Check Point FireWall-1 存取控制


為存取控制規則，就像是上面的附圖，決定了使用者可以存取到何種資源

• 什麼是存取控制

• 安全存取控制的關鍵

• 存取的追蹤：報表及警訊

• 保護及防備常見的攻擊

什麼是存取控制?

各種規模的企業無一不利用具有成本效益的網際網路作為對員工、顧客、廠商、供應商和主要企業合作夥伴之間的全球性通訊架構。相對來說，在此環境之下資訊存取的安全性更是不可或缺的。

防火牆藉由提供安全的存取來保護在網際網路上的企業機構：確保合法的使用者能夠存取到它們所需要的網路資源。決定 "誰" 是合法的使用者是認證的工作，而決定他們可以存取到 "什麼" 資源即是授權或存取控制的工作。 


安全存取控制的關鍵

為了提供安全的存取控制，一個防火牆必須精細的了解所有在網路中通行的通訊服務和應用程式的組成。Check Point 的專利 Stateful Inspection 技術提供了完整網路7層間所有的連線資訊。

相較之下，第一代的封包過濾無法察覺到任何的應用程式，也無法支援 UDP 或動態的通訊協定。第二代的應用代理 (Application Proxies, 也被稱為 Proxy Firewalls) 需要極大的 CPU 運算能力，並且無法對網際網路中不斷新增的像是多媒體的服務來提供適時地支援。

藉由使用 Stateful Inspection 的技術，VPN-1/FireWall-1 針對超過 150 種以上預先定義好的應用程式、服務及通訊協定提供完整的存取控制並也提供了定義客製化服務的彈性，此外為了能夠了解所有通訊協定的狀態及內容，VPN-1/FireWall-1 包含了可以利用時間參數來定義規則的彈性。因而針對使用者存取的特殊時段或哪些天提供了非常精細的存取控制。舉例來說，企業機構可能決定在上班時間內限制對於網際網路上網頁 (HTTP) 瀏覽的流量，而在午休時間、下班後或週末時則開放瀏覽。另一個例子則是拒絕所有對重要伺服器的存取以增加系統備份的效能。


存取的追蹤：更進一步的紀錄、報表及警訊

除了控制存取之外，VPN-1/FireWall-1 能夠追蹤、顯示、報告及警示它所控制的流量。

連結計算 - 詳細的紀錄每一個連結所擷取到的資訊，包含：使用者、服務、連接時間、目的地、連接存續期間、採取的動作和其他更多的資訊。

詳細的報表和事件分析 - 像是 Check Point 的 Reporting Module 和其他經 OPSEC 認證的報表化工具能夠從紀錄檔案資料產生有價值的報表，並且經 OPSEC 認證的分析工具得以透過紀錄資料來監測及分析整個企業機構的網路架構。

活動中的連結檢視 - 安全管理者能夠使用 VPN-1/FireWall-1 紀錄檢視器中的活動中的連結模式即時的來檢視現存活動中的連結。並且安全管理者可以使用 Block Intruder 的功能來中斷或終止活動中的連結。

安全警示 – VPN-1/FireWall-1 提供了多種警示選項，包含了以電子郵件通知和發出 SNMP traps 到以 SNMP 為基礎的整合網路管理系統中。也能夠採用使用者定義的警示機制或整合呼叫器，還有錯誤修正和輔助系統等，因此得以非常彈性化的將安全警示整合到現有的管理系統中。


保護及防備常見的攻擊

VPN-1/FireWall-1 能夠抵擋幾種常見的攻擊，包括：

IP Spoofing - 是一種攻擊者嘗試經由偽裝不正確的IP位址使得它看起來像是來自內部網路中以取得較高存取權限的非法存取。舉例來說，一個來自於網際網路中的封包會經由將來源端的 IP位址變更為內部的主機來偽裝成來自於本地端的封包。VPN-1/FireWall-1 藉由在資料接收的網路介面上限制網路存取來保護及抵抗 IP spoofing 的攻擊。

Denial of Service Attack - 這是種多型態的服務阻絕 (DOS) 攻擊。一種 DOS 的攻擊稱之為 SYN Flood attack，是藉由 TCP 連結是經由用戶端對伺服器起始一個 SYN flag 在 TCP 表頭中的請求。一般來說伺服器會產生一個 SYN/ACK 的封包回覆予用戶端。然後用戶端再回傳一個 ACK 的封包給伺服器並開始資料的傳輸。當用戶端的 IP 位址是無法到達的時後(起因於用戶端不正確的來源位址)，所以伺服器無法完成這個連結，但還是依然保留對此預期連結的系統資源。

當伺服器接收到數以百計或數以千計的連結請求卻因用戶端沒有回應而無法完成時，伺服器將無法服務合法的用戶端並且拒絕所有的服務。FireWall-1 和 VPN-1 包含了 Check Point 的 SYNDefender 應用程式以提供3種不同的方式來防衛 SYN Flood 的攻擊。