NOKIA&Check Point防火墙
1 、Check Point 产品介绍
所有诺基亚的安全产品中采用的VPN 和防火墙技术都将是基于Check Point 的VPN-1®/FireWall-1® 软件上的。这种独特的关系也允许开展创新工程,例如诺基亚和Check Point 联合努力开发出"Firewall Flows" (防火墙流)功能,其现在构成了诺基亚的固有安全性操作系统的关键组成组件。这种紧密合作的最终结果是将防火墙的每秒信息包吞吐量显著地提高了三倍。同时,诺基亚和Check Point 结合了诺基亚的CryptoCluster? 专利技术和Check Point SecureX? 技术,并在此基础上进行了一系列创新性、高可用性和性能的提升。Check Point Application Intelligence 启用一种新级别的多层安全网关
简介——基于应用的攻击
在过去的几年中,企业防火墙已经成为网络安全架构的主要组成部分。主要设计用于对网络资源提供访问控制,防火墙已在大部分网络中成功部署。防火墙成功的一个主要原因是,当执行一个适当定义的安全策略时,防火墙通常可以阻挡超过90% 的攻击。然而,尽管大部分防火墙提供了有效的访问控制,但是仍有许多还不能支持应用级的攻击检测和阻隔。
认识到这个事实后,电脑黑客们设计出更加错综复杂的攻击来对付由网络边界防火墙执行的传统的访问控制策略。今天,高智商的黑客们早己不限于只对防火墙的开放端口进行扫描,现在他们的目标直指应用程序。
今天,互联网环境中的一些最严重的威胁来自于那些利用已知应用程序缺陷的攻击。黑客们最感兴趣的是像HTTP(TCP 端口80)和HTTPS(TCP 端口443 )这样的服务,通常这些服务在许多网络中是开放的。访问控制装置不能轻易检测到面向这些服务的恶意使用。
通过直接面向应用程序,黑客们试图获得至少以下一种恶意目标,包括:
● 拒绝对合法用户的服务(DoS 攻击)
● 获得对服务器或客户端的管理访问权
● 获得对后端信息数据库的访问权
● 安装特洛伊木马软件后,可绕过安全保护并能够对应用程序进行访问
● 在服务器上安装运行于“sniffer (网络探针)”模式的软件,并获取用户名和密码
由于基于应用的攻击本身很复杂,有效的防卫必须也同样复杂和智能。为了解决基于应用攻击日益增强的威胁,企业防火墙必须包含新级别的多层安全网关。这种多层安全网关应该防止网络及应用攻击,同时提供对IT 资源强大的访问控制。Check Point Application Intelligence? 是一组高级功能,与Check Point 的FireWall-1® 和SmartDefense? 集成,能够检测和阻止应用级攻击。Applocation Intelligence ——抵御新一代的网络应用威胁
许多防火墙(特别是那些基于Stateful Inspection 技术的防火墙)已经保存了成功抵御网络攻击的防卫库。事实上,越来越多的攻击试图利用网络应用的弱点,而不是直接面向防火墙。这种攻击方法的重要变化需要防火墙不仅提供访问控制和网络级攻击保护,还要理解应用程序的行为以抵御对应用程序的攻击和入侵。Check Point Application Intelligence 扩展了对这种网络安全解决方案的理解。
示例协议:
OSI (开放系统互联)参考模型
OSI 参考模型是一种框架(或指导方针),用于描述数据如何在网络设备中传输。注意:应用层不是真正的最终用户的软件应用程序,而是一系列允许软件应用程序通过网络通信的服务。第5、6 和7 层的区别通常并不明显,其他的一些相关模型将这几层组合在一起,本文也如此。
应用层安全
应用层引起大量攻击的原因有以下几点。首先,该层包含了黑客的最终目标——真正的用户数据。其次,应用层支持许多协议(HTTP 、CIFS 、VoIP 、SNMP 、SMTP 、SQL 、FTP、DNS 等),所以它包含了大量潜在的攻击方法。第三,因为应用层有更多的安全漏洞,所以相对于较低的那些层,在该层检测并防范攻击更加困难。
为了成功地提供对应用层的安全保护,一个安全解决方案必须提供以下四种防护策略。
1)验证是否遵循标准
防火墙必须能够确定通信是否遵循相关的协议标准。违反标准可能意味着恶意的传输流量。任何不遵循严格协议或应用标准的传输必须在获准进入网络前对其进行仔细检查,否则关键业务应用程序将面临危险。例如:
? Voice Over IP(VoIP)VoIP 传输通常由H.323 和SIP 协议支持。这些协议的操作可能很复杂,因此有大量的通信端口支持VoIP 呼叫的建立和维护。不正确的执行这些协议可能使VoIP 部署变得脆弱并带来以下危险:
■呼叫重定向——接收器的呼叫被重定向
■盗用呼叫——呼叫者伪装成其他人
■拒绝服务(DoS )——阻止合法使用VoIP
安全网关必须保证H.323 和SIP 命令完全符合适当的标准和RFC ,且数据包在结构上有效并以正确的顺序到达。另外,防火墙应该检查所有通过许可端口的数据包内容,以确保它们包含安全的信息。
? HTTP 头信息中的二进制数据尽管官方的HTTP 标准禁止在HTTP 头信息中包含二进制字符,但这项规则并不明确,并且大多数防火墙未对此进行检查。结果,许多黑客利用在HTTP 头信息中包含可执行代码发起攻击。所有的安全网关应该考虑如何阻隔或减少HTTP 头信息和请求中包含的二进制字符。
2)验证协议是否遵循预期用法(协议不规则检测)测试是否遵循协议十分重要,但是判断协议中的数据是否遵循预期用法的能力同等重要。换句话说,即使一个通信流遵循协议标准,使用协议的方法也可能与预期不相符合。例如:
? HTTP 用于点对点(P2P)通信P2P 是一种通信模型,其中的每一方都具备同样的能力,它们都能发起一次通信会话。P2P 应用程序分为两个主要类别:
■即时消息(IM)——主要目标是实现人与人之间直接的在线通信。
■文件共享网络——主要目标是共享存储一类的资源。
P2P 通信通常使用TCP 端口80,该端口常用于HTTP 传输,因此对外的连接是开放的。虽然有许多专用的P2P 协议,但P2P 通信经常嵌入在HTTP 传输中。在这种情况下,只进行是否遵循协议检查的防火墙将允许P2P 会话(因为该会话
使用标准HTTP)。由于HTTP 常用于Web 传输,因此防火墙应该阻隔或仔细监测嵌入在HTTP 传输中的P2P 通信。
许多组织出于安全、带宽和法律原因希望阻隔或限制P2P 传输。安全问题之所以被提出,源于P2P 通信的设计允许进行文件传输、聊天、游戏、语音和发送电子邮件,同时也用于绕过防火墙、病毒检测、登录和跟踪。结果,黑客们能够利用P2P 作为攻击载体进入网络。安全网关应该阻隔未授权的P2P 传输,换句话说,安全网关应该选择性的允许已授权的P2P 传输。
? 目录遍历目录遍历攻击使黑客能够访问那些不应该进行访问的文件和目录,同时能导致他们试图访问未授权的资源,在Web 服务器上运行非预期的可执行代码。大部分的这些攻击是基于文件系统中的“..” 符号。防火墙应该阻隔这样一些请求——在这些请求中,URL 包括符合语法但不符合预期用法的目录请求。例如,https://www.wendangku.net/doc/f512747263.html,/first/second/../../.. 就应该被阻隔,因为它试图进入根目录的更深层。
? HTTP 头信息长度过长HTTP 标准没有限制头信息的长度。但是,过长的头信息长度会偏离正常或预期的HTTP 用法。应该阻隔或减少过长的头信息长度,以减少缓冲溢出的机会;因此,应该严格限制可以插入的代码长度。
3)限制应用程序携带恶意数据的能力即使应用层通信遵循协议,它们仍会携带可能破坏系统的数据。这样,安全网关必须提供一种机制,它能够限制或控制应用程序将潜在的危险数据或命令引入内部网络的能力。例如:
? 跨网站脚本攻击脚本为攻击应用程序提供一个共同的机制。尽管大多数脚本是无害的,不设防的用户还是能够很容易并且在无意识的情况下执行恶意的脚本。这些脚本经常隐藏在看起来无害的链接中,或伪装成电子邮件卡片。一个普通的恶意脚本的例子出现在跨网站脚本攻击中(XSS)。通过特殊技巧处理的URL,使跨网站脚本攻击可以利用用户和网站之间的信任关系。攻击的意图是盗窃包含用户身份和信用在内的cookies ,或欺骗用户为攻击者提供信用。通常,一个跨网站脚本攻击由HTTP 请求中嵌入的脚本发起,用户在无意中将请求发送给可信任的网站。为了保护Web 服务器,安全网关应该具有检测和封锁包含危险脚本代码的HTTP 请求的能力。
? 限制和阻隔潜在的恶意URL 恶意数据还可以将本身嵌入URL 从而进入内部网络。例如,应用程序(电子邮件客户端)可以自动执行嵌入HTML 的URL 。如果URL 是恶意的,网络或用户的系统将受到破坏。对潜在的恶意URL 的访问应被阻隔和限制。
? 检测和阻隔攻击特征安全网关应该对所有的数据流执行内容过滤,以检测和阻隔有可能带
有攻击和蠕虫等危险的数据模式。4)控制应用层操作不仅应用层通信可以将恶意数据引入网络,应用程序本身也可能执行未授权的操作。一个网络
安全解决方案必须有能力通过执行“访问控制”和“合法使用”检查来识别和控制这样的操作。这种安全级别需要具有在细微处区分应用程序操作的能力。例如:
? Microsoft 网络服务网络安全解决方案可以使用CIFS (基于Microsoft 的通用Internet
文件系统)的许多参数来实现安全策略。在CIFS 支持的这些功能中,包括文件和打印共享操作。以这些操作的使用为例,安全网关应该有能力区分和阻隔那些来自用户或系统未被授权的文件共享操作。相反,来自同一用户的打印共享操作可能被
允许和接受。提供这一高级的安全控制级别需要对CIFS 的彻底理解,同时也需要具有控制应用层协议组件的能力。
? FTP 防火墙应该对特殊的文件名设置连接限制,并且控制像PUT 、GET 、SITE 、REST 和MACB 这样潜在危险的FTP 命令。例如,安全策略可能对所有包含单词“payroll” 的文件需要进行操作限制。
网络和传输层:Application Intelligence 的必要基础
Application Intelligence 本身的形式与应用级防护相关联。然而实践中,许多针对网络应用程序的攻击实际上均指向网络层和传输层。黑客们以攻击这些较低层为手段来访问应用层,并最终达到攻击应用程序和数据本身的目的。同时,以较低层为目标,攻击可以中断或拒绝合法的用户和应用程序服务(如DoS 攻击)。基于上述原因,Application Intelligence 和其他网络安全解决方案不仅必须要解决应用层问题,还要解决网络及传输层安全问题。
网络层安全
防止恶意的网络层协议操作(如IP、ICMP )对于多层安全网关来说至关重要。攻击网络层的最普遍的载体是互联网协议(IP),它的一系列的服务都驻留在网络层中。网络层存在许多的危险和攻击,例如:
? IP 碎片IP 碎片可用于发送和伪装攻击以避免检测。这项技术利用了IP 协议本身固有的弹性机制(RFC 791 和RFC 815),将攻击有意的分解为多个IP 包,因此它们可绕过那些不能进行IP 包重组的防火墙。另外,IP 碎片可以通过不完整碎片序列发送DoS 攻击。
? Smurfing(smurf 攻击)ICMP 允许一个网络结点向其他网络结点发送ping 或echo 请求,以确定它们的操作状态。这种能力可用于发起“smurf” DoS 攻击。由于标准ICMP 与响应请求不匹配,因此smurf 攻击是可能的。这样,攻击者可以发送一个带有虚假源IP 地址的ping 命令以访问到一个IP 广播地址。IP 广播地址可以到达特定网络中的所有IP 地址。所有在已连通的网络中的机器将发送echo 回复给虚假的源IP。过多的ping 和响应能够使网络性能集聚下降,导致无法提供合法的传输访问。此类攻击能够通过去掉不匹配的请求被阻隔,例如,Check Point 的Stateful ICMP 即可执行并监测到这一点。
