|
Межсетевой экран Cisco Secure Private Internet Exchange (PIX) Firewall
Позволяет реализовать защиту корпоративных сетей на недостижимом ранее уровне, при этом прост в эксплуатации. PIX Firewall может обеспечить абсолютную безопасность внутренней сети, полностью скрыв ее от внешнего мира. В отличие от обычных proxy-серверов, выполняющих обработку каждого сетевого пакета в отдельности с существенной загрузкой центрального процессора, PIX Firewall использует специальную не UNIX-подобную операционную систему реального времени, обеспечивающую более высокую производительность. Основой высокой производительности межсетевого экрана PIX Firewall является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности (adaptive security algorithm — ASA), который эффективно скрывает адреса пользователей от хакеров. Этот устойчивый алгоритм обеспечивает безопасность на уровне соединения на основе контроля информации об адресах отправителя и получателя, последовательности нумерации пакетов TCP, номерах портов и добавочных флагах TCP. Эта информация сохраняется в таблице, проверку на соответствие с записями которой проходят все входящие пакеты.
Доступ через PIX разрешен только в том случае, если соединение успешно прошло идентификацию. Этот метод обеспечивает прозрачный доступ для внутренних пользователей и авторизованных внешних пользователей, при этом полностью защищая внутреннюю сеть от несанкционированного доступа. Благодаря применению технологии "сквозного посредника" (Cut-Through Proxy) межсетевой экран Cisco PIX Firewall также обеспечивает существенное преимущество в производительности по сравнению с экранами-посредниками" на базе ОС UNIX. Как и обычные proxy-серверы, PIX контролирует установление соединения на уровне приложения.
После успешного прохождения пользователем авторизации доступа, в соответствии с принятыми правилами безопасности, PIX обеспечивает контроль потока данных между абонентами на уровне сессии. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные proxy-экраны.
Помимо повышения производительности, применение специализированной встроенной операционной системы реального времени также обеспечивает повышение уровня безопасности. В отличие от операционных систем семейства UNIX, исходный текст которых широко доступен, Cisco PIX — собственная разработка компании, созданная специально для решения задач обеспечения безопасности.
Для повышения надежности межсетевой экран PIX Firewall предусматривает возможность установки в сдвоенной конфигурации в режиме "горячего резервирования", за счет чего в сети исключается наличие единой точки возможного сбоя. Если два PIX-экрана будут работать в параллельном режиме, и один из них выйдет из строя, то второй в прозрачном режиме "подхватит" исполнение всех функций обеспечения безопасности.
Высокая производительность
Межсетевой экран Cisco Secure PIX Firewall поддерживает более 500 тысяч одновременных соединений и, соответственно, обеспечивает поддержку сотен и тысяч пользователей без снижения производительности. Полностью загруженный PIX Firewall может обеспечить пропускную способность до 1,0 Гбит/с, т.е. существенно выше, чем любой межсетевой экран на базе ОС UNIX или ОС Microsoft Windows NT.
Простота использования
Межсетевой экран Cisco Secure PIX Firewall обеспечивает низкую стоимость использования и сопровождения Пользователи, не имеющие специальной подготовки могут быстро настроить с помощью простой графической оболочки PIX Device Manager (PDM), доступ к которой осуществляется с помощью обычного web-браузера. PDM — это приложение, использующее http-сервер, встроенный в PIX, и поддерживающее основной набор команд, необходимый для начальной настройки межсетевого экрана. PDM позволяет настраивать PIX практически с любого компьютера, для защиты устройства от "взлома" во время конфигурирования пользователь может использовать протокол SSL.
