 |
| ■ アクセスコントロール |
VPN-1/FireWall-1はステートフル・インスペクションに基づき、HTTP、SMTP、FTP、Telnetなどの一般的なアプリケーションはもとより、あらかじめ定義された150以上のアプリケーション、サービス、プロトコルに即座に対応しています。さらにOracle
SQLなど重要なアプリケーション、RealVideoやWindows Mediaなどのマルチメディア・アプリケーション、VoIPやNetMeetingなどのH.323ベースのサービスもサポートします。
|
● ステートフルインスペクション
チェック・ポイント・ソフトウェア・テクノロジーズの創案によるステートフル・インスペクションは実現し得る最高レベルのセキュリティを提供します。ステートフル・インスペクションにより、各サービスに個別のプロキシを設置する必要なく完全なアプリケーション層の認識が得られます。これにより、パフォーマンスの向上、スケーラビリティ、新たなアプリケーションやカスタム・アプリケーションを迅速にサポートする高い性能が実現されます。
| |
| ■
認証 |
3つの認証方法をサポートしており、遠隔地のユーザや遠距離通勤者などのお客様に企業のリソースへ安全なアクセスを提供します。FireWall-1の認証サービスにより、通信が許可される前に接続しようとしているユーザが本当に自ら名乗っているユーザであることが確実に検証されます。これにはサーバ側やクライアント・アプリケーションへの修正は必要ありません。認証サービスはセキュリティ・ポリシーと完全に統合され、FireWall-1のGUIを通じて中央管理できます。すべての認証セッションはLog
Viewerを使って監視・追跡できます。
FireWall-1には3つの認証方法があります。
- ユーザ認証
- クライアント認証
- 透過セッション認証
|
|
| 1.ユーザ認証 |
FireWall-1/ VPN-1 Gatewayのユーザ認証は透過的で、ユーザ単位にFTP、TELNET、HTTPおよびRLOGIN用のアクセス権を提供します。ユーザのIPアドレスを判断基準としているのではありません。あるローカル・ユーザが一時的に自分のオフィスを離れて異なるホストへログインする場合には、セキュリティ管理者は同一ホスト上の全ユーザへアクセスを許してしまうようなことをせずに、そのユーザにローカルネットワークを使用することを許可するようなルールを定義できます。ユーザ認証はFireWall-1のセキュリティサーバで実現されています。FireWall-1はユーザがリクエストしたサーバ上で認証セッションを開始しようとしているのを傍受すると、それを横取りしてそのコネクションを適切なセキュリティサーバへと渡します。セキュリティサーバ
は、ユーザの認証後ホストへの新たなコネクションを確立します。このセッションの後続パケットはすべてゲートウェイ上でFireWall-1に横取りされ検査をされます。
|
|
| サポートされているユーザ認証方式
| ユーザ認証方式 | 検証メカニズム |
| RADIUS | 複数認証手順をサポート | | TACACS/TACACS+ |
複数認証手順をサポート | | トークンベース(2ファクタ) | ハードウェア、トークンおよびパスワードを使用 |
| OSパスワード | 標準OSパスワード | | FireWall-1パスワード | FireWall-1ゲートウェイで管理されるパスワード
| | S/Key | シード・ベースのワンタイム・パスワード | | デジタル証明書 |
CAの署名を検証することで有効 |
|
|
2.クライアント認証 |
クライアント認証では管理者は特定のIPアドレスのユーザへアクセス権を与えることができます。ユーザ認証とは異なり、クライアント認証は特定のサービスに限定されていないので一般によく使われているものまたはカスタマイズしたものを問わずあらゆるアプリケーションで使用できる認証機能を提供することになります。FireWall-1のクライアント認証は透過的ではありませんが、クライアント側およびサーバ側のとちらにも新たなソフトウェアを導入したり現状のソフトウェアを修正したりする必要はありません。管理者は各個人の認証方法や、アクセス可能なサーバやアプリケーションの種類、またアクセス可能にする日時や許可するセッションの回数を指定できます。
|
| 3.透過セッション認証 |
透過セッション認証を使うと、セッション毎にどんなサービスでも認証できます。ユーザがサーバへ接続しようとする際、ユーザと目的地との間にあるFireWall-1ゲートウェイがその接続を傍受し、ユーザ認証が必要か否かを認識し、セッション認証エージェントとのコネクションを開始します。エージェントは認証を行い、接続が許されている場合には、FireWall-1はリクエストされたサーバへの接続を続行させます。
|
