Обширные возможности проверки информационных потоков, предлагаемые FireWall-1, расширяют функции инспекции данных до наивысшего уровня обеспечения информационной безопасности. Это позволяет защитить пользователей от различных рисков, включая компьютерные вирусы и вредоносные аплеты Java и ActiveX, что достигается благодаря точной настройке механизма контроля доступа в Интернет. Механизм проверки информационных потоков полностью интегрирован с другими возможностями FireWall-1, что обеспечивается благодаря единому централизованному управлению при помощи общего графического интерфейса. Помимо встроенных функций проверки информации, FireWall-1 обеспечивает открытый программный интерфейс приложения API для подключения OPSEC-совместимых приложений, проверяющих информационные потоки, других производителей. Благодаря инициативе Check Point, называемой OPSEC, организации могут свободно выбирать наиболее полно отвечающие их требованиям приложения для проверки содержимого потоков данных. Check Point проводит сертификацию таких приложений, что гарантирует полную совместимость таких приложений с продуктом FireWall-1.

Выявление компьютерных вирусов

Своевременное выявление компьютерных вирусов жизненно важно для безопасности предприятия. Борьба с вирусами может не быть успешной, если ограничиться только сканированием на наличие вирусов персональных данных пользователей на серверах и файловых систем их компьютеров. Наиболее надежная защита от компьютерных вирусов может быть обеспечена только в том случае, если проверка на их наличие производится во всех точках доступа в сеть предприятия.

Механизмы проверки содержимого потоков данных, реализованные в FireWall-1, предоставляют интегрированное решение для борьбы с вирусами, предлагая использование специальных антивирусных приложений, производимых партнерами CheckPoint по инициативе OPSEC. Данные приложения могут быть развернуты как непосредственно на компьютере, где установлен FireWall-1, так и на отдельном компьютере, специально предназначенным для их выполнения. Благодаря такому подходу, администратор информационной безопасности предприятия может легко реализовать оптимальную схему борьбы с компьютерными вирусами, быстро развернуть ее и администрировать весь комплекс из общего центра управления.

Вместо настройки двух совершенно независимых программных продуктов, администратор безопасности определяет правила разграничения доступа и правила проверки информационных потоков в общей политике безопасности, посредством ее редактора (FireWall-1 Security Policy Editor).

Например, организации необходимо обеспечить проверку всех вложений электронной почты на наличие компьютерных вирусов. Это легко обеспечить, проводя проверку почты проходящей через шлюз с FireWall-1. В этом случае FireWall-1 перехватит все потоки данных, отвечающие соответствующим правилам политики безопасности и, используя протокол перенаправления содержания - Content Vectoring Protocol (CVP), перенаправит их на сервер антивирусной проверки. Прежде, чем вернуть полученные данные, сервер антивирусной проверки выполнит необходимые действия по сканированию вложений почты на наличие в них вирусов и лечению зараженных данных. Получив данные обратно, FireWall-1 отправляет их получателю. Таким образом, ни одно соединение не будет организованно напрямую без соответствующей проверки.

Сканирование URL

Возможность анализировать URL позволяет компании гибко регулировать используемую пропускную способность каналов и экономить рабочее время, ограничивая посещение сотрудниками организации нежелательных страниц WWW. Это позволяет администратору безопасности создать гибкую политику использования ресурсов Интернет, разрешив доступ только к допустимой информации WWW страниц в соответствующее время. Дополнительно, этот механизм может использоваться для накопления статистики обращений к определенным информационным ресурсам, что можно использовать при подготовке различных аналитических отчетов.

В FireWall-1 предусмотрено несколько способов определения механизмов сопоставления запрашиваемых URL:

• Описание с помощью символов шаблона
• Шаблоны содержатся во внешнем файле
• Внешние базы данных и средства сопоставления

Каждый из этих механизмов разработан для предоставления администратору исчерпывающего и гибкого механизма настройки политики безопасности. Наиболее развитые возможности управления достигаются при применении специальных средств сторонних производителей, использующих внешние базы данных для хранения шаблонов. Обычно такие производители предоставляют возможность подписки на обновленные версии своих баз. Средства сопоставления, наиболее полно отвечающие требованиям организации, можно найти в списке сертифицированных OPSEC продуктов.

Блокирование Java и ActiveX

Возможности FireWall-1 по сканированию и анализу потоков данных позволяют эффективно бороться с различными атаками, связанными с использованием Java и ActiveX. Администратор безопасности может контролировать прохождение кода Java и ActiveX в соответствии с определенными условиями, как, например, сетевой адрес компьютера клиента и сервера, запрашиваемый URL или зарегистрированное имя пользователя.

FireWall-1 может производить следующие действия над обнаруженным кодом Java и ActiveX:

• Удаление Java-аплетов, встречающихся в тексте HTML-страницы
• Удаление Java-аплетов из всех потоков между сервером и клиентом, даже если информация архивирована или компрессирована
• Блокирование Java-атак путем запрещения подозрительных обратных соединений
• Удаление ActiveX-аплетов, встречающихся в тексте HTML-страницы
• Удаление кода JavaScript, встречающегося в тексте HTML-страницы

Поддержка почтового протокола SMTP

SMTP-протокол был изначально разработан для обеспечения максимально гибких возможностей взаимодействия пользователей. Тогда предполагалось, что доступ к Интернет пользователи получают из различных географических регионов. Затем протокол был расширен возможностями поддержки передачи различного рода информации в виде вложений электронной почты. В результате оказалось, что достаточно сложно обеспечить максимальную прозрачность почтовых соединений и, при этом, оградить от взломщиков внутреннюю сеть организации.

FireWall-1 успешно защищает сеть организации, благодаря детальному контролю SMTP-соединений. Хочется отметить следующие возможности FireWall-1:

• Скрытие в выходящей почте адреса в поле From_ путем замены его на некоторый общий адрес позволяет полностью скрыть внутреннюю сетевую структуру и реальных внутренних пользователей
• Перенаправление почты, посланной какому-либо пользователю, например, пользователю root
• Уничтожение почты, посланной некоторым адресатом
• Удаление вложений определенного типа, например, выполняемых файлов программ
• Удаление полей Received в выходящей почте, что предотвращает распространение информации о маршрутах почты внутри организации
• Удаление почтовых сообщений, превышающих заданный размер
• Сканирование на наличие вирусов

В дополнение, FireWall-1 поддерживает только необходимый набор команд протокола SMTP, что не явно способствует поддержанию безопасности, так как не тривиальные команды, которые можно использовать с враждебными целями, не допускаются.

Фильтрация HTTP

Ресурсы, адресуемые через URI, определяют метод доступа, например, GET, POST и так далее, сервер, где ресурс расположен, путь доступа непосредственно к этому ресурсу на сервере и, возможно, специфический запрос к нему. Все приведенные выше способы обработки потоков информации могут быть применены к таким ресурсам, описания которых созданы с использованием символов шаблона. Возможно также размещение этих описаний во внешнем файле.

Обработка протокола FTP

Сервер безопасности FTP обеспечивает не только проверку подлинности пользователя, но и проверку безопасности информации, обмен которой происходит по этому протоколу. Управление осуществляется как на уровне команд FTP-протокола (PUT/GET) и внесения ограничений на возможные имена файлов, так и путем перенаправления потоков данных на внешние серверы антивирусной проверки.

© ООО "Корпорация "ЮНИ", 1998