传输层安全就像网络层一样,传输层和它的通用协议(TCP 、UDP )为攻击应用程序和数据提供了常用的接入点。传输层攻击和威胁实例如下:
? Non-TCP DoS Non-TCP (如UDP 和ICMP)DoS 攻击能够完全控制关键任务应用程序——例如SMTP 、HTTP 、FTP 等,它们都使用了TCP 传输。通过保留用于TCP 连接的状态表专有部分及系统资源,防火墙可以避免这些威胁。如果非TCP 连接试图利用过多的资源,TCP 连接将不受影响,因为它们已被保留或由专有的系统资源操控。
? 端口扫描端口扫描正如它的名字所述:黑客扫描目标主机上的一系列端口,希望识别和利用运行应用程序的弱点。端口扫描执行的检查存在导致被攻击的危险。安全网关必须能够发出警报,并阻隔或关闭扫描源的通信流量。
结论
防火墙已经成为网络安全基础架构的主要部分,这主要基于它们阻隔网络级攻击的能力。防火墙的成功另一方面也使黑客们又开发出更加复杂的攻击方法。新种类的攻击直接面向应用程序,经常试图利用应用程序本身固有的弱点或基本的通信协议中的弱点。因此,需要使用多层安全网关来保护公司网络免受这些威胁。另外,多
层安全解决方案必须保护网络层和应用层免受攻击,提供对IT 资源的访问控制。Check Point Application Intelligence 具有一系列高级功能,与Check Point FireWall-1 NG 和SmartDefense 集成,能够检测和防止应用层攻击。Check Point 针对越来越多直接针对关键应用的攻击行为,在业界提供了领先的安全解决方案。
Check Point 多层安全性:攻击防护安全措施和攻击阻隔具有Application Intelligence 的FireWall-1 NG 能够阻隔许多攻击并提供大量攻击防护安
全措施。此表列出一些防护措施,并将其按照协议和OSI 模型层次归类。注意:Check Point 将不断扩展提供防护的范围。这是一张简表,而不是详细的清单。应用层/表示层
? 阻隔Java 代码? 红色代码蠕虫和变异
? 去掉脚本标签? 尼姆达蠕虫和变异
? 去掉applet 标签? HTR 溢出蠕虫和变异
? 去掉FTP 链接? 目录遍历攻击
? 去掉端口字符串? MDAC 缓冲溢出和变异
? 去掉ActiveX 标签? 跨网站脚本攻击
? 识别出伪装默认的标识? URL 过滤? 限制URL 最大的长度? 限制HTTP 响应头信息的最大数量? 限制请求头信息的最大长度? 限制响应头信息的最大长度? 禁止HTTP 响应头信息中的二进制字符? 禁止HTTP 请求中的二进制字符? 验证HTTP 响应协议遵循情况? 阻隔用户自定义的URL ? 限制最大的GET 和POST 长度? 恶意URLs ? 用户自定义蠕虫和变异
HTTP 服务器? 限制URL 的最大长度? 区分同一连接的不同的HTTP v1.1 请求? 限制响应头信息的最大数量? 限制请求头信息的最大长度? 限制响应头信息的最大长度? 在HTTP 响应头信息中禁止二进制字符? 在HTTP 请求中禁止二进制字符? 阻隔用户自定义的URL ? 限制非RFC HTTP 使用方法? 在非标准端口加强HTTP 安全(除80 以外的端口)? 将传输流与用户验证的SOAP 计划/模板比较? 编码攻击? 跨网站脚本攻击? 跨多个包的,基于HTTP 的攻击? WebDAV 攻击? 用户自定义的蠕虫和变异? 分块传输编码攻击
SMTP ? 阻隔多重“内容类型”头信息? 阻隔多重“编码头信息”? 识别出伪装默认标识? 限制不安全的SMTP 命令? 头信息指向验证? 限制未知编码? 限制不包含发送者/接收者域名的邮件信息? 限制特殊类型的MIME 附件? 除去带有指定名称的文件附件? 严格加强RFC 821 和822 ? ESMTP 命令监控? SMTP 邮件洪水? SMTP 蠕虫和变异? 扩展的中继攻击? MIME 攻击? SPAM 攻击(大量电子邮件)? 命令验证攻击? SMTP 蠕虫有效载荷和变异? 蠕虫编码? 防火墙遍历攻击? SMTP 错误的拒绝服务攻击? 邮箱拒绝服务攻击(邮件过大)? 地址欺骗? SMTP 缓冲溢出攻击
RSH ? 辅助端口监控? 限制反向入侵
RTSP ? 辅助端口监控
IIOP ? 辅助端口监控
FTP ? 分析并限制危险的FTP 命令? 阻隔定制的文件类型? 被动模式FTP 攻击? FTP 反弹攻击
? 识别伪装默认标识? 除去FTP 参考? 客户和服务器反弹攻击? FTP 端口注入攻击? 目录遍历攻击? 防火墙遍历攻击? TCP 分段攻击
DNS ? 限制DNS 区域传送? DNS 请求不良包攻击? DNS 应答不良包攻击? DNS 请求缓存溢出--未知请求/响应? 中间人攻击
Microsoft 网络? CIFS 文件名过滤(利用CIFS 协议抵御蠕虫攻击)? 限制对注册表的远程访问? 限制远程空会话? 怪物蠕虫? 尼姆达蠕虫? Liotan 蠕虫? Opaserv 蠕虫
SSH ? 增强SSH v2 协议? SSH v1 缓冲溢出攻击
SNMP ? 限制SNMP get/put 命令? SNMP 洪水攻击? 缺省团体攻击? 暴力攻击? SNMP Put 攻击
MS SQL ? SQL 解析器缓冲溢出? SQL 监狱蠕虫
Oracle SQL ? 检验动态端口分配和初始化? SQLNet v2 中间人攻击
SSL ? 增强SSL V3 协议? SSL V2 缓冲溢出
VoIP ? 校验协议域和值? 识别和限制PORT 命令? 强迫强制域的存在? 强制用户注册? 防止VoIP 防火墙漏洞? 缓冲溢出攻击? 中间人攻击
X11 ? 限制反向入侵
会话层
攻击防护安全措施攻击阻隔
RPC ? 阻隔RPC portmapper 使用? ToolTalk 攻击? snmpXdmid 攻击? rstat 攻击? mountd 攻击? cmsd 攻击? cachefsd 攻击
DEC-RPC ? 阻隔DCE-RPC portmapper 使用
HTTP 代理? HTTP 代理执行:增强代理模式下的HTTP 会话逻
辑
? 根据证书撤消列表验证使用的数字证书
? IKE 暴力攻击
? 监控预共享密钥弱点
? 集中和星型拓扑攻击
? IKE UDP DoS 攻击
? Windows 2000 IKE DoS 攻击
? VPN IP Spoffing 攻击
? VPN 中间人攻击
传输层
攻击防护安全措施攻击阻隔
TCP ? 加强TCP 标记的正确用法? 限制每个源会话? 强制最短的TCP 头信息长度? 阻隔未知协议? 限制无ACK 的FIN 包? 使头信息中标识的TCP 头信息长
度不长于在头信息中标识的包长度? 阻隔状态包? 验证第一个连接包是SYN ? 执行 3 路握手:在SYN 和SYN-ACK 之间,客户只能发送RST ? 执行 3 路握手措施:在SYN 和连接建立之间,服务器只能发送SYN-ACK 或RST ? 在FIN 或RST 包相遇之前,阻隔已建立连接上的SYN ? 限制旧连接上的服务器到客户的包? 如果包包含SYN 或RST,则除去属于旧连接的服务器到客户包? 强制最小的TCP 头信息长度? 阻隔TCP 碎片? 阻隔SYN 碎片? 抢夺OS 指纹? ACK 拒绝服务攻击? SYN 攻击? Land 攻击? Tear Drop 攻击? 会话劫持攻击? Jolt 攻击? Bloop 攻击? Cpd 攻击? Targa 攻击? Twinge 攻击? 小型PMTU 攻击? 会话劫持攻击(TCP 序列号操作)? 跨多个包的,基于TCP 的攻击? XMAS 攻击? 端口扫描
UDP ? 校验UDP 长度域? 匹配UDP 请求和应答? UDP Flood 攻击? 端口扫描
网络层
? 强制IP 头信息中标识的包长度不长于实际的包长度
? IP 碎片拒绝服务攻
? 抢夺OS 指纹
击
? 控制IP 选项
? 松散源路由攻击
? 严格源路由攻击
? IP 欺骗攻击
? 阻隔大ICMP 包
? Ping-of-Death 攻击
? 限制ICMP 碎片
? ICMP Flood
? 匹配ICMP 请求和应答
安全虚拟网络架构
所有的Check Point Software 产品均建立在我们的“安全虚拟网络(SVN )架构”之上,它可通过Internet 、内部网和外部网环境为用户、网络、系统和应用程序提供安全和无缝的连接。Check Point Software 的SVN 解决方案可通过遍布全球的业界领先的零售商和服务提供商处获得。
CheckPoint FireWall-1® 特性:
Check Point FireWall-1® 是行业领先的Internet 安全解决方案,它提供最高级别的安全性,同时附带访问控制、内容安全、身份验证以及集成的网络地址转换(NAT)功能。只有FireWall-1 能够提供真正的Stateful Inspection 技术,
它支持行业内最广范围的应用程序集,包括IP 电话(VoIP)和多媒体应用程序。FireWall-1 也是第一个支持XML/SOAP 和Microsoft Common Internet File System(CIFS )的企业防火墙。此外,开放式安全性平台(OPSEC?)认证产品为客户提供了空前广阔的选择空间,可以选择诸如入侵检测和内容安全之类的产品来扩展他们的防护。
FireWall-1 和FireWall-1 SecureServer 提供真正的企业防护,可以通过OPSEC 认证的应用程序进行扩展。
产品优点:
● 为您的商务提供最大限度的安全保护
● 简化企业范围的安全部署和管理
● 利用最佳的解决方案构造灵活的安全基础设施
● 提供了多千兆位防火墙性能
● 为各种规模的网络提供了空前广泛的平台选择
产品特性:
● 基于Stateful Inspection 的访问控制
● 集中的、基于策略的管理
● 可以通过范围广泛的Check Point 和OPSEC 产品进行扩展
● 通过SecureXL 获得市场领先的性能
● 范围广泛的转钥硬盒子和开放式服务器平台无与伦比的安全保护FireWall-1 为
全球财富100 强中93% 的企业和全球财政机构财富500 强中超过91% 的企业提供安全保护。只有发明Stateful Inspection 技术的Check Point 才能提供真正的Stateful Inspection ——能够跟踪所有通信的状态和上下文,从而实现真正完善的网络保护。广泛的应用支持FireWall-1 凭借对超过150 个预定义的应用和现有协议的支持,提供了业内最广泛的应用支持。示例:
● Microsoft CIFS
● SOAP/XML
● 即时消息发送和点对点应用
● Windows Media 、RealVideo 和会话发起协议(SIP)
● 基于H.323 的服务,包括IP 语音技术(VoIP )和网上会议(NetMeeting)● SMTP 、FTP、HTTP 和telnet 信息流
● Oracle SQL 和ERP
FireWall-1 不断发展以支持新的商务需求,因此一直在行业内居于领先地位。作为第一个支持Microsoft CIFS 的防火墙,FireWall-1 为文件和打印服务器提供了粒度访问控制,从而使您能够确保它们不会受到未经授权的使用。利用FireWall-1 ,您能够限制在特定服务器上浏览或发布文档的人员。作为第一个可以检查SOAP/XML 并且能够终止SSL 连接的防火墙,使用FireWall-1 就可以不必再部署一个单独的基础架构来确保Web 服务的安全。
