>> Межсетевой защитный экран PIX Firewall

Cisco PIX FirewallВысокопроизводительный брандмауэр Cisco PIX (Private Internet Exchange) Firewall надежно отгораживает внутреннюю сеть компании от внешнего мира. В отличие от стандартных proxy-серверов на платформе UNIX, которые для каждого пакета данных выполняют интенсивные вычисления, отвлекая ресурсы центрального процессора, брандмауэр Cisco PIX Firewall использует встроенную систему защиты, работающую в режиме реального времени. Благодаря этому, производительность Cisco PIX Firewall (более 16 тыс. одновременных соединений) значительно превышает показатели брандмауэров на базе UNIX.

Встроенный в брандмауэр Cisco PIX Firewall инструмент конфигурирования Firewall Manager на базе языка Java упрощает процесс управления. Его графический интерфейс позволяет простым щелчком мыши по пиктограмме PIX Firewall на центральном пульте управления вызвать, отредактировать и настроить правила безопасности. На основе полученных отчетов сетевые администраторы могут анализировать статистику, отслеживать неавторизованных пользователей и контролировать объем трафика. Регистрация событий позволяет учитывать, как пользователи используют ресурсы сети.

Сетевые администраторы могут использовать функцию учета унифицированных указателей Internet-ресурсов (URL) для контроля того, какие Web-узлы посещают их пользователи. Если будут превышены заданные администратором пороговые значения, то Cisco PIX Firewall в режиме реального времени выдаст по электронной почте или по пейджеру сигнал тревоги о попытке взлома брандмауэра. Cisco PIX Firewall способен отфильтровывать нежелательные Java-апплеты.

Основные достоинства

Брандмауэр Cisco PIX Firewall обладает следующими достоинствами:
  • Меньшая сложность и более высокая устойчивость работы по сравнению с фильтрацией пакетов
  • Установка не требует останова работы сети
  • Не требуется ежедневное управление
  • Не нужно модернизировать главные машины и маршрутизаторы
  • Главные машины внутренней сети, не имеющие зарегистрированных IP-адресов, имеют полный доступ к Internet
  • Для расширения сети не нужны дополнительные зарегистрированные IP-адреса
  • Разрешается применение спецификации Address Allocation for Private Internets (RFC 1918) или зарегистрированных IP-адресов
  • Не ухудшает производительность работы пользователей локальной сети
  • Функциональное взаимодействие с маршрутизаторами на основе ПО Cisco IOS


Своей высокой производительностью брандмауэр Cisco PIX Firewall обязан схеме защиты на основе алгоритма адаптивной безопасности (ASA), которая эффективно защищает доступ к внутренней сети компании. Используемый в алгоритме ASA параметрический (stateful) принцип защиты, ориентированный на установление соединений, организует сеансовые потоки на основе адресов назначения и источника, порядковых номеров пакетов TCP, номеров портов и дополнительных флагов TCP. Эта информация хранится в таблице, и все входящие и исходящие пакеты сравниваются с этими записями в таблице.

Cisco PIX Firewall разрешает доступ только тогда, когда для данного соединения успешно пройдут все проверки. Пользователи внутренней сети и авторизованные внешние пользователи получают прозрачный доступ к сети организации, но несанкционированный доступ извне к внутренней сети исключается.

Высокая производительность брандмауэра Cisco PIX Firewall обеспечивается также применением модуля-посредника нового типа — cut-through proxy. Для аутентификации пользователей и сопровождения "статуса" соединения (обработки информации об адресах источника и назначения пакетов) идеально подходят proxy-серверы на платформе UNIX. Они обеспечивают хорошую защиту, но производительность этих proxy-серверов невысока, потому что они обрабатывают все пакеты на уровне приложений (Уровень 7) модели OSI, а это сопряжено с интенсивным потреблением ресурсов процессора.

