Высокопроизводительный
брандмауэр Cisco PIX (Private Internet
Exchange) Firewall надежно
отгораживает внутреннюю сеть
компании от внешнего мира. В
отличие от стандартных
proxy-серверов на платформе UNIX,
которые для каждого пакета
данных выполняют интенсивные
вычисления, отвлекая ресурсы
центрального процессора,
брандмауэр Cisco PIX Firewall
использует встроенную систему
защиты, работающую в режиме
реального времени. Благодаря
этому, производительность Cisco
PIX Firewall (более 16 тыс.
одновременных соединений)
значительно превышает
показатели брандмауэров на
базе UNIX.
Встроенный в брандмауэр Cisco PIX
Firewall инструмент
конфигурирования Firewall Manager на
базе языка Java упрощает процесс
управления. Его графический
интерфейс позволяет простым
щелчком мыши по пиктограмме PIX
Firewall на центральном пульте
управления вызвать,
отредактировать и настроить
правила безопасности. На
основе полученных отчетов
сетевые администраторы могут
анализировать статистику,
отслеживать неавторизованных
пользователей и
контролировать объем трафика.
Регистрация событий позволяет
учитывать, как пользователи
используют ресурсы сети.
Сетевые администраторы могут
использовать функцию учета
унифицированных указателей
Internet-ресурсов (URL) для контроля
того, какие Web-узлы посещают их
пользователи. Если будут
превышены заданные
администратором пороговые
значения, то Cisco PIX Firewall в режиме
реального времени выдаст по
электронной почте или по
пейджеру сигнал тревоги о
попытке взлома брандмауэра. Cisco
PIX Firewall способен
отфильтровывать нежелательные
Java-апплеты.
Основные
достоинства
Брандмауэр Cisco PIX Firewall обладает
следующими достоинствами:
- Меньшая сложность и более
высокая устойчивость
работы по сравнению с
фильтрацией пакетов
- Установка не требует
останова работы сети
- Не требуется ежедневное
управление
- Не нужно модернизировать
главные машины и
маршрутизаторы
- Главные машины внутренней
сети, не имеющие
зарегистрированных
IP-адресов, имеют полный
доступ к Internet
- Для расширения сети не
нужны дополнительные
зарегистрированные
IP-адреса
- Разрешается применение
спецификации Address Allocation for
Private Internets (RFC 1918) или
зарегистрированных
IP-адресов
- Не ухудшает
производительность работы
пользователей локальной
сети
- Функциональное
взаимодействие с
маршрутизаторами на
основе ПО Cisco IOS
Своей высокой
производительностью
брандмауэр Cisco PIX Firewall обязан
схеме защиты на основе
алгоритма адаптивной
безопасности (ASA), которая
эффективно защищает доступ к
внутренней сети компании.
Используемый в алгоритме ASA
параметрический (stateful) принцип
защиты, ориентированный на
установление соединений,
организует сеансовые потоки на
основе адресов назначения и
источника, порядковых номеров
пакетов TCP, номеров портов и
дополнительных флагов TCP. Эта
информация хранится в таблице,
и все входящие и исходящие
пакеты сравниваются с этими
записями в таблице.
Cisco PIX Firewall разрешает доступ
только тогда, когда для данного
соединения успешно пройдут все
проверки. Пользователи
внутренней сети и
авторизованные внешние
пользователи получают
прозрачный доступ к сети
организации, но
несанкционированный доступ
извне к внутренней сети
исключается.
Высокая производительность
брандмауэра Cisco PIX Firewall
обеспечивается также
применением модуля-посредника
нового типа — cut-through proxy. Для
аутентификации пользователей
и сопровождения "статуса"
соединения (обработки
информации об адресах
источника и назначения
пакетов) идеально подходят
proxy-серверы на платформе UNIX. Они
обеспечивают хорошую защиту,
но производительность этих
proxy-серверов невысока, потому
что они обрабатывают все
пакеты на уровне приложений
(Уровень 7) модели OSI, а это
сопряжено с интенсивным
потреблением ресурсов
процессора.