Решение проблемы нехватки IP-адресов
Межсетевой экран Cisco Secure PIX Firewall также позволяет избежать проблемы нехватки адресов при расширении и изменении IP-сетей, Технология трансляции сетевых адресов Network Address Translation (NAT) делает возможным использование в частной сети как существующих адресов, так и резервных адресных пространств. Например, это позволяет использовать всего лишь один реальный внешний IP-адрес для 64 тысяч узлов внутренней частной сети. PIX также может быть настроен для совместного использования транслируемых и нетрапслируемых адресов, позволяя использовать как адресное пространство частной IP-сети, так и зарегистрированные IP-адреса. В настоящее время пользователям предлагаются следующие модели аппаратно-программных межсетевых экранов Cisco Secure PIX Firewall — PIX 501, 506E, 515E, 525 и 535:
Технические характеристики
Модель
1. PIX Firewall 501
2. PIX Firewall 506E
3. PIX Firewall 515E
4. PIX Firewall 525
5. PIX Firewall 535
Процессор
1. 133 MHz
2. 300 MHz Intel Celeron
3. 433 MHz Intel Celeron
4. 600 MHz Intel Pentium
5. 1 GHz Intel Pentium III
Объем оперативной памяти (RAM)
1. 16 Мб
2. 32 Мб
3. 32 или 64 Мб
4. 128 или 256 Мб
5. 512 Мб или 1 Гб
Объем флэш памяти (Flash)
1. 8 Мб
2. 8 Мб
3. 16 Мб
4. 16 Мб
5. 16 Мб
PCI слоты
1. Нет
2. Нет
3. 2
4. 3
5. 9
Фиксированные интерфейсы
1. 1 порт 10BaseT Ethernet (внешний)4 коммутируемых порта 10/100BaseT (внутренние)
2. 2 порта 10BaseT Ethernet
3. 2 10/100 Fast Ethernet
4. 2 10/100 Fast Ethernet
5. Нет
Максимальное количество интерфейсов
1. 1 порт 10BaseT Ethernet (внешний)4 коммутируемых порта 10/100BaseT внутренние
2. 2 порта 10BaseT Ethernet
3. 6 10/100 Fast Ethernet
4. 8 портов 10/100 Fast Ethernet или Gigabit Ethernet
5. 10 портов 10/100 Fast Ethernet или Gigabit Ethernet
Производительность
1. 10 Мбит/с (cleartext); 6 Мбит/с (DES); 3 Мбит/с (3DES)
2. 20 Мбит/с (cleartext); 20 Мбит/с (DES); 16 Мбит/с (3DES)
3. 188 Мбит/с (cleartext);63 Мбит/с (3DES)
4. 370 Мбит/с
5. 1,0 Гбит/с (cleartext);100 Мбит/с (3DES)
Количество VPN соединений
1. 5
2. 25
3. 2000
4. 2000
5. 2000
Количество одновременно- поддерживаемых сессий
1. 3500
2.
3. 125000
4. 280000
5. 500000
Поддержка VPN Accelerator Card (VAC)
1. Нет
2. Нет
3. Да
4. Да
5. Да
Отказоустойчивость
1. Нет
2. Нет
3. Да (только для UR)
4. Да (только для UR)
5. Да (только для UR)
Монтируется в стойку
1. Нет
2. Нет
3. Да
4. Да
5. Да
Исполнение
1. Настольное
2. Настольное
3. 1 RU
4. 2 RU
5. 3 RU
Основные возможности
Строгая система защиты от несанкционированного доступа на уровне соединения обеспечивает безопасность ресурсов внутренней сети.
Технология Cut Through Proxy позволяет контролировать как входящие, так и исходящие соединения на базе таких протоколов безопасности, как Terminal Access Controller Access Control System (TACACS+ или Remote Access Dial-In User Service (RADIUS).
До шести сетевых интерфейсов для применения расширенных правил защиты.
Графический интерфейс администратора Security Manager предназначен для настройки до 100 межсетевых экранов PIX Firewall с единой консоли.
Динамическая и статическая трансляция адресов. Поддержка протокола сетевого управления SNMP.
Учетная информация с использованием ведения журнала системных событий (syslog).
Прозрачная поддержка всех основных сетевых услуг, таких как World Wide Web (WWW), File Transfer Protocol (FTP), Telnet, Archie, Gopher.
Поддержка приложений мультимедиа, включая Progressive Networks RealAudio & ReadVideo, Xing StreamWorks, White Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnet VDOLive, Microsoft NetShow и VXtreme Web Theater.
Поддержка взаимодействий Microsoft Networking сервер — клиент, Oracle SQL Net сервер — клиент.
Безопасная встроенная операционная система реального времени.
Нет необходимости обновления ПО на рабочих станциях и маршрутизаторах.
Полный доступ к ресурсам сети Интернет для зарегистрированных пользователей внутренней сети.
Совместимость с маршрутизаторами, работающими под управлением Cisco IOS™
Поддержка видеоконференций по протоколу Н.323, включая Microsoft NetMeeting, Intel Internet Video Phone и White Pine Meeting Point.
Несколько возможных вариантов программной и аппаратной комплектации.
Средства централизованного администрирования.
Оповещение о важных событиях на пейджер или по электронной почте.
Поддержка интерфейсов Ethernet, Fast Ethernet, Token Ring и FDDI.
Поддержка виртуальных частных сетей (Virtual Private Network) с использованием стандартной технологии IPSec.
Высокая производительность.
Интеграция с другими решениями компании Cisco, например, с сервером идентификации пользователей Cisco Secure ACS.
|