В соответствии с принципом cut-through proxy, брандмауэр Cisco PIX Firewall при обращении пользователя сначала проводит проверку его параметров на уровне приложений, как обычный proxy-сервер. Но после того как при помощи протоколов TACACS+ (Terminal Access Controller Access Control System) или RADIUS (Remote Authentication Dial-In User Service) брандмауэр Cisco PIX Firewall аутентифицирует пользователя по базе данных и проверит соблюдение заданных правил доступа, он направит трафик по адресу назначения. Два абонента соединения начнут обмениваться информацией с высокой скоростью напрямую, при этом уровень безопасности соединения будет таким же, как у брандмауэров на основе традиционных proxy-серверов. Принцип cut-through (без промежуточной обработки) обеспечивает значительное повышение быстродействия по сравнению с традиционными proxy-серверами.

Принцип cut-through proxy также позволяет сэкономить на установке и сопровождении, если в сети компании уже имеются базы данных авторизации протоколов TACACS+ или RADIUS, используемые в сервере коммутируемого доступа.

Брандмауэр Cisco PIX Firewall позволяет расширять и переконфигурировать IP-сети, не заботясь об исчерпании IP-адресов. Трансляция сетевых адресов (NAT) делает возможным использование или имеющихся IP-адресов, или адресов, которые компании выделил полномочный орган из резервного пула IANA (RFC 1918).

Базовые характеристики

  • Мощная, параметрическая защита, ориентированная на установление соединений; предотвращает доступ неавторизованных пользователей к сетевым ресурсам
  • Принцип Cut-through proxy — доступ из внутренней сети в Internet и из Internet во внутреннюю сеть на основе использования протоколов TACACS+ и RADIUS
  • Поддержка более 16 тыс. одновременных соединений
  • Усовершенствованный, легкий в использовании Firewall Manager для конфигурирования нескольких брандмауэров Cisco PIX Firewall
  • Cisco PIX Firewall разрешает доступ клиентам Oracle SQL*Net и обеспечивает защиту клиент/серверных приложений
  • Трансляция сетевых адресов (NAT) в соответствии со спецификацией RFC 1631
  • Трансляция адресов портов (PAT) позволяет увеличить емкость имеющегося у компании пула выделенных адресов. Используя один IP-адрес, более 64 тыс. машин могут устанавливать свыше 16 384 одновременных соединений
  • Прозрачная поддержка всех стандартных TCP/IP-протоколов: WWW, FTP, Telnet, Archie, gopher и rlogin
  • Фильтрация потенциально опасных апплетов Java
  • Система защиты действует в режиме реального времени
  • Функция syslog и поддержка баз управляющей информации (MIB) позволяют проводить аудит использования сетевых ресурсов
  • SYN Flood Defender — предохраняет главную машину сети компании от "затопления" лавиной запросов пользователей на обслуживание
  • Трансляция NetBIOS — поддержка подключений Microsoft Networking client и Microsoft
  • Networking server через брандмауэр Cisco PIX Firewall
  • Выпускаются две аппаратные платформы (PIX и PIX 10000), что позволяет удовлетворить разные запросы к производительности и масштабируемости (от 45 до 90 Мбит/с)


Спецификации

Характеристика Описание

Число программных сеансов (version 4.0)

64, 1024, 16 384 (при одновременных соединениях TCP/IP)

Поддерживаемые сетевые протоколы

  • 10/100BaseT Ethernet
  • Token Ring (4 - 16 Мбит/с)
  • Internet-протоколы: IP, TCP, User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP)

Конструктивные особенности

  • Устанавливается в 19-дюймовую стойку
  • Порт консоли DB-9 EIA/TIA-232
  • Дисковод флоппи-дисков 3.5"
  • Запираемая передняя панель

Размеры, см (В x Ш x Г)

17.8 x 48.3 x 47

Вес, кг

9,5

Электропитание

  • 115 В ¦ 10%, 47?63 Гц, 4,2А макс.
  • 230 В ¦ 10%, 47?63 Гц, 2,0А макс.

Последнее изменение - 30 августа 2005 г.