

进行管理，其内容包括安全策略、规则集、服务、网络对象、资源、用户等。除了存储这些

第 7 　章常见防火墙的选购和应用 115

数据，管理模块还将存储防火墙模块产生的日志。管理模块的典型配置为客户端/服务器模

式。在这种配置方式下，客户端/管理员通过 GUI 控制管理服务器。

2. GUI 客户端

管理 Firewall-1 4.1 有两种方法，GUI 客户端是其中的一种，它也是管理模块的前端。尽

管 Firewall-1 4.1 可以通过命令行方式（第二种方法）进行管理，但这里还是推荐使用 GUI

客户端方式，因为它可以极大地简化防火墙的配置和管理。GUI 客户端实际上由 3 个单独的

组件组成，包括策略编辑器、日志阅读器和系统状态阅读器。

（1）策略编辑器（Policy Editor）

使用策略编辑器就可以很方便地对 Firewall-1 4.1 的规则集进行创建和编辑。它允许定义

网络对象、用户、服务和资源，此外还能让用户获得其他防火墙网关的访问权。还可以通过

策略编辑器对防火墙极其属性进行完全地控制。

用户既可以在 Windows 机器上通过 Windows 的 GUI 客户端访问策略编辑器，也可以使

用 UNIX X/Motif GUI 客户端进行访问。

（2）日志阅读器（Log Reader）

管理员可以使用日志阅读器看到被防火墙网关记录下来的所有连接及网络活动。管理员

可以通过监测时间戳和日期戳、行为、源地址、目的地址、错误、服务等，这些都被防火墙

网关实时地记录了下来。这个工具为 Firewall-1 4.1 的管理提供了丰富的信息。

为了在日志阅读器中更快地找到或记录特定的事件，日志阅读器还提供了过滤和搜索的

功能。通过这些功能可以防止收集那些每分钟、每小时、每天都在发生的常规事件。此外，

如果管理员对某些行为有所怀疑，则日志阅读器还允许管理员封掉某些连接、封掉从某个特

殊源地址来的或去往某个特殊目的地址的访问。

（3）系统状态阅读器（System Status Reader）

系统状态阅读器提供了对企业内部所有防火墙网关进行实时监控的功能。每一个防火墙

网关的名字和实时状态都会被显示出来。可显示的状态包括防火墙网关是否处于活动状态或

者已改变了原来的状态。管理员可以指定在防火墙状态改变时是否发出警告、电子邮件警告、

SNMP TRAP 或用户定义警告。系统状态阅读器也提供了流量统计，可显示每个防火墙检查

（接收和拒绝）的包的个数。

3. 防火墙模块

Firewall-1 4.1 的防火墙模块安装于网络中的网关和其他的访问控制点，它包括以下部分：

●

Inspection Module（检测模块）：使用安全策略、记录事件与管理模块进行通信。

●

Firewall-1 security Server（Firewall-1 安全服务器）：提供内容安全和用户验证的功能。

●

Firewall-1 Synchronization features（Firewall-1 同步特性）：用于高可用性配置。

（1）检测模块和状态检测技术

① 检测模块

Firewall-1 4.1 采用 Check Point 公司的状态检测（Stateful Inspection）专利技术，以不同

的服务区分应用类型，为网络提供高安全、高性能和高扩展性的保证。Firewall-1 状态检测

模块分析所有的包通信层，提取相关的通信和应用程序的状态信息。状态检测模块安装于主

116 防火墙技术标准教程

机操作系统的内核，并对所有 OSI 模型的网络层和数据链路层的通信进行检查。图 71 显示

了检查模块在 OSI 模型中的位置。防火墙在通信到达主机操作系统和 OSI 更高层前对其进行

检查。Firewall-1 先对数据包中的 IP 地址、端口号、内部状态表和其他相关信息进行分析，

之后会根据事先定义的安全策略采取适当的行动。可能的行动包括接收、拒绝、加密、解密

和记录日志。

状态检测模块能够理解并学习各种协议和应用，以支持

各种最新的应用。状态检测模块截获、分析并处理所有试图

通过防火墙的数据包，保证网络的高度安全和数据完整。网

络和各种应用的通信状态动态存储、更新到动态状态表中，

结合预定义好的规则，实现安全策略。

状态检测模块可以识别不同应用的服务类型，还可以通

过以前的通信及其他应用程序分析出状态信息。状态检测模

块检验 IP 地址、端口以及其他需要的信息以决定通信包是

否满足安全策略。

状态检测模块把相关的状态和状态之间的关联信息存储

到动态连接表中，并随时更新，通过这些数据，Firewall-1

可以检测到后继的通信。

状态检测技术对应用程序透明，不需要针对每个服务设

置单独的代理，使其具有更高的安全性、高性能、更好的伸缩性和扩展性，可以很容易把用

户的新应用添加到保护的服务中去。

② 状态检查

为在提供强健有效的安全的同时也增强性能，Firewall-1 并不查看每个单独的数据包，

而是使用状态检测体系结构对整个通信流进行监控并做出相应决策。状态检测技术的原理是，

当一个防火墙要采用 “状态 ”机制时，它不仅仅依靠 IP 地址做出访问判断，还要依靠

SYN、ACK、顺序号和其他 TCP 头部中所包含的数据。尽管包过滤器能通过和拒绝耽搁的

数据包，但防火墙了解每个会话的状态，因而能比包过滤器提供更高层次的安全。例如，若

一个基本的包过滤器允许为 FTP 连接返回流量，则它必须允许从 21 号端口来的向内 TCP 连

接，图 72 描绘了这个例子。

图 72 检查模块动态打开 FTP 数据连接的端口

