Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Cisco PIX Firewall

Информация предоставлена "Р-Альфа"

Межсетевой экран PIX компании Cisco Systems относится к классу пакетных фильтров, использующих технологию контроля состояния (stateful inspection). Он позволяет контролировать доступ как из Интернет во внутреннюю сеть, так и наоборот.

Для настройки PIX можно использовать графическую оболочку, что облегчает и упрощает этот процесс. В отличие от обычных пакетных фильтров, PIX позволяет осуществлять аутентификацию пользователей. Для аутентификации используются протоколы TACACS+ и RADIUS, которые позволяют использовать для аутентификации как обычные UNIX пароли, так и систему одноразовых паролей S/Key.

PIX позволяет поддерживать до 16 000 одновременных TCP/IP соединений и обеспечивать пропускную способность до 90 Мбит/с. PIX построен на базе сетевой операционной системы CISCO IOS, что обеспечивает полную совместимость по протоколам и средствам мониторинга и управления с оборудованием CISCO, масштабируемость сетей, построенных на базе CISCO, привычный для администраторов CISCO маршрутизаторов интерфейс.

Основные свойства

  • Защита на основе технологии контроля состояния защита сетевых соединений, позволяет ограничить неавторизованных пользователей от доступа к сетевым ресурсам.
  • технология перехвата соединений на прикладном уровне позволяет обеспечить аутентификацию пользователей с использованием стандартных протоколов TACACS+ и RADIUS
  • Поддерживает более 16,000 одновременных соединений
  • Удобный и простой менеджер межсетевых экранов обеспечивает легкое администрирование нескольких межсетевых экранов PIX
  • Поддержка третьего сетевого интерфейса для поддержки открытых для пользователей Интернет сервисов типа WWW, электронной почты и др.
  • Поддержка протокола Point-to-Point Tunneling Protocol (PPTP) компании Микрософт для реализации виртуальных корпоративных сетей (VPN)
  • Поддержка протокола Oracle SQL*Net для защиты приложений клиент/сервер
  • Командный интерфейс, присущий CISCO IOS системе
  • Высокая надежность благодаря возможности дублирования и горячего резерва
  • Трансляция сетевых адресов (NAT) согласно RFC 1631
  • Трансляция портов (PAT) позволяет расширить пул адресов компании - через один IP адрес можно отображать 64000 адресов ( 16,384 одновременно)
  • Псевдонимы сетевых адресов позволяют отобразить перекрывающиеся IP адреса в одно адресное пространство
  • Для зарегистрированных IP адресов можно отменить режим трансляции адресов, что позволяет пользователям использовать их настоящие адреса
  • Прозрачная поддержка всех распространенных TCP/IP сервисов - WWW, FTP, Telnet и т.д.
  • Поддержка мультимедийных типов данных с использованием трансляции адресов и без нее, включая Progressive Networks' RealAudio, Xing Technologies' Streamworks, White Pines' CuSeeMe, Vocal Tec's Internet Phone, VDOnet's VDOLive, Microsoft's NetShow, VXtreme's Web Theater 2
  • Поддержка приложений для работы с видеоконференциями, совместимыми с H.323 спецификацией, включая Internet Video Phone (Intel) и NetMeeting (Микрософт)
  • Возможнсоть фильтрации потенциально опасных Java апплетов
  • Защищенная система реального времени
  • Поддержка нескольких уровней входа в систему
  • Поддержка прерываний (trap) SNMP протокола
  • Сбор аудита через syslog утилиту
  • Поддержка Management Information Base (MIB) для syslog
  • Аудит использования URL и обменов по FTP протоколу
  • Поддержка удаленного вызова процедур (RPC)
  • Программа контроля почтового траффика позволяет отказаться от размещения внешнего почтового сервера в демилитаризованной зоне (DMZ)
  • Защита от SYN атак защищает хост от атак типа "отказ в обслуживании"
  • Трансляция NetBIOS протокола обеспечивает поддержку взаимодействия клиентов и серверов Microsoft Networking через PIX
  • Две аппаратные платформы (PIX и PIX10000) позволяют обеспечить производительность от 45 Мбит/с до более чем 90 Мбит/с

Основные преимущества

Строгая защита

В основе работы PIX лежит алгоритм адаптивной защиты (ASA), который обеспечивает защиту соединений с контролем состояния. ASA отслеживает адреса источника и назначения, порядковые номера TCP соединений, номера портов и дополнительные TCP флаги для каждого пакета. Эта информация заносится в таблицу и все входящие и выходящие пакеты сравниваются со значениями в таблице. Это дает возможность прозрачной работы с Интернет внутренним пользователям и в то же время защищает внутреннюю сеть от несанкционированного доступа. Кроме того, в PIX используется встроенная система реального времени, которая по уровню защиты превосходит стандартные открытые системы вроде UNIX.