对FireWall-1 的不断创新意味着该产品能够为您的组织提供最高级别的安全性。即使在公共端口运行Web 应用程序(例如,即时消息发送和点对点应用程序)时,
FireWall-1 也能检查它们。它是真正的安全基础设施基础,您可以通过一个可选的UserAuthority 模块来添加单点登录功能,从而扩展Web 应用程序和CIFS 安全性。防御已知的和新的威胁
在今天的环境中,集中防御已知的和新的Internet 威胁日益重要。FireWall-1 包含了SmartDefense? 技术以保护您的公司免受各种类型的网络攻击——包括简单的包损坏以及极具破坏性的高级别攻击。例如,SmartDefense 自动阻隔并记录过大的数据包、SYN 洪水和碎片攻击。SmartDefense 还可以管理网络容量以及为关键任务的TCP 连接(如Email 和Web 信息流)保留防火墙容量,从而减轻遭受拒绝服务(DoS )和分布式拒绝服务(DDoS )攻击的风险。
为了进一步防御新的威胁及可能的变种,可选的SmartDefense 服务通过在线的Check Point SmartDefense 攻击中心提供实时的攻击信息和防御更新。
粒度内容安全
FireWall-1 应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的HTTP 、SMTP 或FTP 资源的访问。FireWall-1 SmartDefense 技术提供应用级的检查以保护数据和应用服务器免受恶意Java 和ActiveX applet 的攻击。您可以选择范围广泛的OPSEC 认证产品,添加防病毒扫描、URL 过滤和Java 安全性等功能。
SmartDefense 运用智能安全技术,主动保护公司免受所有已知的和未知的网络攻击。
灵活的验证
在允许用户访问敏感的网络资源之前,组织必须确认其身份。通过FireWall-1 可以在一个安全策略中集成大量的身份验证解决方案,包括FireWall-1 和LDAP 存储口令、基于令牌的产品、RADIUS 、TACACS+ 和X.509 数字证书。
集成的网络地址转换
FireWall-1 提供NAT 以隐藏内部网络地址。通过与Stateful Inspection 技术集成,FireWall-1 能够根据网络拓扑信息自动生成静态和动态的NAT 规则。
SMART 管理
Check Point 安全管理架构(SMART?)解决方案能够使您将单个防火墙策略部署到无限数量的FireWall-1 网关并对其进行集中式管理。一旦创建或修改了策略,它就被自动分发到所有的位置。
SMART 用户界面
SmartDashboard? 包含在集中式SMART 管理解决方案中,它提供了一个唯一的用户界面,用于为多个Check Point 产品创建和部署策略,从而简化管理。这使您能够将FireWall-1 和NAT 策略作为一个总体安全策略的一部分来管理,这个总体安全策略包括VPN 、客户端安全性和QoS 管理。可在所有应用程序中共享所有的对象定义(例如:用户、主机、网络和服务等等),以便进行有效的策略创建和安全管理。
SMART 状态与审核
SmartView Status?和SmartView Tracker? 包含于集中式的SMART 管理解决方案。SmartView Status 能够监控FireWall-1 以及其它Check Point 和选择的OPSEC 产品的系统状态。SmartView Tracker 能够为Firewall-1 网关记录的所有连接提供实时的图像化跟踪、监控和统计信息。SmartView Tracker 还记录管理员对配置错误进行快速排除的操作。此外,管理员还可以使用SmartView Tracker 搜索或过滤日志以快速定位或跟踪事件。
线速安全性
FireWall-1 通过正在申请专利的SecureXL? 技术为各种规模的机构提供市场领先的性能/价格比。支持SecureXL 的解决方案可在各种构成因素(包括支持SecureXL 的硬盒子、可选的防火墙和VPN 加速卡以及一个可选的性能包软件模块)中获得,以满足部署需求。此外,对于可能发生Internet 链路拥塞的环境来说,可选的FloodGate-1® 模块将提供灵活的服务质量管理。FloodGate-1 可以在FireWall-1 网关上运行,它确保关键业务信息流(如VPN 、数据库和Web 服务信息流)具有最佳的性能。对于VoIP 和多媒体信息流的其他控制,FloodGate-1 还提供低延迟排队。
不间断的安全性
对于那些寻找先进的高可用性和负载平衡的客户,Check Point 提供了一个可选模块——ClusterXL?。ClusterXL 能够通过集群网关分配各种类型的信息流。如果一个网关变为不可访问,所有新的和正在进行的连接都会无缝地重定向到剩余的集群成员。ClusterXL 驻留在网关中,不需要额外的硬件投资,并且很容易通过SmartDashboard 进行配置。
SECURE VPN
FireWall-1 包含在Check Point 行业领先的虚拟专用网络解决方案VPN-1® Pro? 之中。通过Check Point VPN-1/FireWall-1 对VPN 信息流应用安全规则,以保证网络安全绝对的完整性。FireWall-1 安装可以很容易地升级到VPN-1 。
SmartDefense 安全虚拟网络架构
您面临的挑战:
各种组织正面临着来自Internet 不断增加的各种攻击的危险。随着这种威胁日益增加和日渐严峻,安全管理者需要加强警惕性以积极巧妙地阻隔Internet 攻击。一个健壮、可靠的安全解决方案,不仅要有巧妙阻隔所有攻击的智能,而且能为安全管理者提供有关攻击的详细资料。有用的数字侦察信息结合实时的安全更新,可提供更好的防火墙安全并保护组织免受来自Internet 的威胁。
我们的解决方案:
Check Point Software 的SmartDefense? 引入了一种新型的Internet 安全产品:主动防御解决方案。SmartDefense 包含在FireWall-1® 中,它采用了智能安全技术主动保护组织免遭所有已知和未知的网络攻击。SmartDefense 采用Check Point 获专利的状态检测(Stateful Inspection )技术,通过分类
和分级阻隔攻击,并提供了一个独立的、集中式的控制台来获取攻击的实时信息,以及进行攻击检测、阻隔、日志、审核和警报。
产品特性:
●与FireWall-1 完全集成
● 通过分类和分级阻隔攻击
● 在线安全更新
● 实时记录攻击细节和数字侦察信息
产品优点:
● 增强的网络安全性
● 检测和防卫所有的网络攻击
● 确保攻击防卫是最新的并保持整个安全环境的一致
● 增强了对攻击的了解和控制
SmartDefense 运用智能安全技术,主动保护组织免受所有已知的和未知网络的攻击。
集中式控制防范攻击
SmartDefense 为安全管理者应对攻击提供了独立的、集中式的控制。它可挫败范围广泛的各种攻击类型,包括拒绝服务攻击(DoS)、IP 攻击、网络侦测、Web 和应用程序弱点。另外,它集中配置报警、追踪和审核,从而提供了一个全面的网络防卫。
在线更新
Check Point 提供一项可选的SmartDefense 更新服务,以确保SmartDefense 客户能够获取关于新出现的攻击的最新信息。这些在线更新扩展了SmartDefense 的能力,提供了基于硬件和基于ASIC 的防火墙无法提供的响应级别和灵活性。
实时攻击信息
SmartDefense 的用户界面包括攻击的后台详情,并有超链接指向攻击的种类和特性的更多信息。通过Check Point 丰富的日志数据和分布于分支结构中的日志,提供了有价值的攻击的数字侦察信息。这些数据为安全管理者提供有关攻击种类和潜在响应的信息,增强了他们对网络攻击的理解和控制。
被抵御的网络攻击
拒绝服务(DoS )攻击
● SYN 洪水攻击
● LAN D (源和目的地址端口都一样的欺骗攻击)
IP 攻击
● IP 欺骗
● IP 片段
● 非法和残缺的包
Web 和应用程序弱点
● DNS 攻击
● 违反协议
● 特殊应用程序弱点
● 特洛伊木马程序
● 后门和远程管理
● 移动代码(JavaScript 、Active-X)
● 隐藏的文件扩展名
网络侦测
● 端口扫描
● 服务扫描
HTTP 蠕虫*
● 红色代码
● htr 溢出
● 尼姆达病毒
* 其他的蠕虫将在它们出现时添加
2、Nokia 硬件防火墙介绍:
采用硬件防火墙,便于机架安装,符合国际通用的电气标准
Nokia 防火墙为基于网络处理器NP 的硬件防火墙,标准19 英寸设备,便于机架安装,符合国际通用的电气标准。其具体产品参数请参见附件
防火墙的可升级性,更新的操作系统或软件必须支持以往的平台
Nokia 防火墙操作系统为安全路由操作系统IPSO ,其防火墙应用系统为CheckPoint 系列,均有良好的可升级性,更新的操作系统或软件支持以往的平台。
防火墙的兼容性,是OPSEC 组织的成员,和世界大多数厂家产品有良好的兼容性OPSEC(Open Platform for Security )是Nokia 、CheckPoint 等公司倡导成立的国际安全组织。OPSEC 它是当今全球网络安全方面最权威、代表最广泛的组织,是国际安全厂家及组织的联盟,它们之间提供SDK 级别的互通互联特性,既它们之间的产品可以通过这个标准的SDK 接口进行互通。OPSEC 目前已经有超过325 个厂家的加入,各厂家包括了信息安全的各个领域,包括:防火墙,入侵检测,包括ISS,Enterasys 等,内容安全,PKI ,认证,管理,审计。目前为止,OPSEC 有包括300 多家经过严格授权的、致力于网络安全各方面研究的软件和硬件合作厂商。它以成为网络安全开放式平台事实上的标准。如,入侵检测采用SAMP(Suspicious Activity Monitorng Protocol),SAMP API 定义了入侵检测应用同VPN-1/Nokia 防火墙通信的接口。入侵检测引擎使用SAMP 来识别网络中的可疑行为,并通知防火墙处理。另外SAMP 应用可以使用其他
OPSEC 接口和API 来发送日志、告警和状态信息到VPN-1/Nokia 防火墙管理服务器。因此,采用Nokia 的防火墙,就可以非常顺利的与其他信息安全产品良好的进行集成,从而建立一个完整的信息安全系统。至少提供四个以上端口,能够支持多种类型网络接口,接口的电器特性符合国际国内相关标准.
Nokia IP380 ,其标准配置就带有4 个10/100M 以太网接口。同时分别带有2 个扩展插槽,可根据需求扩展相应的接口模块,接口模块的种类包括:2 端口10/100M 以太网,具备CSU/DSU 的T1/E1,V.35/V.21,ISDN-BRI 。
以上产品的所有的接口均符合国际及国内的相关标准。
防火墙内部核心技术应采用国际最先进的状态监测技术
Nokia 防火墙中采用的是CheckPoint 获得专利的第三代防火墙技术状态检测Stateful Inspection 。能够提供更安全的特性。状态检测是防火墙的第三代核心技术,也是最新的防火墙核心技术,最初由CheckPoint/Nokia 发明,并获得美国专利(专利号5,835,726)。状态检测相比于较早的包过滤及应用网关方式的技术有较大的优势,包括更安全,性能更高、扩展性更好等。因此,目前,几乎所有的防火墙产品均声称自己是状态监测类的防火墙,但实际上在实现时有些产品的实现不完整。
为了提供更强壮的安全性,一个防火墙必须跟踪及控制所有通信的数据流。与传统的包过滤不同的是,状态检测通过分析流入和流出的数据流,跟踪数据流的状态及上下文,根据会话及应用的信息,实时确定针对该数据流的安全决策。状态及上下文信息必须包括:
