19.09.2001, среда

Cisco Secure PIX Firewall

Межсетевой экран Cisco Secure Private Internet Exchange (PIX) Firewall позволяет реализовать защиту корпоративных сетей на недостижимом ранее уровне, обладая при этом высокой простотой в эксплуатации. PIX Firewall может обеспечить абсолютную безопасность внутренней сети, полностью скрыв ее от внешнего мира. В отличие от обычных proxy-серверов, выполняющих обработку каждого сетевого пакета в отдельности с существенной загрузкой центрального процессора, PIX Firewall использует специальную не UNIX-подобную операционную систему реального времени, обеспечивающую более высокую производительность.

Основой высокой производительности межсетевого экрана PIX Firewall является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности (adaptive security algorithm - ASA), который эффективно скрывает адреса пользователей от хакеров. Этот устойчивый алгоритм обеспечивает безопасность на уровне соединения на основе контроля информации о адресах отправителя и получателя, последовательности нумерации пакетов TCP, номерах портов и добавочных флагах TCP. Эта информация сохраняется в таблице, проверку на соответствие с записями которой проходят все входящие пакеты. Доступ через PIX разрешен только в том случае, если соединение успешно прошло идентификацию. Этот метод обеспечивает прозрачный доступ для внутренних пользователей и авторизованных внешних пользователей, при этом полностью защищая внутреннюю сеть от несанкционированного доступа.

Благодаря применению технологии "сквозного посредника" (Cut-Through Proxy) межсетевой экран Cisco PIX Firewall также обеспечивает существенное преимущество в производительности по сравнению с экранами-"посредниками" на базе ОС UNIX. Как и обычные proxy-серверы, PIX контролирует установление соединения на уровне приложения. После успешного прохождения пользователем авторизации доступа в соответствии с принятыми правилами безопасности PIX обеспечивает контроль потока данных между абонентами на уровне сессии. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные proxy-экраны

Помимо повышения производительности, применение специализированной встроенной операционной системы реального времени также обеспечивает повышение уровня безопасности. В отличие от операционных систем семейства UNIX, исходный текст которых широко доступен, Cisco PIX - собственная разработка компании, созданная специально для решения задач обеспечения безопасности.

Для повышения надежности межсетевой экран PIX Firewall предусматривает возможность установки в сдвоенной конфигурации в режиме "горячего резервирования", за счет чего в сети исключается наличие единой точки возможного сбоя. Если два PIX-экрана будут работать в параллельном режиме, и один из них выйдет из строя, то второй в прозрачном режиме "подхватит" исполнение всех функций обеспечения безопасности.

Высокая производительность
Межсетевой экран Cisco Secure PIX Firewall поддерживает более 500 тысяч одновременных соединений и, соответственно, обеспечивает поддержку сотен и тысяч пользователей без снижения производительности. Полностью загруженный PIX Firewall может обеспечить пропускную способность до 1.0 Гбит/с, т.е. существенно выше, чем любой межсетевой экран на базе ОС UNIX или ОС Microsoft Windows NT.

Простота использования обеспечивает низкую стоимость использования и сопровождения
Пользователи, не имеющие специальной подготовки могут быстро настроить с помощью простой графической оболочки PIX Device Manager (PDM), доступ к которой осуществляется с помощью обычного web browser-а. PDM - это приложение, использующее http сервер, встроенный в PIX и поддерживающее основной набор команд, необходимый для начальной настройки межсетевого экрана.
PDM позволяет настраивать PIX практически с любого компьютера, для защиты устройства от "взлома" во время конфигурирования пользователь может использовать протокол SSL .

Решение проблемы нехватки IP-адресов
Межсетевой экран Cisco Secure PIX Firewall также позволяет избежать проблемы нехватки адресов при расширении и изменении IP-сетей. Технология трансляции сетевых адресов Network Address Translation (NAT) делает возможным использование в частной сети как существующих адресов, так и резервных адресных пространств. Например, это позволяет использовать всего лишь один реальный внешний IP адрес для 64 тысяч узлов внутренней частной сети. PIX также может быть настроен для совместного использования транслируемых и не транслируемых адресов, позволяя использовать как адресное пространство частной IP-сети, так и зарегистрированные IP-адреса.

В настоящее время пользвателям предлагается три модели аппаратно-программных межсетевых экранов Cisco Secure PIX Firewall - PIX 506, 515 и 520:

Основные возможности

• Строгая система защиты от несанкционированного доступа на уровне соединения обеспечивает безопасность ресурсов внутренней сети
• Технология Cut Through Proxy позволяет контролировать как входящие, так и исходящие соединения на базе таких протоколах безопасности как Terminal Access Controller Access Control System (TACACS)+ или Remote Access Dial-In User Service (RADIUS)
• До шести сетевых интерфейсов для применения расширенных правил защиты
• Графический интерфейс администратора Security Manager предназначен для настройки до 100 межсетевых экранов PIX Firewall с единой консоли
• Динамическая и статическая трансляция адресов
• Поддержка протокола сетевого управления SNMP
• Учетная информация с использованием ведения журнала системных событий (syslog)
• Прозрачная поддержка всех основных сетевых услуг, таких как World Wide Web (WWW), File Transfer Protocol (FTP), Telnet, Archie, Gopher
• Поддержка приложений мультимедиа, включая Progressive Networks RealAudio & ReadVideo, Xing StreamWorks, White Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnet VDOLive, Microsoft NetShow и VXtreme Web Theater
• Поддержка взаимодействий Microsoft Networking сервер - клиент, Oracle SQL *Net сервер - клиент
• Безопасная встроенная операционная система реального времени
• Нет необходимости обновления ПО на рабочих станцях и маршрутизаторах
• Полный доступ к ресурсам сети Интернет для зарегистрированных пользователей внутренней сети
• Совместимость с маршрутизаторами, работающими под управлением Cisco IOS™
• Поддержка видеоконференций по протоколу H.323, включая Microsoft NetMeeting, Intel Internet Video Phone и White Pine Meeting Point
• Несколько возможных вариантов программной и аппаратной комплектации
• Средства централизованного администрирования
• Оповещение о важных событиях на пейджер или по электронной почте
• Поддержка интерфейсов Ethernet, Fast Ethernet, Token Ring и FDDI
• Поддержка виртуальных частных сетей (Virtual Private Network) с использованием стандартной технологии IPSec
• Высокая производительность
• Интеграция с другими решениями компании Cisco, например, с сервером идентификации пользователей CiscoSecure ACS

Вернуться на главную страницу обзора