然而，使用 Check Point 的状态检测模块，防火墙在它的状态表中记录向外的 FTP 请求

并动态允许流量的返回。特别是状态检测能让 Firewall-1 做如下的工作：

●

对 OSI 模型的所有层的通信进行监测。

●

依据通信派生状态放行流量。例如，在检测到有向外的 FTP 端口命令时，放行进入的

图 71 检测模块在 OSI

模型中的位置

第 7 　章常见防火墙的选购和应用 117

FTP 数据连接。

●

依据应用派生状态放行流量。例如，Firewall-1 能记住从某个已验证用户传来的流量，

于是就不必对每个包进行重新验证了。

状态检测体系结构还可以记录无连接的协议，如 UDP 和 RPC。当允许这种通信时，

Firewall-1 将从经过网关的第一个包中提取出相应的端口号和 IP 地址信息，并将其记录入状

态表，这就相当于在防火墙中建立了一个虚拟“状态”。然后，防火墙会监测返回的数据包，

并根据虚拟状态信息允许其通过。若没有这种虚拟状态的记录，则防火墙必须打开很多端口

并允许其进行通信。

检测模块会为每个会话维护对应的状态信息。更具体来说，每一个被允许通过防火墙

的 UDP 请求包都会被记录下来。同样，每一个相反方向的 UDP 包也将通过挂起的会话表

进行验证。这会保证每个 UDP 包都能得到防火墙的授权。随后，对此 UDP 请求回应的包

可以被发送出去，而其他的包将被求丢弃。这些回应也是有时限的，意思是它们必须在连

接超时之前到来。这样一来，对防火墙的攻击就会被屏蔽，这会使得 UDP 应用程序更加安

全。

基于 RPC 的服务不使用预定义的端口号，所以记录端口号的方法行不通。这主要因为

端口分配是动态的，经过一段时间就会改变。在 Firewall-1 中使用端口映射器对 RPC 端口号

进行动态跟踪。检测模块能够追踪到这些端口映射器请求，而且会维护一个缓存将 RPC 程

序映射到相应的端口号和服务器上。这使得 Firewall-1 能够将缓存中的 RPC 程序号与规则进

行比照以保证它们相符合。当它们不符合时，RPC 通信将不能得到许可。

③ INSPECT 语言

Firewall-1 INSPECT 语言是一种面向对象的高级脚本语言，结合 Firewall-1 的安全规则、

应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。它使用编译器对检

查脚本进行编译，并根据安全策略生成检查代码。检测模块使用检查代码做出访问决策。当

安全策略的规则创建之后，它们会存为一个叫 $FWDIR/

conf/Your_Security_Rule_Base_Name.W 的文件。这是一个可以编辑的 ASCII 文件，如果对

其进行编辑，它将会影响 GUI 如何显示规则及其属性。也就是说，修改这个文件将直接影

响到在 GUI 中看到的规则库的表现形式。

安全策略规则库的属性存在在$FWDIR/conf/objects.C 文件中，这也是一个 ASCII 文件，

对其进行修改可以改变安全策略对象的 GUI 表现形式。注意，在每次修改之前，一定要先

做好备份。备份方式可以是备份整个目录或具体的文件。

当在创建和修改规则时，最好单击策略编辑器中的 Verify 按钮对规则库进行启发式检查。

这可以保证安全策略在安装前没有冗余规则或对象。如果有冗余，安全策略的安装就会失败

（当某策略被推往防火墙模块时，这种验证由管理控制台执行）。

在安装安全策略时，$FWDIR/conf/Your_Security_Rule_Base_Name.W 和$FWDIR/conf/

objects.C 文件用来生成检测脚本文件$FWDIR/conf/Your_Security_Rule_Base_Name.pf。检测

脚本文件也可以编辑，但不推荐这么做。编辑这个文件并不影响 GUI 如何显示规则库或属

性，而是会影响到检测代码如何被编译，并会导致 GUI 显示的和实际编译的检测代码的内

容不一致。

一旦已经生成检测脚本，就可以将其编译成检测代码，一般是名为$FWDIR/conf/Your

评论收藏

内容反馈

a266f019-

粉丝: 9
资源: 36

防火墙技术word文档

【使用防火墙实现安全NAT】word 文档

防火墙技术概述

防火墙原理（word文档）

防火墙技术论文范文.doc

【2018最新】防火墙的并发连接数-精选word文档(5页).pdf

CISCO防火墙专题-防火墙技术.docx

防火墙技术研究.doc

防火墙技术问题探讨.docx

嵌入式防火墙技术研究.docx

防火墙技术实验报告范本.docx

防火墙技术与应用PPT+源代码

防火墙技术论文三篇.doc

防火墙技术计算机信息论文.docx

防火墙技术及其体系结构研究.docx

网络信息安全与防火墙技术应用之探讨.docx

防火墙技术发展的三个发展趋势.docx

防火墙技术在计算机安全构建中的应用分析.docx

（实验）简易防火墙的配置

对防火墙安全技术的剖析.docx

2021-2023 大型企业新兴技术路线图.pdf

SPEI与SPI及ET0指数计算的R语言实现.pdf

基于MATLAB的水果识别的数字图像处理.pdf

软件工程项目管理计划书(完整版).pdf

最新大一《计算机导论》期末考试试题-模拟试题及答案.pdf

chatgpt-技术原理

精美大气的Axure模板

实用Axure模板

高中数学知识点总结超全.pdf

DnsJumper服务器设置更改dns

最新资源