Check Point FireWall-1 简介

安全的存取

·伪冒IP（IP Spoofing）
侵入者企图取得未授权的存取的技术，经由变更封包的IP位址，让它当做网路部份的原始封包出现，具有很高存取权限。譬如，一个封包源自於Internet，可能假装为当做本地封包。FireWall-1已经整合保护和登录来对抗这类型攻击。

·拒绝服务攻击（Denial of Service Attack）
一个TCP连接的启始，是由Client端对Server端的请求中，在TCP的标题中包含SYN旗标设定。正常地Server端经由在IP标头32位元来源地址，发出一个SYN/ACK回到Client端做识别。然後，Client送一个ACK的信息给Server端，双方开始传输资料。当Client端的IP地址被伪冒（窜改）为无法到达的主机（unreachable Host）主机时，目标地的TCP将无法完成三向（Three-way）连系交换，此连系动作将持续试著，直到时间终止。这是攻击的基础。

以应用闸道器（Application gatware）为基础的防火墙，一般是无法防御来对抗SYN flooding的攻击。事实上，防火墙它可能自己被攻击，而建立起拒绝服务的状况。封包过滤为基础的防火墙，也一样是不能够防卫来抵抗SYN淹没攻击，因为它们缺乏必须执行连接的状态检测能力。FireWall-1具有状态检测的功能，使用以SYNDefender的技术，可以保护抵抗这种攻击。

·Ping of Death
几乎在每一个作业系统上，包含一些Router、PING的封包大於65508，变得大於64k，因此作业系统核心将无法处理的很好，會造成一些系统故障或重新开机。
FireWall-1具有状态检测的功能，可以保护对抗这种攻击。可经由定义一个服务务物体和增加一个规则到安全政策，可以防止任何大於64K的封包通过。

认证（Authentication）

Check Point FireWall-1提供顾客，包含远端的使用者，使用多种的安全的认证机制，以存取企业资源。当使用者企图制造一连线时，在通讯被允许进行之前，FireWall-1认证服务可安全的确认他们身份的有效性，不需要修改本地伺服或客户端应用软体。认证服务是完全的被整合到企业整体的安全政策内，并能经由FireWall-1图形使用者介面集中管理。所有的认证會期都能经由防火墙日志浏览（Log Viewer）来监视和追踪。

FireWall-1提供三认证方法：
使用者认证（User Authentication）
客户端认证（Client Authentication）
会话认证（Transparent Session Authentication）

使用者认证

FireWall-1透通的使用者认证，提供以使用者为基础的FTP、TELNET、HTTP，和RLOGIN的存取权限，跟使用者的IP位址无关。假如一个本地使用者暂时地离开办公室，而在另一个不同主机登录，安全管理者可定义一个规则，允许使用者只能在本地网路工作，不能延伸存取在相同的主机的所有使用者。 FireWall-1安全伺服器是在闸道器执行使用者的认证。

FireWall-1會拦截使用者企图启动在请求伺服器的认证會期，并指引连接到适当的安全伺服器。在使用者被认证之後，FireWall-1安全伺服器會开启个第二连接到主机，所有後续的會期封包都會经由在闸通道的FireWall-1拦截与检查。

客户端认证（Client Authentication）

客户端认证能够使管理者授与存取的特权给予在特定IP位址的特定使用者。和使用者认证的差异在於，客户端认证并没有限制於特定的服务；而是提供可认证任何应用，标准或者习惯的机制。FireWall-1客户端认证并非透通的；而它并不需要任何额外的软体或修改，正在任一个客户端或伺服器。管理者能决定每一独立个体如何被认证，那一个伺服器与和应用服务是可被存取的，及多少會期被允许。

会话认证（Transparent Session Authentication）

透通的會期认证可使用於鉴定以會期为基础的任何一种服务。在使用者直接连接到FireWall-1伺服器时，會启动會期认证代理（Session Authentication Agent）的连接，而防火墙闸道器位於使用者与和目的地之间，用以拦截连接、识别那些需要使用者层次认证的服务。此代理执行必需的认证之後，假如准许，FireWall-1允许连接到後续的请求伺服器。

认证的方法
FireWall-1支援下列的认证的方法：
1. SecurID：使用者被盘问以输入显示在Sec