? 数据包头信息(源地址、目的地址、协议、源端口、目的端口、数据包长度)? 连接状态信息(哪个端口为哪个连接而打开)
? TCP 及IP 分片数据(如分片号、序列号)
? 数据包重装,应用类型,上下文确认(如该数据包属于哪个通信会话)
? 防火墙上的到达端口及离开端口
? 第二层信息(如VLAN ID)
? 数据包到达及离开的时间
根据安全策略实施对通过防火墙的数据流进行控制,允许通过或采取相应措施。防火墙系统的安全规则,每一条表项都包括条件域、动作域和选项域,当有IP 包进入时,系统在安全策略中从第一个表项开始查起,如果符合,然后执行该表项指示的动作,状态检测技术针对协议,抽取连接的状态信息,并建立状态连接表项。当没有一条合适的表项时,系统的默认动作是拦截。
Nokia 全系列的防火墙均采用Nokia 独有的运营商级安全操作系统IPSO 。该操作系统专门对其进行了优化,不但提高了运行的性能,关键是提高了安全性。一般的开放操作系统拥有许多的网络服务,远程服务,而且可能存在一般用户不知道的漏洞,这对防火墙自身的安全是很大的威胁。NOKIA IPSO 操作系统从设计上做了大量的安全加强,保证防火墙自身的安全。IPSO 不带有任何不必要的2 进制代码和库结构,是一个安全紧凑的操作系统;
IPSO 操作系统覆盖了已知的各种漏洞,并且不断致力于发现和覆盖新的漏洞。
在美国信息周刊(Information Week) 组织的操作系统的安全漏洞研究中,基于Windows 的操作系统被发现至少47 个安全漏洞,基于Linux 的操作系统有超过
50 个安全漏洞,而IPSO 未被发现有任何安全漏洞。其原因正是因为IPSO 是Nokia 专门为安全应用所设计开发的操作系统。z 防火墙需能够支持通常的路由模式,也支持不需要改变现有网络拓朴结构的透明模式,
而且需能够同时支持路由模式与透明模式
Nokia 防火墙支持路由模式、NAT 模式及透明模式三种工作方式。并且三种模式可同时工作。
支持以下一些常用协议:OSPF、RIP 、RIPII (路由协议),BGP-4,ARP, TCP/IP, IPX 、NETBEUI 、H.323v1/v2,UDP, ICMP, DHCP, HTTP, RADIUS, IPSec, MD5, SHA-1, DES, 3DES, IKE ,数字证书(X.509 V3)
Nokia 防火墙支持上述协议,其详细信息请参见附件产品说明。z 防火墙的访问控制可以基于协议、端口、日期、源/目的IP 等规则Nokia 防火墙不仅能够实现基于协议、端口、日期、源/目的IP 等规则,还具有其他更灵活丰富的规则设置,包括对VLAN 信息、用户信息、时间段VPN 加密,病毒扫描,邮件过滤,网页过滤等规则。
Nokia 防火墙支持超过150 个预定义的应用、服务和现有的协议,包括一些最常用的应用,如HTTP、SMTP 、FTP 和telnet 。此外,Nokia 防火墙还支持一些重要的商业应用软件(如Oracle SQL)、多媒体应用软件(如RealVideo 和Windows Media)以及基于H.323 的服务(如Voice over IP 和NetMeeting)。等等。支持多种用户认证类型,包括:防火墙本地认证,第三方的RADIUS 认证和RSA SecurID 认证z NOKIA 网络安全平台支持用户认证,会话认证,客户端认证三种防火墙本地认证。Check
Point 的开放式体系结构允许将大量的身份验证解决方案集成到一个企业范围的安全策略中,包括Nokia 防火墙口令、智能卡、基于令牌的产品(如SecurID)、LDAP 存储的口令、RADIUS 或TACACS+ 身份验证服务器和X.509 数字证书。
防火墙能够提供VPN 加密功能,VPN 加密有防火墙到防火墙和用户到防火墙两种方式.nokia 防火墙支持VPN 加密功能,支持端到端的VPN 隧道连接(防火墙到防火墙)及客户到端的VPN 隧道连接(移动用户到防火墙)。可以提供数据加密的新的高级加密标准(AES)、Triple DES 算法、DES 算法、FWZ-1 算法、DES-40 算法、CAST-40 算法多种算法。z 防火墙内置入侵检测功能
Nokia 全系列防火墙均内置入侵检测功能SmartDefense 能够与第三方安全产品进行很好的联动,尤其是与IDS (入侵检测系统)产品的联动,最大限度的提高整个系统的安全性
Nokia 防火墙能够很好的与各种入侵检测系统互动,能够最大限度的提高整个系统的安全性。
实际上,Nokia 一直致力于提供给用户尽量完整的安全系统,如在同样的Nokia 平台上,可运行防火墙、美国ISS 入侵检测系统、TrendMicro 病毒/内容检查系统等多种安全应用,各安全系统可在Nokia 统一的管理系统下进行管理,可实现各安全部件之间的互动。
支持内容过滤,可以过滤URL 地址、Java Script 、Active X 控件和ftp 控制命令(get, put) 、畸形IP 攻击包、ICMP 恶意代码包,另外还能设置收件发件人邮件地址过滤和大邮件过滤策略
NOKIA 防火墙可以通过其集成的内容安全能力使用户免受病毒、恶意Java 和ActiveX applet 及不需要的Web 内容的攻击。对于每个通过Nokia 防火墙安
全服务器建立的HTTP 、SMTP 或FTP 连接,网络管理员可以更详细地来控制对特定资源访问。例如,访问可以控制到具体的Web 页面及活动、FTP 文件以及操作(例如,PUT/GET 命令)、SMTP 的专用标题字段等等。可对如e-mail 附件大小、文件类型等进行检查,并可进行拒绝及转发等服务。
同时Nokia 防火墙还可通过OPSEC 的SDK 接口与专门的内容过滤系统互动,进行更细致的内容检查。
支持动态和静态地址翻译(NAT) 功能
NOKIA 防火墙支持动态和静态地址翻译(NAT) 功能,并且无数量限制。
Nokia 防火墙使用强大的、易于管理的网络地址翻译(NAT)在Internet 上隐藏内部网络地址--避免将它们泄漏为公众信息。通过集成Stateful Inspection 技术,Nokia 的NAT 实现了业界最安全的地址翻译,而且它支持范围广泛的Internet 服务。根据网络管理员在建立对象(如主机、网络和网关)时提供的信息,Nokia 防火墙自动生成静态和动态的翻译规则。
防火墙支持基于服务器轮流、负载优先、随机选取等算法的负载均衡技术,均分服务访问负载
Nokia 防火墙支持组件提供服务器的负载平衡功能,提供方式包括服务器负载(Server Load)、域名平衡(Domain Name)、最快响应时间(Round Trip Delay)、服务器轮询(Round Robin)、随机选取(Random )等。
支持高可用性,提供双机热备功能
Nokia 可以通过4 种方式提供防火墙的高可靠性HA:
标准的VRRP 协议(RFC2338)
动态路由协议
四层交换机
有的IP Cluster 技术
在上述4 种方式中,IP Cluster 技术是目前防火墙负载均衡技术中最先进的一种。这主要是因为它克服了以往防火墙HA 技术的许多不足之处。如,采用VRRP 协议实现HA 的主要问题在于,HA 的2 台防火墙是工作在一主一备的工作模式下,2 台防火墙实际上只有1 台在工作,无法做到负载均衡。这对于用户的投资而言是很大的浪费。其主要原因是受限于VRRP 协议本身,其定义的工作方式只有“一主一备”。
而采用动态路由协议或四层交换机方式的问题是,它们均需要对网络结构或配置进行修改,这使防火墙HA 受到了许多限制。
而Nokia 独有的IP Cluster 技术则克服了上述问题,其典型特点包括:
实施IP Cluster 无需对网络的配置进行修改
最多可4 台防火墙组成一个Cluster ,而通常VRRP 只能够2 台
在Cluster 中的防火墙是工作于负载均衡模式,所有的防火墙均正常工作。
动态负载均衡。当Cluster 中的某一台出现故障时,其负载将自动的平均分配到Cluster 中的其它防火墙中。
切换速度快,小于1 秒。并且当前运行的session 不会中断。这是因为IP Cluster 技术保证了Cluster 内所有防火墙的状态链接表是完全一致的。
因此,Nokia 能够提供技术能够提供功能更强大,应用更灵活的HA 解决方案。而传统的VRRP 方式则存在一定的问题。
支持动态负载均衡技术
Nokia 防火墙支持动态负载均衡技术
防火墙支持网络流量监视和CPU 负载统计
NOKIA 防火墙集成SmartView Monitor 组件,性能数据由网关执行点收集并连续不断地传输到Check Point 中央管理服务器。该管理服务器将数据进行整合和分析之后,通过Check Point 的集成管理客户端进行显示。VPN-1 和Nokia 防火墙中的用户可以在得短时间内启动并持续运行SmartView Monitor ,而无需部署新的硬件或了解一个新的用户界面。与专门的网络监控方案相比,这样的集成可降低成本和复杂性。z 支持本地管理和远程管理,远程管理必须保证其安全性,系统管理员支持X.509 证书认证或动态口令认证
NOKIA IP 网络安全平台支持本地管理和远程管理方式。本地管理和远程可以通过WEB 界面(通过SSL 加密),和Visual Policy Editor 策略编辑器(内部认证)管理。同时Nokia 防火墙还支持SSHv1v2 ,保证了远程管理的安全性。
审计日志功能,支持对日志的统计分析
NOKIA 防火墙的组件SmartView Reporter 提供日志分析和统计,并可根据客户定义的时间,排位,内容,生成数据表格、图形报告。
Nokia 防火墙图形化的Log Viewer 为Nokia 防火墙执行点记录的所有连接提供实时的可视化跟踪、监控和统计信息。此外,它还记录管理员的活动(如,修改对象定义或规则),这可极大地缩短排错所需的时间。管理员可以执行搜索或过滤日志记录来快速定位和跟踪感兴趣的事件。一旦发生攻击或者其他可疑的网络活动,管理员可以使用Log Viewer 来临时或永久终止特定IP 地址的连接。可选择的Reporting Module 使管理员可以将详细的Nokia 防火墙日志转换为可操作的管理报告,使用简单直观的表和图形表示信息。可以使用预定义和自定义的报告模板来生成报告。z 支持网络流量控制和带宽监控功能,分析和分配不同类型的网络通信使用的带宽,可以按照IP 地址、应用分类和时间段划分优先级,访问控制和流量过滤的策略支持用户自定义
Nokia 防火墙支持上述流量控制及带宽控制功能,可以按照IP 地址、应用分类和时间段划分优先级,访问控制和流量过滤的策略支持用户自定义。z 实时告警功能,对防火墙本身或受保护网段的非法攻击支持多种告警方式如SNMP 告警、EmaiL 告警、日志告警等等
Nokia 防火墙支持强大的告警功能,如遇攻击将可通过多种手段报警,包括SNMP TRAP 、电子邮件告警、日志告警等,同时还支持自定义的告警方式。
防火墙支持VLAN 功能,支持对不同VLAN 间数据包的阻隔
Nokia 防火墙支持802.1Q VLAN ,支持对不同VLAN 间数据包的隔离。Nokia 所有防火墙的百兆端口均同时支持10Mbps 和100Mbps 速率。支持VPN 的硬件加速z Nokia 防火墙支持VPN 的硬件加速。z 支持IP/MAC 绑定Nokia 防火墙的META IP 组件向用户和与网络连接的设备提供无缝的、容错性能