Аппаратная расширяемость

Строгая защита, обеспечиваемая операционной системой реального времени, дополняется возможностью расширения аппаратных возможностей. В первую очередь это возможность встраивания третьего сетевого интерфейса. Это позволяет разместить за ним доступные извне WWW сервера, почту, сервера доменных имен. Другим применением третьего интерфейса может быть размещение за ним серверов, которые фильтруют содержимое пакетов. Размещения этих приложений, тербующих значительных вычислительных ресурсов, на отдельной платформе, обеспечивает как высокий уровень защиты, так и высокую производительность.

Производительность системы аутентификации.

Межсетевые экраны PIX обеспечивают производительность намного выше, чем конкурирующие продукты. Высокая скорость обеспечивается за счет сквозных (cut-through) proxy. В отличие от обычных proxy серверов, которые анализируют каждый пакет на уровне приложений согласно семиуровневой модели OSI ( что отнимает много времени и ресурсов процессора), PIX запрашивает у сервера TACACS+ или RADIUS информацию для аутентификации. Когда пользователь ввел свое имя и PIX проверил права доступа, образуется прямое соединение между сторонами и контролируется только состояние сессии. Таким образом, производительность PIX благодаря сквозным proxy много выше, чем у обычных proxy-серверов.

Еще одним фактором, который тормозит работу обычных proxy-серверов является то, что для каждой TCP сессии последний должен запустить отдельный процесс. Если работают 300 пользователей, должно быть запущено 300 процессов, а эта процедура занимает значительные ресурсы процессора. PIX может поддерживать более 16000 сессий одновременно. При полной загрузке PIX модели 10000 поддерживает пропускную способность 90 Мбит/с ( два T3 канала)

Низкая удельная стоимость

Удельная стоимость PIX оказывается гораздо ниже, чем для большинства систем защиты. Во-первых, PIX благодаря наличию менеджера межсетевого экрана прост в установке и конфигурации, при этом сеть необходимо отключать только на непродолжительное время. Кроме того, PIX разрешает прозрачный доступ для мультимедийных приложений, что позволяет избежать модификации параметров рабочих станций - довольно неприятной процедуры.

Во-вторых, расширенные возможности по сбору статистики помогают понять и контролировать использование ресурсов. При помощи менеджера межсетевого экрана легко генерировать отчеты с описанием даты и времени соединения, полного времени соединения, статистики по пользователям (байты и пакеты), порты и другую важную информацию. Эти отчеты можно использовать в системе учета для различных подразделений.

В-третьих, сопровождение PIX достаточно дешево. Поскольку системы с proxy-серверами в основном базируются на UNIX платформах, компании должны содержать высокооплачиваемых специалистов. Кроме того, поскольку большинство предупреждений CERT (Computer Emergency Response Team ) имеют отношение к UNIX системам, компании должны затрачивать усилия для изучения этих предупреждений и инсталляции патчей. PIX базируется на небольшой, защищенной системе реального времени, не требующей серьезных ресурсов для сопровождения. Поскольку все программное обеспечение PIX загружается из FLASH памяти, не требуется жестких дисков, что обеспечивает более высокий срок службы и период времени между ошибками.

В-четвертых, межсетевые экраны PIX обеспечивают высокий уровень масштабируемости, поддерживая от 64 (минимум) до более чем 16000 одновременных соединений. Это позволяет защищать инвестиции пользователей, поскольку при росте компании можно заменить версию на более высокую.

В пятых, наличие сквозных proxy позволяет снизить затраты, время и деньги за счет использования базы данных сервера доступа компании, использующего TACACS+ или RADIUS.

Новости мира IT:

Архив новостей

Последние комментарии:

С Новым Годом!! :) (1)
Среда 04.01, 04:47
Loading

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 985 1945361
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2015 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...