分布的客户机 / 服务器结构
FireWall-1 通过分布式的客户机 / 服务器结构管理安全策略,保证高性能、高伸缩性和集中控制。
FireWall-1 由基本模块(防火墙模块、状态检测模块和管理模块)和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机 / 服务器结构。
管理模块包括了图形用户界面和管理员定义的相关管理对象—规则库,网络对象,服务、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行安全策略,安装了这些模块的系统称为受保护对象( Firewalled System ),又称为安全策略执行点( Security Enforcement Point )。
FireWall-1 的客户机 / 服务器结构是完全集成的,只有一个统一的安全策略和一个规则库,通过一个单一的防火墙管理工作站,管理多个装载了防火墙模块、状态检测模块或可选模块的系统。
认证( Authentication )远程用户和拨号用户可以经过 FireWall-1 的认证后,访问内部资源。 FireWall-1 可以在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进行身份认证。 FireWall-1 的认证服务集成在其安全策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。
FireWall-1 提供三种认证方法:
• 用户认证( User Authentication ):针对特定服务提供的基于用户的透明的身份认证,服务限于 FTP 、 TELNET 、 HTTP 、 HTTPS 、 RLOGIN 。
• 客户机认证( Client Authentication ):基于客户机 IP 的认证,对访问的协议不做直接的限制。客户机认证不是透明的,需要用户先登录到防火墙认证 IP 和用户身份之后,才允许访问应用服务器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后,同时也就已经通过客户机认证。
• 会话认证( Session Authentication ):提供基于服务会话的的透明认证,与 IP 无关。采用会话认证的客户机必须安装一个会话认证代理,访问不同的服务时必须单独认证。
• FireWall-1 提供多种认证机制供用户选择: S/Key , FireWall-1 Password , OS Password , LDAP , SecureID , RADIUS , TACACS 等。
地址翻译( NAT )FireWall-1 支持三种不同的地址翻译模式:
• 静态源地址翻译:当内部的一个数据包通过防火墙出去时,把其源地址(一般是一个内部保留地址)转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。
• 静态目的地址翻译:当外部的一个数据包通过防火墙进入内部网时,把其目的地址(合法地址)转换成一个内部使用的地址(一般是内部保留地址)。
• 动态地址翻译(也称为隐藏模式):把一个内部网的地址段转换成一个合法地址,以解决企业的合法 IP 地址太少的问题,同时隐藏内部网络结构,提高网络安全性能。