极佳地IP 服务,可以实现MAC 地址绑定功能,防止地址欺骗攻击。通过它们,IP 地址、网络设备和IP 服务可得到有效控制,还可以保护基础设备,使它们免于灾难性故障。Meta IP 是行业中第一个能够将基于策略的网络管理用于真正地以用户为中心的网络解决方案。它的成功得益于两项独特的技术优势:一是“DEN”(Directory Enabled Network )框架,二是“UAM” (User-to-Address Mapping? 用户-地址映射)服务。
诺基亚开发商联盟(Nokia Security Developers Alliance Program ) 诺基亚与Check Point 的合作
诺基亚安全开发商联盟测试并批准满足客户要求的互操作应用,延伸了诺基亚所采用的最佳解决方案的价值。我们所选择的合作伙伴拥有能发挥协同效应的增值应用,能保护和促进客户在诺基亚全面解决方案上的投资。诺基亚安全开发商联盟有权批准产品进入诺基亚IPSO 操作系统,同时通过全面的测试保证互操作性,使客户可以彻底放心,使用起来更放心。目前提供的应用已经包括内容过滤、应用级安全、数据安全保障、安全策略管理和报表分析、实时事件记录等,我们随时都在推出更多应用。
Check Point 软件技术有限公司总裁Jerry Ungerman
"Check Point 很高兴与诺基亚合作,向市场提供卓越的互联网安全性解决方案。Check Point 和Nokia 一直在不断地刷新技术和创新的标准。我们与诺基亚的合作关系是最长、最成功的关系,而且我们将努力在将来取得更大的成功。"
诺基亚公司总裁Pekka Ala-Pietila
"诺基亚很高兴与Check Point 建立如此长期、紧密的工作关系。通过我们的合作,我们能够提升世界级互联网安全性解决方案的标准。我们很高兴我们的战略伙伴关系带来了明显的领先优势,这个领先地位也将随着两家公司继续共同创新,提供超凡解决方案而不断深化。
诺基亚: Check Point的首选平台
Check Point首选诺基亚平台来运行其市场领先的互联网安全软件套件。基于长期的合作和创新关系,诺基亚和Check Point新近拓展了其全球联盟并承诺继续保持在有线和移动互联网市场上的领先地位。
两家公司将双方的战略、工程、创新的优先选择,和在几乎所有商业级别上的资源紧密结合起来,制造出首屈一指的解决方案。诺基亚提供一系列专门制造的平台,满足从分散的公司环境到数十亿字节的数据中心的不同要求,同时提供快速实施的管理工具和支持服务。Check Point提供虚拟专用网(VPN )和防火墙应用,以及安全管理。由此,创造了市场领先的安全应用,结合了诺基亚IP 安全平台的优势- 为提高可靠性、性能和快速实施而预装的和预先配置的设备-
并且是为从基础到安全连接而全面设计的。
合作行动
诺基亚防火墙流(Nokia Firewall Flows )是诺基亚和Check Point共同开发努力的最显著的成果。防火墙流结合了Check Point 的SecureXL performance API 的元素,可以减少每个信息包的资源需求。这极大的提高了在诺基亚IP系列上运行的Check Point FireWall- 1的性能。第3方机构在小信息包吞吐量方面的测试结果显示,运行在IP系列上的F irewall-1 的性能超过了其它基于ASIC 的防火墙系统。
诺基亚和Check Point 同时结合了诺基亚的CryptoCluster TM 专利技术和Check Point SecureXL TM技术,在此基础上进行一系列高可用性和性能的提升。
产品优势
- 诺基亚和Check Point开发的防火墙流能够最大限度的优化性能
- 客户化的平台,预先认可的软件使实施轻而易举
- 全面的产品服务于从分散的公司环境到数十亿字节的数据中心
国际安全联盟(OPSEC )整合优势
- 与其它安全产品良好的兼容性
- 新产品与现有的国际安全联盟产品的良好兼容
- 广泛的接受程度加强了客户的信心
CheckPoint 防火墙 双机 HA 实施 方案
本文由no1moonboy贡献 doc1。 双 CheckPoint 防火墙实施方案 目 录 第一章 客户环境概述…… 4 1.1 概述 …… 4 1.2 网络拓扑与地址分配表 …… 4 1.3 安装前准备事宜 …… 6 第二章 Nokia IP380 安装与配置 …… 7 2.1 概述 …… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息 …… 8 2.3.1 Nokia 端口 IP 地址设定 …… 8 2.3.2 设置网关路由 …… 8 2.3.3 设置 Nokia 平台时间 …… 9 2.3.4 设定 Nokia 高可用 VRRP 参数 …… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上 checkpoint 的安装与卸载 …… 14 2.4.2 初始化 checkpoint …… 16 第三章 管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备 …… 18 3.1.2 安装步骤 …… 18 3.2 配置 checkpoint 对象和参数 …… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构 …… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。 …… 21 3.3 基于 nokia vrrp 或者 cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置 …… 22 3.3.2 为 nokia vrrp 定义策略 …… 22 3.3.3 高可用性的检查 …… 23 3.4nokia cluster 的设置 …… 23 3.5 暂时没有 …… 23 第四章 策略设定…… 24 4.1 概述 …… 24 4.2 netscreen 的策略 …… 24 4.3 经过整理后转换成 checkpoint 的策略 …… 24 4.4 设定策略 …… 24 4.4.1 定义主机对象 …… 24 4.4.2 定义网络对象 …… 25 4.4.3 定义组 …… 26 4.4.4 定义服务 …… 26 4.4.5 添加标准策略 …… 27 4.4.6 添加 NAT 策略…… 27 第五章 切换与测试…… 29 5.1 切换 …… 29 5.2 测试 …… 29 5.3 回退 …… 30 第六章 日常维护…… 31 6.1 防火墙的备份与恢复 …… 31 6.1.1 nokia 防火墙的备份与恢复方法 …… 31 6.1.2 checkpoint management 上的备份与恢复 …… 33 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心 防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原 有的服务不变。 由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后,XXX 将按照以下图进行实施 改动后, 给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1) 管理服务器参数 IP 地址 防火墙各端口参数 端口 Eth1 用途 外网 口 Eth2 Eth3 Eth4 ? DMZ 内网 同步 口 gateway 静态路 由 172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1.管理服务器硬件平台 CPU 奔腾 3 500 以上 内存 128 以上 硬盘 60M 以上 操作系统,windows 2000 server +SP4 补丁 2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4.Nokia IP380 设备两台 内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装包 第二章 Nokia IP380 安装与配置 2.1 概述 首先我们可以对两台 Nokia IP380 进行安装与配置,由于 Nokia 防火墙将会 替代 Netscreen,所以 Nokia 防火墙可以进行离线配置。配置步骤如下。 2.2 初始化 nokia380 1. 使用 nokia console 线,连接 nokia console 口和管理 pc 的串行端口,
CheckPoint 防火墙基本操作及应急措施
防火墙基本操作及应急措施陈世雄安全工程师 CCSE
议程 ?智能边界安全解决方案?CheckPoint 配置基础?常见问题及应急措施
Check Point 简介 ?最受信赖、最可依靠的互联网安全厂商 –我们致力发展安全领域——并且比任何厂商更优秀! –全球财富100企业中,100%企业使用我们的产品 –在防火墙和虚拟专用网络(VPN)市场中占有领导 地位 ?在全球 VPN/防火墙软件市场销售额中占70%份额 (Infonetics提供数据) ?VPN/防火墙软件市场占有率超过 54% (IDC提供数据) ?安全硬件设备市场份额中有 36% 为 Check Point 产品(由 Infonetics 提供) ?以客为本的企业原则 –业界领先的技术合作伙伴关系 –强大且广泛的渠道合作伙伴关系
状态检测 / FireWall-1 1993 OPSEC 1997 VPN-1 1998 Next Generation 2001 SmartDefense 2002 应用智能 2003 Check Point: 一直走在客户现实需求的前面 创新历程 1994 1995 1996 1999 2000 Web 智能 2004
我们的策略 2004上半年提供! ? 安全远程访问 ? Web 服务器保护 ? 统一认证 ? 一致性策略管理 ? 市场领先 ? 十年的成功史 ? 最新发布 - InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0 ? Check Point InterSpect ? Zone Labs SMART 管理 无忧保护 边界 深入检查 智能 安全解决方案
CheckPoint防火墙安装手册
防火墙安装操作手册By Shixiong Chen
一、准备安装介质和服务器 安装CheckPoint防火墙基于开放的服务器平台需要准备两点: 如果选用的是Checkpoint的硬件,UTM-1则不需要考虑这些问题。 第一,准备好服务器,服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台,并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性,将网卡扩展至与真实火墙一致,服务器需要自带光驱。 第二,准备好CheckPoint防火墙安装介质,注意软件的版本号与真实环境火墙一致,同时准备好最新的防火墙补丁。 二、SecurePlatform系统安装过程 硬件服务器初始状态是裸机,将服务器加电后,设置BIOS从光盘启动,将CheckPoint软件介质放入光驱,然后出现如下界面: 敲回车键盘开始安装。出现如下界面,选择OK,跳过硬件检测。
选择安装的操作系统类型,根据自己防火墙操作系统的版本选择。SecurePlatform Pro是带有高级路由和支持Radius的系统版本。 选择键盘支持的语言,默认选择US,按TAB键,继续安装。 配置网络接口,初始我们配置外网接口即可,选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关,然后选择OK,继续。 选择OK.开始格式化磁盘。
