19.09.2001, среда
| |
Cisco Secure PIX Firewall
Межсетевой экран Cisco Secure Private Internet Exchange (PIX) Firewall позволяет реализовать защиту корпоративных сетей на недостижимом ранее уровне, обладая при этом высокой простотой в эксплуатации. PIX Firewall может обеспечить абсолютную безопасность внутренней сети, полностью скрыв ее от внешнего мира. В отличие от обычных proxy-серверов, выполняющих обработку каждого сетевого пакета в отдельности с существенной загрузкой центрального процессора, PIX Firewall использует специальную не UNIX-подобную операционную систему реального времени, обеспечивающую более высокую производительность.
Основой высокой производительности межсетевого экрана PIX Firewall является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности (adaptive security algorithm - ASA), который эффективно скрывает адреса пользователей от хакеров. Этот устойчивый алгоритм обеспечивает безопасность на уровне соединения на основе контроля информации о адресах отправителя и получателя, последовательности нумерации пакетов TCP, номерах портов и добавочных флагах TCP. Эта информация сохраняется в таблице, проверку на соответствие с записями которой проходят все входящие пакеты. Доступ через PIX разрешен только в том случае, если соединение успешно прошло идентификацию. Этот метод обеспечивает прозрачный доступ для внутренних пользователей и авторизованных внешних пользователей, при этом полностью защищая внутреннюю сеть от несанкционированного доступа.
Благодаря применению технологии "сквозного посредника" (Cut-Through Proxy) межсетевой экран Cisco PIX Firewall также обеспечивает существенное преимущество в производительности по сравнению с экранами-"посредниками" на базе ОС UNIX. Как и обычные proxy-серверы, PIX контролирует установление соединения на уровне приложения. После успешного прохождения пользователем авторизации доступа в соответствии с принятыми правилами безопасности PIX обеспечивает контроль потока данных между абонентами на уровне сессии. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные proxy-экраны
Помимо повышения производительности, применение специализированной встроенной операционной системы реального времени также обеспечивает повышение уровня безопасности. В отличие от операционных систем семейства UNIX, исходный текст которых широко доступен, Cisco PIX - собственная разработка компании, созданная специально для решения задач обеспечения безопасности.
Для повышения надежности межсетевой экран PIX Firewall предусматривает возможность установки в сдвоенной конфигурации в режиме "горячего резервирования", за счет чего в сети исключается наличие единой точки возможного сбоя. Если два PIX-экрана будут работать в параллельном режиме, и один из них выйдет из строя, то второй в прозрачном режиме "подхватит" исполнение всех функций обеспечения безопасности.
Высокая производительность
Межсетевой экран Cisco Secure PIX Firewall поддерживает более 500 тысяч одновременных соединений и, соответственно, обеспечивает поддержку сотен и тысяч пользователей без снижения производительности. Полностью загруженный PIX Firewall может обеспечить пропускную способность до 1.0 Гбит/с, т.е. существенно выше, чем любой межсетевой экран на базе ОС UNIX или ОС Microsoft Windows NT.
Простота использования обеспечивает низкую стоимость использования и сопровождения
Пользователи, не имеющие специальной подготовки могут быстро настроить с помощью простой графической оболочки PIX Device Manager (PDM), доступ к которой осуществляется с помощью обычного web browser-а. PDM - это приложение, использующее http сервер, встроенный в PIX и поддерживающее основной набор команд, необходимый для начальной настройки межсетевого экрана.
PDM позволяет настраивать PIX практически с любого компьютера, для защиты устройства от "взлома" во время конфигурирования пользователь может использовать протокол SSL .
Решение проблемы нехватки IP-адресов
Межсетевой экран Cisco Secure PIX Firewall также позволяет избежать проблемы нехватки адресов при расширении и изменении IP-сетей. Технология трансляции сетевых адресов Network Address Translation (NAT) делает возможным использование в частной сети как существующих адресов, так и резервных адресных пространств. Например, это позволяет использовать всего лишь один реальный внешний IP адрес для 64 тысяч узлов внутренней частной сети. PIX также может быть настроен для совместного использования транслируемых и не транслируемых адресов, позволяя использовать как адресное пространство частной IP-сети, так и зарегистрированные IP-адреса.
В настоящее время пользвателям предлагается три модели аппаратно-программных межсетевых экранов Cisco Secure PIX Firewall - PIX 506, 515 и 520:
Модель | PIX Firewall 506 | PIX Firewall 515 | PIX Firewall 525 | PIX Firewall 535 |
Объем оперативной памяти | 32 Мб | 32 или 64 Мб | 256 Мб | До 1 Гб |
Пропускная способность | 10 Мбит/с | 120 Мбит/с | 370 Мбит/с | 1.0 Гбит/с |
Количество одновременно поддерживаемых сессий | - | 125000 | 280000 | 500000 |
Поддерживаемые интерфейсы | 2 10/100 Ethernet | До 6 10/100 Ethernet | Ethernet/Fast Ethernet, Gigabit Ethernet, Token Ring, FDDI | Ethernet/Fast Ethernet, Gigabit Ethernet |
Основные возможности
- Строгая система защиты от несанкционированного доступа на уровне соединения обеспечивает безопасность ресурсов внутренней сети
- Технология Cut Through Proxy позволяет контролировать как входящие, так и исходящие соединения на базе таких протоколах безопасности как Terminal Access Controller Access Control System (TACACS)+ или Remote Access Dial-In User Service (RADIUS)
- До шести сетевых интерфейсов для применения расширенных правил защиты
- Графический интерфейс администратора Security Manager предназначен для настройки до 100 межсетевых экранов PIX Firewall с единой консоли
- Динамическая и статическая трансляция адресов
- Поддержка протокола сетевого управления SNMP
- Учетная информация с использованием ведения журнала системных событий (syslog)
- Прозрачная поддержка всех основных сетевых услуг, таких как World Wide Web (WWW), File Transfer Protocol (FTP), Telnet, Archie, Gopher
- Поддержка приложений мультимедиа, включая Progressive Networks RealAudio & ReadVideo, Xing StreamWorks, White Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnet VDOLive, Microsoft NetShow и VXtreme Web Theater
- Поддержка взаимодействий Microsoft Networking сервер - клиент, Oracle SQL *Net сервер - клиент
- Безопасная встроенная операционная система реального времени
- Нет необходимости обновления ПО на рабочих станцях и маршрутизаторах
- Полный доступ к ресурсам сети Интернет для зарегистрированных пользователей внутренней сети
- Совместимость с маршрутизаторами, работающими под управлением Cisco IOS™
- Поддержка видеоконференций по протоколу H.323, включая Microsoft NetMeeting, Intel Internet Video Phone и White Pine Meeting Point
- Несколько возможных вариантов программной и аппаратной комплектации
- Средства централизованного администрирования
- Оповещение о важных событиях на пейджер или по электронной почте
- Поддержка интерфейсов Ethernet, Fast Ethernet, Token Ring и FDDI
- Поддержка виртуальных частных сетей (Virtual Private Network) с использованием стандартной технологии IPSec
- Высокая производительность
- Интеграция с другими решениями компании Cisco, например, с сервером идентификации пользователей CiscoSecure ACS
Вернуться на главную страницу обзора
|