РIХ Firewall
Зміст
Міжмережевий екран РIХ Firewall
Міжмережевій екран Cisco Private Internet Exchange (PIX) Firewall дозволяє реалізовувати захист корпоративних мереж на недосяжному раніше рівні, маючи при цьому високу простоту в експлуатації. PIX Firewall може забезпечувати абсолютну безпеку внутрішньої мережі, повністю приховати її від зовнішнього світу. На відмінну від загальних proxy-серверів, які виконують обробку кожного мережевого пакету окремо від суттєвого заваниаження центрального процесора, PIX Firewall використовує спеціальну не UNIX-подібну операційну систему реального часу, забезпечуючу більш високу продуктивність.
Основою високої продуктивності міжсіткового екрану PIX Firewall є схема захисту, базуючись на використанні алгоритму адаптивної безпеки (adaptive security algorithm - ASA), який ефективно приховує адреси користувачів від хакерів. Цей стійкий алгоритм забезпечує безпеку на рівні з'єднання на основі контролю інформації про адреси відправника і одержувача, послідовності нумерації пакетів TCP, номери портів і додаткові флаги TCP. Ця інформація зберігається в таблиці, перевірку на відповідність з записами якої проходят всі вхідні пакети. Доступ через PIX дозволено тільки в том випадку, якщо з'єднання успішно пройшло ідентифікацію. Цей метод забезпечує прозорий доступ для внутрішніх користувачів і авторизованих зовнішніх користувачів, повністю захищаючи внутрішню мережу від несанкціонованого доступу.
Завдяки технології "наскрізного посередника" (Cut-Through Proxy) міжмережевий екран Cisco PIX Firewall також забезпечує сутєві переваги в використанні порівняно з екранами-"посередниками" на базі ОС UNIX. Як і прості proxy-сервера, PIX контролює установку з'єднання на рівні додатка. Після успішного проходження користувачем авторизації доступу відповідно з принятими правилами безпеки PIX забезпечує контроль потоку даних між абонентами на рівні сессії. Така технологія дозволяє міжмережевому екранові PIX працювати набагато швидше, ніж прості proxy-екрани.
Завдяки підвищенню продуктивності, додаток спеціалізованої вмонтованої операційної системи реального часу також забезпечує піднімання рівня безпеки. На відміну від операційних систем сімейства UNIX, даний текст яких широко доступний, Cisco PIX - власна розробка компанії, створена спеціально для рішення задач забезпечення безпеки.
Для підняття надійності міжмережевий екран PIX Firewall передбачає можливість встановлення в здвоєній конфігурації в режимі "гарячого резервування", за рахунок чого в мережі виключається наявнысть єдиної точки можливого збою. Якщо два PIX-екрани будуть працювати в паралельному режимі й один з них вийде з ладу, то другий у прозорому режимі "підхоплюючого" виконання всіх функцій забезпечення безпеки.
Висока продуктивність
Міжмережевий екран Cisco PIX Firewall підтримує більше 256 тисяч одночасних з'єднань і, відповідно, забезпечує підтримку сотень і тисяч користувачів без зниження продуктивності. Повністю завантажений FIX Firewall забезпечує пропускну здатність до 240 Мбіт/с, тобто набагато вище за любий міжмережевий екран, на базі ОС UNIX або ОС Microsoft Windows NT.
Низька вартість використання і впровадження
Користувачі, що не мають спеціальної підготовки, можуть настроїти PIX менш ніж за 5 хвилин. Для спрощеня подальшої настройки, в комплект поставки PIX Firewall входит проста у використані графічна оболонка Security Manager. Cisco також пропонує адаптер шифрування Cisco PIX Private Link encryption card. При встановлені цього адаптера в PIX Firewall забезпечується можливість передачі через IP-мережі загального користування, наприклад, Інтернет, закодованих IP-пакетів із використанням стандартної технології IPSec і протоколів IETF, наприклад, АН (Authentication Header) і ESP (Encapsulating Security Payload).
Рішення проблеми недостачі IP-адрес
Міжмережевий екран Cisco PIX Firewall також дозволяє уникнути проблеми недостачі адрес при розширенні і зміні IP-мереж. Технологія трансляції мережевих адрес Network Address Translation (NAT) робить можливим використання в приватній мережі як існуючих адрес, так і резервних адресних просторів. PIX також можна налаштувати для загального використання транслюючих і не транслюючих адрес, дозволючи використовувати як адресний простір приватної IP-мережі, так і зареєстровані IP-адреси.
Основні можливості
Чітка система захисту від несанкціонованого доступу на рівні з'єднання забезпечує безпеку ресурсів внутрішньої мережі.
Технологія Cut Through Proxy дозволяє контролювати як вхідні, так і вихидні з'єднання на базі таких протоколів безпеки, як Terminal Access Controller Access Control System (TACACS) або Remote Access Dial-In User Service(RADIUS).
До шести мережевих інтерфейсів для розширення правил захисту.
Графічний інтерфейс адміністратора Security Manager презначений, для настройки до 100 міжмережевих екранів PIX з єдиною консолі.
Динамічна і статична трансляції адрес.
Підтримка протоколу мережевого управління SNMP.
Текуча інформація з використанням ведення журналу системних подій (syslog).
Прозора підтримка всіх основних мережевих послуг, таких як World Wide Web (WWW), File Transfer Protocol (FTP), Telnel, Archie, Gopher.
Підтримка мультимедіа додатків, включаючи Progressive Networks RealAudio & Read-Video, Xing StreamWorks, White Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnet VDOLive, Microsoft NetShow і VXtreme Web Theater.
Безпечна вмонтована операційна система реального часу.
Відсутня необхідність обновлення ПЗ на робочих станціях і маршрутизаторах.
Повний доступ до ресурсів мережі Інтернет для незареєстрованих користувачів внутрішньої мережі.
Сумісність з маршрутизаторами, працюючими під управлінням Cisco IOS™.
Підтримка відеоконференцій по протоколу Н.323, включаючи Microsoft NetMeeting, Intel Internet Video Phone и White Pine Meeting Point.
Декілька можливих варіантів програмної та апаратної комплектації.
Засоби централізованого адміністрування.
Повідомлення про важливі події на пейджер або по електронній пошті.
Підтримка інтерфейсів Ethernet, Fast Ethernet, Token Ring и FDDI.
Підтримка віртуальних власних мереж (VirTual Private Network) із використанням стан-дартної технології IPSec.
Висока продуктивність.
Інтеграція з іншими рішеннями компанії Cisco, наприклад, із сервером ідентифіка-ції користувачів CiscoSeсure.