格式化完成后开始拷贝文件,最后提示安装完成,按照提示点击OK.系统会自动重新启动。然后出现登陆界面,如下所示。 第一次登陆系统,默认账号和密码都是admin,登陆后需要出入新的密码和管理员账号。 三、CheckPoint防火墙软件安装过程
运行sysconfig 命令,启动安装防火墙包。选择n,继续安装。 打开网络配置页面,选择1,配置主机名,选择3配置DNS服务器,选择4配置网络,选择5配置路由,注意要与生产线设备的配置保持一致,特别是路由要填写完整,主机名、接口IP和子网掩码要填写正确。 配置完成后,选择n,下一步继续配置,如下图所示,选择1配置时区(选择5,9,1),选择2配置日期,选择3配置本地系统时间,选择4查看配置情况。注意配置时间和日期的格式。完成后选择n, 然后会出现提示是否从tftp服务器下载安装软件,选择n.然后出现如下界面,选择N,继续安装。 选择Y,接受安装许可协议。
Checkpoint防火墙测试用例
Checkpoint R65 Test Plan Revision 0.1 2009-10-14 Author: Peng Gong
Revision History
1‘FW MONITOR’ USAGE (7) 2TEST SUITES (7) 2.1R65I NSTALL &U NINSTALL (7) 2.1.1Create a v3 vap-group with vap-count/max-load-count set >1, Confirm R65 and related HFA could be installed on all vap within vap-group successfully (7) 2.1.2Create a v4 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (9) 2.1.3Create a v5 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (10) 2.1.4Create a v5_64 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (11) 2.1.5Try to install R65 on a v3 vap-group and abort the install process, confirm nothing is left afterwards12 2.1.6Reduce max-load-count down to 1, confirm only one Vap is allowed to run R65 accordingly (13) 2.1.7Increase vap-count and max-load-count to maximum vap count and executing "application-update", confirm all the Vap are running R65 properly (14) 2.1.8Reduce vap-count to 3, Confirm the surplus Vap is stopped from running R65 and related partitions are removed from CPM (15) 2.1.9Enable/Disable IPv6 in vap-group and w/o ipv6-forwarding, confirm R65 wouldn't be affected. (16) 2.1.10Confirm the installed R65 could be stopped through CLI (17) 2.1.11Confirm the installed R65 could be started through CLI (18) 2.1.12Confirm the installed R65 could be restarted through CLI (18) 2.1.13Confirm the installed R65 could be reconfigured through CLI (19) 2.1.14Confirm checkpoint could be upgraded to R70 by CLI: application-upgrade (19) 2.1.15Confirm R65 could run properly while reload vap-group totally (20) 2.1.16Confirm R65 could run properly while reload all chassis totally (20) 2.1.17Create 2 vap groups, install R65 on both. Confirm R65 are running on both vap-groups without any mutual impact. (21) 2.1.18Confirm configure operation couldn't be allowed if some Vap don't run R65 properly. (23) 2.1.19Confirm uninstall/Configure operation couldn't be allowed if some Vap don't run properly. (24) 2.1.20Confirm start/stop/restart operation could works prope rly if R65 doesn’t run properly on some Vaps.25 2.1.21Confirm configure operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (26) 2.1.22Confirm uninstall operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (27) 2.1.23Confirm start/stop/restart operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (28) 2.1.24Confirm R65 could be uninstalled from vap-group (29) 2.1.25Confirm R65 installation package could be remove from XOS by CLI: application-remove (30) 2.2C HECKPOINT F EATURES (31) 2.2.1Create GW and Set SIC, get topology from Smart Dashboard (31) 2.2.2Configure Policy and push policy (31) 2.2.3Confirm R65 could be started/stoped/restarted by cp-command (32) 2.2.4Confirm different kinds of rule actions could work - allow/drop/reject (33) 2.2.5Verify different kinds of tracking actions could work properly - log/alert/account (33) 2.2.6Verify static NAT and hide NAT work properly (34) 2.2.7Verify default license is installed automatically (34) 2.2.8Verify some usual fw commands output - fw ver -k/ fw ctl pstat/ fw tab/ fw stat/ cphaprob stat /fw fetch /fw unloadlocal / fwaccel stat (34) 2.2.9Verify SXL status if enable/disable it (36) 2.2.10Verify the log information in SmartViewer are displayed correctly. (37) 2.2.11Verify the GW and its member information in SmartViewer are displayed correctly (37) 2.2.12Define a VPN Community between two GW; Confirm traffic can pass (37) 2.2.13Create a VPN client tunnel, make sure client can login and traffic is encrypted as it should (38) 2.2.14Enabling/Disabling SXL during connections (39) 2.2.15Fail over the active member during connections (39) 2.3I NTERFACE T EST-T RAFFIC MIXED WITH IPV6 AND IPV4 (39) 2.3.1Verify traffic pass through the interface without SXL - non vlan<--->vlan (tcp+udp+icmp) (39)
CheckPoint防火墙配置
C h e c k P o i n t防火墙配置 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号:1.0.0 ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施 中国移动通信有限公司网络部
目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 (2) 1.3外部引用说明 (4) 1.4术语和定义 (4) 1.5符号和缩略语 (4) 2CHECKPOINT防火墙设备配置要求 (5)
前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求,为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范,工程验收手册,局数据模板等文档的参考 1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分,对于增强要求的情况,说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况,说明采纳的原因)。 内容采纳意见备注 1.不同等级管理员分配不同账号,避 完全采纳 免账号混用。 完全采纳 2.应删除或锁定与设备运行、维护等 工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度至少8 位,并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 4.账户口令的生存期不长于90天。部分采纳IPSO操作系统支持 5.应配置设备,使用户不能重复使用 部分采纳IPSO操作系统支持最近5次(含5次)内已使用的口 令。 6.应配置当用户连续认证失败次数超 部分采纳IPSO操作系统支持过6次(不含6次),锁定该用户使 用的账号。 完全采纳 7.在设备权限配置能力内,根据用户 的管理等级,配置其所需的最小管
