无码成人A片在线观看,性欧美videofree高清变态,中文字幕有码无码av,国产无人区卡一卡二扰乱码 ,最近高清日本免费

 
                  圖1 監(jiān)測模塊通信層次圖

    圖1 顯示了FireWall-1監(jiān)測模塊在OSI七層模型中所處的位置，并簡單描述了它的工作流程。狀態(tài)監(jiān)測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，據(jù)此判斷該通信是否符合安全策略，以保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。一旦某個通信違反安全策略，安全警報器就會拒絕該通信，并作記錄，向系統(tǒng)管理器報告網(wǎng)絡(luò)狀態(tài)。
1．2 全面的狀態(tài)記錄
    FireWall-1檢查從整個七層模型的每層傳送來的數(shù)據(jù)，并分析其中狀態(tài)信息，以監(jiān)測所有狀態(tài)，并將網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中，結(jié)合預(yù)定義好的規(guī)則，實現(xiàn)安全策略。監(jiān)測模塊檢查IP地址、端口號以及其他決定其是否符合企業(yè)安全策略的信息。監(jiān)測模塊保存和更新動態(tài)連接表中的狀態(tài)和內(nèi)容信息，這些表不斷更新，為FireWall-1檢查后繼的通信提供積累的先驗數(shù)據(jù)。
1．3 INSPECT語言
    使用Check Point的INSPECT語言，F(xiàn)ireWall-1將安全規(guī)則、應(yīng)用系統(tǒng)、狀態(tài)和通信信息集成在一個強(qiáng)大的安全系統(tǒng)中。INSPECT是一個面向?qū)ο蟮母呒壞_本語言，為狀態(tài)監(jiān)測模塊提供企業(yè)安全規(guī)則。安全策略是用FireWall-1的圖形用戶界面來定義的。根據(jù)安全策略，F(xiàn)ireWall-1生成一個INSPECT語言寫成的腳本文件，這個腳本被編譯后，加載到安裝有狀態(tài)監(jiān)測模塊的系統(tǒng)上，腳本文件是ASCII文件，可以編輯，以滿足用戶特定的安全要求。
2． FireWall-1的體系結(jié)構(gòu)與組成
　　FireWall-1具有可伸縮性、模塊化的體系結(jié)構(gòu)，采用的是集中控制下的分布式客戶機(jī)/服務(wù)器結(jié)構(gòu)，性能好，配置靈活。企業(yè)網(wǎng)安裝了FireWall-1后，可以用一個工作站對多個網(wǎng)關(guān)和服務(wù)器的安全策略進(jìn)行配置和管理。企業(yè)安全策略只須在中心管理控制臺定義一次，并被自動下載到網(wǎng)絡(luò)的多個安全策略執(zhí)行點上，而不需逐一配制。FireWall-1由圖形用戶接口（GUI）、管理模塊（Management Module）和防火墻模塊(FireWall  Module)三部分組成。
2．1圖形用戶接口
　　企業(yè)范圍的安全策略使用一個直觀的圖形用戶接口來定義和管理，安全策略由網(wǎng)絡(luò)實體和安全規(guī)則構(gòu)成�？啥�義的網(wǎng)絡(luò)實體有：主機(jī)、網(wǎng)段、其他網(wǎng)絡(luò)設(shè)備、用戶、服務(wù)、資源、時間、加密密鑰等。FireWall-1直觀的圖形用戶界面為集中管理、執(zhí)行企業(yè)安全策略提供了強(qiáng)有力的工具。FireWall-1的圖形用戶接口包括安全策略編輯器、日志管理器和系統(tǒng)狀態(tài)查看器。安全策略編輯器維護(hù)被保護(hù)對象，維護(hù)規(guī)則庫，添加、編輯、刪除規(guī)則，加載規(guī)則到已安裝了狀態(tài)檢測模塊的系統(tǒng)上。日志管理器提供可視化的對所有通過防火墻網(wǎng)關(guān)的連接的跟蹤、監(jiān)視和統(tǒng)計信息，提供實時報警和入侵檢測及阻斷功能。系統(tǒng)狀態(tài)查看器提供實時的系統(tǒng)狀態(tài)、審計和報警功能。
2．2管理模塊
　　管理模塊對一個或多個安全策略執(zhí)行點提供集中的、圖形化的安全管理功能。安全策略存在管理服務(wù)器上，管理服務(wù)器維護(hù)FireWall-1的數(shù)據(jù)庫，包括網(wǎng)絡(luò)實體的定義、用戶的定義、安全策略和所有防火墻軟件執(zhí)行點的日志文件。圖形用戶接口和管理服務(wù)器可以同時裝在一臺機(jī)器上，也可以采用客戶機(jī)/服務(wù)器的結(jié)構(gòu)。
2．3防火墻模塊
　　防火墻模塊可以在Internet網(wǎng)關(guān)和其他網(wǎng)絡(luò)訪問點上工作。管理服務(wù)器將安全策略下載到防火墻模塊上來保護(hù)網(wǎng)絡(luò)。防火墻模塊包括一個狀態(tài)監(jiān)測模塊，另外提供認(rèn)證、內(nèi)容安全服務(wù)。
2． 3.1認(rèn)證