В соответствии с принципом
cut-through proxy, брандмауэр Cisco PIX
Firewall при обращении
пользователя сначала проводит
проверку его параметров на
уровне приложений, как обычный
proxy-сервер. Но после того как
при помощи протоколов TACACS+
(Terminal Access Controller Access Control System) или
RADIUS (Remote Authentication Dial-In User Service)
брандмауэр Cisco PIX Firewall
аутентифицирует пользователя
по базе данных и проверит
соблюдение заданных правил
доступа, он направит трафик по
адресу назначения. Два
абонента соединения начнут
обмениваться информацией с
высокой скоростью напрямую,
при этом уровень безопасности
соединения будет таким же, как
у брандмауэров на основе
традиционных proxy-серверов.
Принцип cut-through (без
промежуточной обработки)
обеспечивает значительное
повышение быстродействия по
сравнению с традиционными
proxy-серверами.
Принцип cut-through proxy также
позволяет сэкономить на
установке и сопровождении,
если в сети компании уже
имеются базы данных
авторизации протоколов TACACS+
или RADIUS, используемые в сервере
коммутируемого доступа.
Брандмауэр Cisco PIX Firewall
позволяет расширять и
переконфигурировать IP-сети, не
заботясь об исчерпании
IP-адресов. Трансляция сетевых
адресов (NAT) делает возможным
использование или имеющихся
IP-адресов, или адресов, которые
компании выделил полномочный
орган из резервного пула IANA (RFC
1918).
Базовые
характеристики
- Мощная, параметрическая
защита, ориентированная на
установление соединений;
предотвращает доступ
неавторизованных
пользователей к сетевым
ресурсам
- Принцип Cut-through proxy — доступ
из внутренней сети в Internet и
из Internet во внутреннюю сеть
на основе использования
протоколов TACACS+ и RADIUS
- Поддержка более 16 тыс.
одновременных соединений
- Усовершенствованный,
легкий в использовании
Firewall Manager для
конфигурирования
нескольких брандмауэров
Cisco PIX Firewall
- Cisco PIX Firewall разрешает
доступ клиентам Oracle SQL*Net и
обеспечивает защиту
клиент/серверных
приложений
- Трансляция сетевых
адресов (NAT) в соответствии
со спецификацией RFC 1631
- Трансляция адресов портов
(PAT) позволяет увеличить
емкость имеющегося у
компании пула выделенных
адресов. Используя один
IP-адрес, более 64 тыс. машин
могут устанавливать свыше
16 384 одновременных
соединений
- Прозрачная поддержка всех
стандартных
TCP/IP-протоколов: WWW, FTP, Telnet,
Archie, gopher и rlogin
- Фильтрация потенциально
опасных апплетов Java
- Система защиты действует в
режиме реального времени
- Функция syslog и поддержка
баз управляющей
информации (MIB) позволяют
проводить аудит
использования сетевых
ресурсов
- SYN Flood Defender — предохраняет
главную машину сети
компании от
"затопления" лавиной
запросов пользователей на
обслуживание
- Трансляция NetBIOS —
поддержка подключений
Microsoft Networking client и Microsoft
- Networking server через брандмауэр
Cisco PIX Firewall
- Выпускаются две
аппаратные платформы (PIX и
PIX 10000), что позволяет
удовлетворить разные
запросы к
производительности и
масштабируемости (от 45 до 90
Мбит/с)
Спецификации
Характеристика |
Описание |
Число
программных сеансов (version
4.0)
|
64, 1024, 16 384 (при
одновременных соединениях
TCP/IP) |
Поддерживаемые
сетевые протоколы
|
- 10/100BaseT
Ethernet
- Token Ring
(4 - 16 Мбит/с)
- Internet-протоколы:
IP, TCP, User Datagram Protocol (UDP),
Internet Control Message Protocol (ICMP)
|
Конструктивные
особенности
|
- Устанавливается
в 19-дюймовую стойку
- Порт
консоли DB-9 EIA/TIA-232
- Дисковод
флоппи-дисков 3.5"
- Запираемая
передняя панель
|
Размеры, см (В
x Ш x Г)
|
17.8 x 48.3 x 47 |
Вес, кг
|
9,5 |
Электропитание
|
- 115 В ¦
10%, 47?63 Гц, 4,2А макс.
- 230 В ¦
10%, 47?63 Гц, 2,0А макс.
|
Последнее изменение -
30 августа 2005 г.
|