| ■ エンタープライズ管理 |
コンテンツセキュリティ機能により、ウィルス攻撃、悪意のあるJavaやActiveXのアプレット、好ましくないWebコンテンツからユーザを保護します。HTTP、SMTP、FTPの接続はFireWall-1のセキュリティサーバを通じて確立することができ、ネットワーク管理者は特定のリソースへのアクセスを非常にきめ細かく制御することができます。
|
| コンピュータ・ウィルス・スクリーニング
|
FireWall-1のコンテンツ・スクリーニング機能はOPSEC提携パートナーから出されているアンチウィルス・アプリケーションと統合することができます。このOPSEC提携プログラムによりユーザはアンチウィルス・アプリケーションをFireWall-1の載っているサーバ上または別のサーバに載せて運用することが可能になります。セキュリティ管理者は2つの個々の製品を設定するのではなくアクセスコントロールとウィルス検出をFireWall-1の持っているSecurity
Policy Editorを使用して一ヶ所で設定できます。
|
| URLスクリーニング
|
FireWall-1のURLスクリーニング機能は特定のWebページの閲覧を制限することで企業に貴重な帯域幅の浪費を防ぐことを可能にします。この機能によりセキュリティ管理者は従業員に適切なWebページの情報のみへアクセスさせることができます。さらにURLスクリーニングはアクセスされたURLの記録を残して解析することが可能です。
|
| JavaとActive
X除去 |
FireWall-1の強力なスクリーニング機能はエンタープライズ・ネットワークをJavaやActive
Xによる攻撃から効果的に守ります。セキュリティ管理者はJavaとActiveXコードをホスト、URLやユーザ認証のような条件に基づいてコントロールすることができます。FireWall-1のJava、ActiveXスクリーニング機能では以下のようなことが可能です。
|
| メール(SMTP)サポート
|
FireWall-1はSMTPコネクションに対して細かな制御をかけることによってネットワークを守ります。FireWall-1は以下のようなことができます。
- 社外に出ていくメールのFromアドレスを適当な一般的なアドレスに書き換えて内部ネットワークの構造と本当の内部ユーザを隠します。
- 指定したToアドレス(例:root)に送られたメールを別の人にリダイレクトする。
- 指定したアドレス宛のメールを廃棄する。
- 特定のMIMEタイプの添付文書を取り除く。
- 社外に出ていくReceivedヘッダ情報を取り除いて内部ネットワークの構造を隠す。
- あるサイズ以上のメールを捨てる。
- ウィルス検査。
|
| HTTPフィルタリング |
URIリソースでスキーマ(HTTP, FTP, GOPHERなど)、メソッド(GET,
POSTなど)、ホスト(*.comなど)、パス、クエリーなどを指定できます。また、IPアドレスおよびサーバののリストを記述したファイルで指定することも可能です。
|
| FTPサポート
|
FTPセキュリティサーバは認証サービスとFTPコマンド(PUT/GET)、ファイル名によるファイルの転送制限、アンチウィルス・サーバと連携することによるコンテンツ・セキュリティを提供する役割を担っています。例えば、FTPのGETに対しウィルス検査を指定するとFireWall-1はFTPのGET操作を横取りし、別のアンチウィルス・サーバへ転送します。アンチウィルス・サーバはそのファイルを検査し結果をFireWall-1モジュールに返します。これはユーザ側から見るとまったく透過的に行なわれ、意識する必要はありません。
|
| エンタープライス管理
|
直感的な管理コンソールは、ファイアウォール・セキュリティ、VPN、NAT、QoS、VPNクライアント・セキュリティといったセキュア・バーチャル・ネットワーク(SVN)の複数要素を総合的に定義するグラフィカル・ユーザ・インタフェースです。すべてのオブジェクト(ユーザ、ホスト、ネットワーク、サービスなど)の定義は、すべてアプリケーション間で共有され、ポリシー作成やセキュリティ管理が効率よ実施できます。
また、管理者はSecureUpdateを使用してソフトウェア配布を集中的に管理することができるため、支店など異なるネットワーク・サイトにIT担当者を配属する必要がありません。このオプション・モジュールは製品バージョン情報を追跡し、大規模なアップデートとサービスパックをインストールするため、管理者は容易にセキュリティ環境を維持、管理することができます。
オプションのVisual
Policy EditorはFireWall-1の管理コンソールの一部として、セキュリティ配備におけるオブジェクト(ファイアウォール、VPN、サーバ、ネットワークなど)の詳細なグラフィカルマップを提供します。
|
