防火墙的技术与应用-选购和应用(3)

【 tulaoshi.com - 防火墙的作用 】

六、 分布的客户机/服务器结构

　　FireWall-1通过分布式的客户机/服务器结构管理安全策略，保证高性能、高伸缩性和集中控制。

　　FireWall-1由基本模块（防火墙模块、状态检测模块和管理模块）和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/服务器结构。

　　管理模块包括了图形用户界面和管理员定义的相关管理对象——规则库，网络对象，服务、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行安全策略，安装了这些模块的系统称为受保护对象（Firewalled System），又称为安全策略执行点（Security Enforcement Point）。

　　FireWall-1的客户机/服务器结构是完全集成的，只有一个统一的安全策略和一个规则库，通过一个单一的防火墙管理工作站，管理多个装载了防火墙模块、状态检测模块或可选模块的系统。

七、 认证（Authentication）

　　远程用户和拨号用户可以经过FireWall-1的认证后，访问内部资源。

　　FireWall-1可以在不修改本地服务器或客户应用程序的情况下，对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中，通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。
FireWall-1提供三种认证方法：

　　● 用户认证（User Authentication）：针对特定服务提供的基于用户的透明的身份认证，服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN。

　　● 客户机认证（Client Authentication）：基于客户机IP的认证，对访问的协议不做直接的限制。客户机认证不是透明的，需要用户先登录到防火墙认证IP和用户身份之后，才允许访问应用服务器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后，同时也就已经通过客户机认证。

　　● 会话认证（Session Authentication）：提供基于服务会话的的透明认证，与IP无关。采用会话认证的客户机必须安装一个会话认证代理，访问不同的服务时必须单独认证。

　　FireWall-1提供多种认证机制供用户选择：S/Key，FireWall-1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。

八、 地址翻译（NAT）

　　FireWall-1支持三种不同的地址翻译模式：

　　● 静态源地址翻译：当内部的一个数据包通过防火墙出去时，把其源地址（一般是一个内部保留地址）转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。

　　● 静态目的地址翻译：当外部的一个数据包通过防火墙进入内部网时，把其目的地址（合法地址）转换成一个内部使用的地址（一般是内部保留地址）。

　　● 动态地址翻译（也称为隐藏模式）：把一个内部网的地址段转换成一个合法地址，以解决企业的合法IP地址太少的问题，同时隐藏内部网络结构，提高网络安全性能。

九、 内容安全

　　FireWall-1的内容安全服务保护网络免遭各种威胁，包括病毒、Jave和ActiveX代码攻击等。内容安全服务可以通过定义特定的资源对象，制定与其它安全策略类似的规则来完成。内容安全与FireWall-1的其它安全特性集成在一起，通过图形用户界面集中管理。OPSEC提供应用开发接口（API）以集成第三方内容过滤系统。

　　FireWall-1的内容安全服务包括：

　　● 利用第三方的防病毒服务器，通过防火墙规则配置，扫描通过防火墙的文件，清除计算机病毒；

　　● 根据安全策略，在访问WEB资源时，从HTTP页面剥离Java Applet，ActiveX等小程序及Java，Script等代码；

　　● 用户定义过滤条件，过滤URL；

　　● 控制FTP的操作，过滤FTP传输的文件内容；

　　● SMTP的内容安全（隐藏内部地址、剥离特定类型的附件等）；

　　● 可以设置在发现异常时进行记录或报警；

　　● 通过控制台集中管理、配置、维护。