checkpoint防火墙技术
CheckPoint FireWall-1防火墙技术 2007-11-14 18:22:23 随着Internet的迅速发展,如何保证信息和网络自身安全性的问题,尤其是在开放互联环境中进行商务等机密信息的交换中,如何保证信息存取和传输中不被窃取、篡改,已成为企业非常关注的问题。 作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一,CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位,其FireWall-1防火墙在市场占有率上已超过44%,世界上许多著名的大公司,如IBM、HP、CISCO、3COM、BAY等,都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。 CheckPoint FireWall-1 V3.0防火墙的主要特点。 从网络安全的需求上来看,可以将FireWall-1的主要特点分为三大类,第一类为安全性类,包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐,?包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制,包括负载均衡高可靠性等;下面分别进行介绍。 1.访问控制 这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术,无法实施对应用级协议处理,也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术,为实现访问控制需要占用大量的CPU资源,对Internet上不断出现的新应用(如多媒体应用),无法快速支持. CheckPoint FireWall-1的状态监测技术,结合强大的面向对象的方法,可以提供全七层应用识别,对新应用很容易支持。目前支持160种以上的预定义应用和协议,包括所有Internet服务,如安全Web浏览器、传统Internet应用(mail、ftp、telnet)、UDP、RPC等,此外,支持重要的商业应用,如OracleSQL*Net、SybaseSQL服务器数据库访问;支持多媒体应用,如RealAudio、CoolTalk、NetMeeting、InternetPhone等,以及Internet广播服务,如BackWeb、PointCast。 另外,FireWall-1还可以提供基于时间为对象的安全策略定制方法。 FireWall-1开放系统具有良好的扩展性,可以方便的定制用户的服务,提供复杂的访问控制。 2.授权认证(Authentication) 由于一般企业网络资源不仅提供给本地用户使用,同时更要面向各种远程用户、移动用户、电信用户的访问,为了保护自身网络和信息的安全,有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证,FireWall-1能保证一个用户发起的通信连接在允许之前,就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略,可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。FireWall-1提供三种认证方法: 用户认证(Authentication) 用户认证(UA)是基于每个用户的访问权限的认证,与用户的IP地址无关,FireWall-1提供的认证服务器包括:FTP、TELNET、HTTP、RLOGIN。 UA对移动用户特别有意义,用户的认证是在防火墙系统的网关上实施的。
CheckPoint 防火墙 双机 HA 实施 方案
本文由no1moonboy贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 双 CheckPoint 防火墙实施方案 目录 第一章客户环境概述…… 4 1.1 概述…… 4 1.2 网络拓扑与地址分配表…… 4 1.3 安装前准备事宜…… 6 第二章 Nokia IP380 安装与配置…… 7 2.1 概述…… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息…… 8 2.3.1 Nokia 端口 IP 地址设定…… 8 2.3.2 设置网关路由…… 8 2.3.3 设置 Nokia 平台时间…… 9 2.3.4 设定Nokia 高可用 VRRP 参数…… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上checkpoint 的安装与卸载…… 14 2.4.2 初始化 checkpoint …… 16 第三章管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备…… 18 3.1.2 安装步骤…… 18 3.2 配置 checkpoint 对象和参数…… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构…… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。…… 21 3.3 基于 nokia vrrp 或者cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置…… 22 3.3.2 为 nokia vrrp 定义策略…… 22 3.3.3 高可用性的检查…… 23 3.4nokia cluster 的设置…… 23 3.5 暂时没有…… 23 第四章策略设定…… 24 4.1 概述…… 24 4.2 netscreen 的策略…… 24 4.3 经过整理后转换成 checkpoint 的策略...... 24 4.4 设定策略...... 24 4.4.1 定义主机对象...... 24 4.4.2 定义网络对象...... 25 4.4.3 定义组...... 26 4.4.4 定义服务 (26) 4.4.5 添加标准策略…… 27 4.4.6 添加 NAT 策略…… 27 第五章切换与测试…… 29 5.1 切换...... 29 5.2 测试...... 29 5.3 回退...... 30 第六章日常维护...... 31 6.1 防火墙的备份与恢复...... 31 6.1.1 nokia 防火墙的备份与恢复方法...... 31 6.1.2 checkpoint management 上的备份与恢复 (33) 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原有的服务不变。由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后,XXX 将按照以下图进行实施改动后, 给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1) 管理服务器参数 IP 地址防火墙各端口参数端口 Eth1 用途外网口 Eth2 Eth3 Eth4 ? DMZ 内网同步口gateway 静态路由172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1.管理服务器硬件平台 CPU 奔腾 3 500 以上内存 128 以上硬盘 60M 以上操作系统,windows 2000 server +SP4 补丁 2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4.Nokia IP380 设备两台内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装
checkpoint用户手册
Check Point UTM-1 用户手册
第一章使用向导 (3) 一、从配置UTM开始 (3) 1、登陆UTM (3) 2、配置网卡 (3) 3、配置路由 (4) 4、配置主机名 (5) 5、调整时间 (5) 二、步骤1-配置之前......一些有用的术语 (6) 三、步骤2-安装和配置 (7) 四、步骤3-第一次登录到SmartCenter服务器 (8) 五、步骤4-在安全策略定义之前 (10) 六、步骤5-为安全策略定义规则 (15) 七、步骤6-来源和目的 (16) 第二章策略管理 (16) 一、有效的策略管理工具需要 (17) 二、CheckPoint管理策略的解决方案 (17) 1、策略管理概况 (17) 2、策略集 (18) 3、规则分节标题 (20) 4、查询和排列规则以及对象 (20) 三、策略管理需要注意的问题 (21) 四、策略管理配置 (21) 第三章SmartView Tracker (24) 一、跟踪的需求 (25) 二、CheckPoint对跟踪的解决方案 (25) 1、跟踪概况 (25) 2、SmartView Tracker (26) 3、过滤 (27) 4、查询 (28) 5、通过日志切换维护日志文件 (28) 6.通过循环日志来管理日志空间 (28) 7、日志导出功能 (29) 8、本地日志 (29) 9、使用日志服务器记录日志 (29) 10、高级跟踪操作 (29) 三、跟踪需要考虑的问题 (30) 四、跟踪配置 (31) 1、基本跟踪配置 (31) 2、SmartView的查看选项 (31) 3、配置过滤器 (32) 4、配置查询 (32) 5、维护 (33) 6、本地日志 (34) 7、使用日志服务器 (34)
通信公司CheckPoint VPN安全配置手册
密级: 文档编号: 项目代号: A移动CheckPoint VPN 安全配置手册 A移动通信有限公司
拟制: 审核: 批准: 会签: 标准化:
版本控制 分发控制
目录 1CHECKPOINT VPN概述 (2) 1.1简介 (2) 1.2分类及其工作原理 (2) 1.3功能与定位 (3) 1.4特点与局限性 (4) 2CHECKPOINT VPN适用环境及部署原则 (4) 2.1适用环境 (4) 2.2安全部署原则 (4) 3CHECKPOINT VPN的安全管理与配置 (4) 3.1服务器端设置 (4) 3.2客户端设置 (18) 3.3登陆过程 (23) 3.4日志查询 (24)
1Checkpoint VPN概述 1.1 简介 VPN(Virtual Private Network)虚拟专用网,是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接,可以形象地看做是一条穿过混乱的公用网络的安全、稳定的隧道,所以VPN中使用的加密传输协议被称为隧道协议。 用户使用VPN使需要在PC机上安装一个客户端软件,该客户端和企业的VPN Server互相配合,能保证用户端到企业内部的数据是被加密,无法监听。 VPN的设计目标是保护流经Internet的通信的保密性和完整性,在数据在互联网上传输之前进行加密,在到达最终用户之前进行解密。但尽管如此,VPN并不完备,许多用户在使用VPN时,密码经常被窃,使整个VPN系统失去安全。这种密码盗窃是VPN中经常遭受的、最具危害性的攻击。 一般来说,大多数对用户身份的确认是通过用户名和固定的密码实现的,然而,固定密码容易被窃或被黑客随处可得的“Cracker”工具破译,某些软件可以自动完成猜测密码的工作,更糟糕的是,某些特定的单词,如“password”或“123456”等,经常被用做密码。 对密码保护的最好办法就是不要密码――不采用固定密码,采用动态密码,俗称一时一密,每个密码只能用一次,每次的有效时间只有很短的时间。对VPN采用动态密码,很好解决了数据的传输安全和密码安全,是一个完美结合。
