FireWall-1/VPN-1 ist eine kommerzielle Firewall Software des israelischen Softwareherstellers Check Point. Es handelt sich um eine SPI-Firewall. Die SPI Technology hat den Vorteil, dass beispielsweise mit einer einzigen Firewallregel sowohl der ausgehende Verkehr einer Verbindung, als auch die Antwortpakete vom Zielsystem, die zu dieser Verbindung gehören, automatisch erlaubt sind. SPI wertet dabei die in den Paketen gesetzten TCP Flags aus und lässt beispielsweise Pakete mit gesetzten „SYN+ACK“ TCP Flags nur passieren, wenn zu dieser TCP Sitzung zuvor Pakete mit gesetztem „SYN“ Flag (Verbindungsaufbau, 3-Way Handshake) von der Firewall gesehen wurden. Mittlerweile arbeiten nahezu alle Firewalls nach dem „SPI“ Prinzip. Optional werden die durch die Firewall laufenden Datenströme bei neueren Versionen auch auf Anwendungsebene kontrolliert, um beispielsweise bekannte Angriffsmuster zu erkennen und gegebenenfalls zu blockieren (Intrusion Prevention), was weit über die ursprüngliche Funktionalität einer Firewall (Paketfilter) hinausgeht.
Die Checkpoint Firewall Lösung wird im professionellen Umfeld gerne eingesetzt aufgrund folgender wichtigster Kriterien:
- Hoher Datendurchsatz
- Hohe grundsätzliche Stabilität und Ausfallsicherheit
- Sehr übersichtliche Darstellung der Firewallregeln
- Äußerst granulare Manipulierbarkeit der Behandlung von protokollspezifischen Paketen
- Detailliertes und übersichtliches Logging aller Verbindungen incl. Revisionen
- Zentrale Verwaltung mehrerer Firewalls über einen zentralen „Smart Center Server“
- Vielfältige Möglichkeiten bei der Hardwareauswahl, auf der die Check Point Software betrieben wird
FireWall-1 war Mitte der 1990er Jahre die erste kommerzielle Lösung, die auf der SPI-Technologie aufsetzte. Bis zum Jahre 2002 war die, mittlerweile um VPN-Funktionalität ergänzte und in Firewall-1/VPN-1 umbenannte Software Marktführer im professionellen Firewallumfeld. Je nach wirtschaftlicher Betrachtungsweise ist sie dies heute immer noch.
Betriebssysteme
Die FireWall-1/VPN-1 Software kann unter verschiedenen Betriebssystemen installiert werden. Dies unterscheidet das Produkt von den größten Konkurrenten im professionellen Umfeld, Cisco ASA und Juniper Netscreen.
In den Versionen NGX R61–R65 unterstützt FireWall-1/VPN-1 die folgenden Betriebssysteme:
- Solaris Version 8, 9, 10
- Windows 2000/2003 Server
- Red Hat Enterprise Linux Version 3.0
- Check Point GAiA ist ein speziell gehärtetes Red Hat Linux, SPLAT
- Nokia IPSO
Versionen
Das Schema der Versions- und Revisionsnummer und damit auch der Produktname wurde in der Vergangenheit mehrfach geändert:
- Firewall-1: Version 1.0 (April 1994) bis Version 4.1 (2000)
- Firewall-1/VPN-1 Next Generation: NG (Juni 2001) über NG FP1 (November 2001) bis hin zu NG FP3 (August 2002)
- Firewall-1/VPN-1 Next Generation with Application Intelligence:
- NG AI R54 (Juni 2003)
- NG AI R55 (November 2003)
- NGX R60 (August 2005)
- NGX R61 (März 2006)
- NGX R62 (November 2006)
- NGX R65 (März 2007)
- NGX R70 (März 2009)
- NGX R71 (April 2010)
- NGX R75 (Dezember 2010)