　　FireWall-1可以在不修改本地服務(wù)器或客戶應(yīng)用程序的情況下，對試圖訪問內(nèi)部服務(wù)器的用戶進(jìn)行身份認(rèn)證。FireWall-1的認(rèn)證服務(wù)集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認(rèn)證會話。安全服務(wù)器為FTP、HTTP、TELNET和RLOGIN用戶提供認(rèn)證。如果安全策略為這些服務(wù)都指定了認(rèn)證，監(jiān)測模塊就將其和合適的安全服務(wù)器相聯(lián)，來完成需要的認(rèn)證。如果認(rèn)證成功，則聯(lián)向提供相應(yīng)服務(wù)的目標(biāo)服務(wù)器。此外，F(xiàn)ireWall-1還有一個獨(dú)創(chuàng)功能，即客戶認(rèn)證�？蛻粽J(rèn)證的機(jī)制可以用來認(rèn)證任何應(yīng)用（標(biāo)準(zhǔn)的或自定的）的客戶，無論它是基于TCP，UDP還是RPC協(xié)議，采用客戶認(rèn)證時，授權(quán)是按機(jī)器IP進(jìn)行的。
2.3.2內(nèi)容安全
　　FireWall-1為HTTP、FTP、SMTP連接提供可靠的安全服務(wù)，其中包含對傳輸文件反病毒檢查、特殊網(wǎng)絡(luò)資源的存取控制和SMTP命令。內(nèi)容安全用資源對象來定義，并通過安全服務(wù)器實現(xiàn)。例如，F(xiàn)TP安全服務(wù)器提供基于FTP命令（PUT/GET）、傳送文件的文件名限制和防病毒檢查的內(nèi)容安全管理。SMTP安全服務(wù)器提供基于郵件頭的“From”和“To”域以及附件類型的內(nèi)容安全管理，并且提供安全的sendmail程序阻止直接在線連接攻擊。SMTP安全服務(wù)器也作為SMTP地址轉(zhuǎn)換器，即它可以對外網(wǎng)隱藏真正的用戶名，通過重寫“From”域，而在回應(yīng)時恢復(fù)正確的地址以保持連接。
2.3.3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）
　　FireWall-1的靈活的網(wǎng)絡(luò)地址轉(zhuǎn)換可以對使用私有IP地址因特網(wǎng)主機(jī)提供完全的Internet存取。NAT技術(shù)是一種將一個IP地址域映射到另一個IP地址域，從而為終端主機(jī)提供透明路由的技術(shù)。NAT包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。NAT常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實現(xiàn)NAT后，可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部拓?fù)浣Y(jié)構(gòu)，在一定程度上提高網(wǎng)絡(luò)的安全性。如果反向NAT提供動態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能，還可以實現(xiàn)負(fù)載均衡等功能。
　　FireWall-1支持三種不同的地址翻譯模式:
　　靜態(tài)源地址翻譯：當(dāng)內(nèi)部的一個數(shù)據(jù)包通過防火墻出去時，把其源地址（一般是一個內(nèi)部保留地址）轉(zhuǎn)換成一個合法地址。靜態(tài)源地址翻譯與靜態(tài)目的地址翻譯通常是配合使用的。
　　靜態(tài)目的地址翻譯：當(dāng)外部的一個數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)部網(wǎng)時，把其目的地址（合法地址）轉(zhuǎn)換成一個內(nèi)部使用的地址（一般是內(nèi)部保留地址）。
　　動態(tài)地址翻譯（也稱為隱藏模式）：把一個內(nèi)部網(wǎng)的地址段轉(zhuǎn)換成一個合法地址，以解決企業(yè)的合法IP地址太少的問題，同時隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，提高網(wǎng)絡(luò)安全性能。
2． 4分布式客戶機(jī)/服務(wù)器配置
　　在分布式客戶機(jī)/服務(wù)器配置里，可從一個唯一的機(jī)器來配置和管理某一處網(wǎng)絡(luò)的活動。安全策略在GUI客戶機(jī)上定義，同時FireWall-1數(shù)據(jù)庫在管理服務(wù)器上維護(hù)。安全策略被下載到各個防火墻模塊上，每個防火墻模塊可以裝在不同的平臺上，分別保護(hù)不同的網(wǎng)絡(luò)。客戶機(jī)、服務(wù)器和多個防火墻軟件執(zhí)行點之間能夠保證真正的遠(yuǎn)程管理的連接是安全的。盡管在這種情況下，F(xiàn)ireWall-1在一個分布配置下運(yùn)行，但安全策略是唯一的，不論防火墻模塊被安裝了多少個，都只從唯一的中心管理控制臺定義和更新安全策略。
　　FireWall-1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個規(guī)則庫里。規(guī)則庫里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務(wù)類型（HTTP、FTP、TELNET等）、針對該連接的安全措施（放行、拒絕、丟棄或者是需要通過認(rèn)證等）、需要采取的行動（日志記錄、報警等）、以及安全策略執(zhí)行點（是在防火墻網(wǎng)關(guān)還是在路由器或者其它保護(hù)對象上上實施該規(guī)則）。　FireWall-1管理員通過一個防火墻管理工作站管理該規(guī)則庫，建立、維護(hù)安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)監(jiān)測模塊的系統(tǒng)上。這些系統(tǒng)和管理工作站之間的通信必須先經(jīng)過認(rèn)證，然后通過加密信道傳輸。

 
圖2 企業(yè)網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)示意圖