CheckPoint防火墙配置
C h e c k P o i n t防火墙配 置 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
C h e c k P o i n t 防火墙配置 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号:1.0.0 中国移动通信有限公司网络部
目录 前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT 防火墙设备。本规范明确了设备的基本配置要求,为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范,工程验收手册,局数据模板等文档的参考1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分,对于增强要求的情况,说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况,说明采纳的原因)。 内容采纳意见备注
1.不同等级管理员分配不同账 号,避免账号混用。 完全采纳 2.应删除或锁定与设备运行、 维护等工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度 至少8位,并包括数字、小 写字母、大写字母和特殊符 号4类中至少2类。 完全采纳 4.账户口令的生存期不长于90 天。部分采纳IPSO操作系统 支持 5.应配置设备,使用户不能重 复使用最近5次(含5次) 内已使用的口令。部分采纳IPSO操作系统 支持 6.应配置当用户连续认证失败 次数超过6次(不含6 次),锁定该用户使用的账 号。部分采纳IPSO操作系统 支持 7.在设备权限配置能力内,根 据用户的管理等级,配置其 所需的最小管理权限。 完全采纳 8.设备应配置日志功能,对用 户登录进行记录,记录内容 包括用户登录使用的账号, 登录是否成功,登录时间, 以及远程登录时,用户使用 的IP地址。 完全采纳 9.设备应配置日志功能,记录 用户对设备的重要操作。 完全采纳 10.设备应配置日志功能, 记录对与设备相关的安全事 件。 完全采纳 11.设备配置远程日志功 能,将需要重点关注的日志 内容传输到日志服务器。 完全采纳 12.防火墙应根据业务需要,配 置基于源IP地址、通信协 议TCP或UDP、目的IP地 址、源端口、目的端口的流 量过滤,过滤所有和业务不 相关的流量。 完全采纳13.对于使用IP协议进行远完全采纳
系统管理员日常维护操作手册讲解学习
系统管理员日常维护操作手册一、信息部工作日志
一、服务器日常开关机器规定 (一)、开机步骤 1、先开启ups电源,待UPS电源运转正常,加电稳定; 2、开启服务器电源,系统将自动启动UNIX操作系统,密切注意操作系统启 动过程中的系统提示信息,如果有异常的提示必须作好数据库操作启动的日志记录。 3、待服务器操作系统正常启动后,再以sybase用户身份登陆到sybase,启 动sybase数据库,在sybase数据库启动过程中如果有异常的提示,同样要记录启动过程中的日志。 4、服务器的任何异常提示,个人不得以任何形式任意进行服务器的非授权 处理; 5、如果要进行数据库大小的扩充操作则必须以数据库扩充标准及步骤进 行,并记录数据库扩充的系统提示信息,如果有异常情况则必须告诉公司系统集成部。 6、一般服务器至少20天左右要进行一次系统的关机动作。对于专用服务器 则不需要进行此操作。 (二)、系统运行过程中的数据库维护操作 7、一般数据库至少30天要进行一次数据库的dbcc检查。 8、数据库系统每一个月结帐后必须做月末的整理索引操作。 9、每天必须做好数据库的日常备份工作,同时必须进行数据库至少存放在 服务器的2个地方,或者备份到磁带机上,同时保存好备份数据。(三)、服务器的关机操作步骤
10、先备份数据库数据到备份设备上; 11、关sybase数据库; 12、关UNIX操作系统; 13、关服务器电源; 14、关UPS电源; 二、服务器操作系统启动关闭及备份操作步骤 (一)、服务器数据库系统的启动和日常维护: 1.开机<按电源开关后,等待了现SCO界面,接着按下Ctrl+Alt+F1>进入 unix系统 Login:Sybase< 回车 > Password:asdf<密码,如有错继续回车,正确时出现> $ <表示启动成功,pwd查看正确路径应为 /u/sybase> $ Run <启动成功> $ isql -Usa < > Password:<无密码,回车> Sybase>
Checkpoint防火墙安全配置手册V1.1
Checkpoint防火墙安全配置手册v1.1 CheckPoint防火墙 安全配置手册 Version 1.1 XX公司 二零一五年一月 第1页共41 页
目录 1 综述 (3) 2 Checkpoint的几种典型配置 (4) 2.1 checkpoint 初始化配置过程: (4) 2.2 Checkpoint Firewall-1 GUI安装 (13) 2.3 Checkpoint NG的对象定义和策略配置 (19) 3 Checkpoint防火墙自身加固 (37)
1综述 本配置手册介绍了Checkpoint防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。同时也提供了Checkpoint防火墙自身的安全加固建议,防止针对防火墙的直接攻击。通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全规范》。
2Checkpoint的几种典型配置 2.1checkpoint 初始化配置过程: 在安装完Checkpoint软件之后,需要在命令行使用cpconfig命令来完成Checkpoint 的配置。如下图所示,SSH连接到防火墙,在命令行中输入以下命令: IP350[admin]# cpconfig Welcome to Check Point Configuration Program ================================================= Please read the following license agreement. Hit 'ENTER' to continue... (显示Checkpoint License版权信息,敲回车继续,敲q可直接跳过该License提示信息) Do you accept all the terms of this license agreement (y/n) ?y (输入y同意该版权声明) Which Module would you like to install ? ------------------------------------------- (1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module
Checkpoint安装手册介绍
Full Disk Encryption安装手册Checkpoint Endpoint R73 CheckPoint(中国) TEL:(86)10 8419 3348 FAX:(86)10 8419 3399
文档修订记录 文档说明 此文档是由以色列捷邦安全软件科技公司于2010年05月制定的内部文档。本文档仅就CheckPoint内部与相关合作伙伴和CheckPoint最终用户使用。 版权说明 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、代码等内容,除由特别注明,版权均属于以色列捷邦安全软件科技公司所有,受到有关产权及版权法保护。任何个人、机构未经以色列捷邦安全软件科技公司的书面授权许可,不得以任何方式复制或引用本文档的任何片断。
目录 一、环境要求 (4) 二、安装步骤 (4) 2.1服务器安装 (4) 2.2FDE客户端安装步骤 (19)
一、环境要求 以下介绍安装Endpoint R73 FDE所需的环境要求: 1.安装在域环境中进行。 2.准备一台win2000或win2003server,配置如下: 操作系统 中文版(英文版均可): Windows Server 2003 Standard Edition with Service Pack 1 and 2 Windows Server 2003 Enterprise Edition with Service Pack 1 and 2 Windows Server 2003 R2 Standard Edition with Service Pack 1 and 2 Windows Server 2003 R2 Enterprise Edition with Service Pack 1 and 2 Windows Server 2000 系统硬件 单CPU,2G内存,4G交换空间,CPU可以是下列中的一种: Intel? Xeon? processor (Dual Core) Intel? Core? Duo processor T2600 - T2300 Intel? Pentium? processor Extreme Edition 965 (Dual Core) Intel? Pentium? D processor 960 (Dual Core) I ntel? Pentium? 4 processor with Hyper-Threading Technology Dual-Core AMD Opteron Processor AMD Opteron Processor AMD Athlon 64 FX Processor AMD Athlon? 64 X2 Dual-Core 3.Server的Fremwork必须为.NET2.0以上版本 4.Server 必须加入域 5.准备安装光盘: Check_Point_R73_server_for_Windows.iso Check_Point_R73_client_for_Windows.iso 二、安装步骤 以下介绍FDE的服务器安装步骤以及客户端的安装步骤 2.1服务器安装 1.首先将FDE Server加入本地域,右键桌面我的电脑图标,选择属性,进入计算机名栏 如下图所示:
- checkpoint用户手册
- CheckPoint基本操作手册-中文
- CheckPoint安装手册
- 系统管理员日常维护操作手册讲解学习
- 11.CheckPoint 防火墙管理中心高可用性操作手册
- checkpoint笔记(带实验手册)
- checkpoint培训手册
- CheckPoint防火墙配置
- cp操作手册文档v2.0
- CheckPoint_FDE安装手册
- CheckPoint防火墙安装手册
- 通信公司CheckPoint VPN安全配置手册
- Checkpoint防火墙安全配置指南
- Checkpoint防火墙安全配置指南
- Checkpoint防火墙命令行维护手册
- Checkpoint 简单配置手册
- Checkpoint防火墙安全配置指南
- CheckPoint防火墙操作手册
- 中国移动CheckPoint防火墙配置规范V1.0
- CHECK POINT操作手册文档v1.0