Этот раздел описывает архитектуру и возможности Internet CheckPoint FireWallЦ1
и выделяет основные моменты, позволяющие CheckPoint FireWallЦ1 установить надежную и полную защиту и контроль за доступом из/в Internet,
используя весь диапазон протоколов Internet.
Описаны возможности по идентификации пользователей
и другие функции CheckPoint FireWallЦ1. В заключении, представлены данные по эффективности работы CheckPoint FireWallЦ1.
Обратите внимание: В терминологии CheckPoint FireWallЦ1 термин "Gateway" используется, чтобы описать компьютер, управляющий трафиком на входе в защищаемую сеть. В некоторой литературе, термин "маршрутизатор" используется, чтобы описать Gateway. В терминологии CheckPoint FireWallЦ1, "маршрутизатор" означает маршрутизатор Wellfleet или Cisco. |
CheckPoint FireWallЦ1 состоит из двух основных модулей:
Модуль Управления включает графический интерфейс пользователя и собственно компоненты управления.
Графический интерфейс пользователя позволяет работать с базами данных CheckPoint FireWallЦ1: Базой Правил, сетевыми объектами, услугами, пользователями и т.д.
Модуль FireWall включает Инспекционный Модуль и два "демона" (snmpd и fwd).
Модуль FireWall непосредственно осуществляет стратегию защиты, ведение журнала событий, и общается с Компонентой Управления посредством "демонов".
Стратегия защиты CheckPoint FireWallЦ1 определена в терминах сетевых объектов, услуг, пользователей и правил управления ими. Как только они определены, Модулем Управления генерируется Инспекционный Код и затем устанавливается на firewall, реализующий стратегию защиты.
Рисунок 12. Компоненты FireWall-1.
Начиная с версии FireWall-1 Version 2.1, управляющий модуль также выполнен по технологии клиент-сервер. Графический интерфейс на клиенте может работать под управлением Windows 95 или Windows NT и управлять сервером на одной из поддерживаемых платформ Windows NT, SunOS 4.1.3, Solaris 2.x, HP-UX 9 и 10.
Клиентская часть взаимодействует с пользователем посредством графического интерфейса. Все данные (базы правил, файлы конфигураций) хранятся и обрабатываются на сервере, который занимает промежуточное положение между клиентской частью и Модулем Управления. Например, пользователь устанавливает Security Policy, в результате сервер обращается к Модулю Управления, который транслирует запрос далее и сообщает результаты серверу. Сервер затем передает их клиенту.
Как и в предыдущих версиях пакета FireWall-1, графический интерфейс пользователя на основе OpenLook также доступен. OpenLook GUI содержит обе компоненты (клиент и сервер) и может использоваться на любой из платформ, поддерживающих OpenLook (SunOS 4.1.3, Solaris 2.x, HP-UX 9 and 10).
В конфигурации, представленной на рисунке 13, функционально Модуль Управления разделен на две рабочие станции (simon and floyd). Модуль Управления, включая сервер FireWall-1, расположен на компьютере simon. Клиентская часть расположена на компьютере floyd.
Рисунок 13. Клиент-Сервер Конфигурация FireWall-1.
Пользователь, управляющий политикой безопасности, работает за компьютером floyd, а все базы правил расположены на компьютере simon. Модуль FireWall установлен на компьютере monk, который защищает внутреннюю сеть, реализуя политику безопасности.
Сетевое соединение между клиентом и сервером защищено, что позволяет реализовать удаленное управление. Например, компьютер floyd может располагаться вне локальной сети. Таким образом, различные организации или отделения могут управляться из одного, общего центра управления.
Клиент Модуля Управления, Сервер Модуля Управления и модуль FireWall могут устанавливаться на различных компьютерах или на одном и том же компьютере, если все три программы могут работать на этой платформе. Тогда, администратор сети определяет политику безопасности, используя Модуль Управления на Центре Управления, который, кроме того, является FireWalled Gateway (установлена компонента FireWall Module).
Рисунок 14. Распределенная Конфигурация FireWall-1.
Рисунок 14 демонстрирует распределенную конфигурацию, где Модуль Управления (в клиент-сервер реализации) контролирует три модуля FireWall, где каждый из них установлен на разных платформах и защищает три гетерогенные сети.