РIХ Firewall
Зміст
РIХ Firewall
Firewall Cisco Private Internet Exchange (PIX) Firewall дозволяє реалізовувати захист корпоративних мереж на недосяжному раніше рівні, маючи при цьому високу простоту в експлуатації. PIX Firewall може забезпечувати абсолютну безпеку внутрішньої мережі, повністю приховати її від зовнішнього світу. На відмінну від загальних proxy-серверів, які виконують обробку кожного мережевого пакету окремо від суттєвого завантаженого центрального процесора, PIX Firewall використовує спеціальну не UNIX-подібну операційну систему реального часу, забезпечуючу більш високу продуктивність.
Основою високої продуктивності PIX Firewall є схема захисту, базуючись на використанні алгоритму адаптивної безпеки (adaptive security algorithm - ASA), який ефективно приховує адреси користувачів від хакерів. Цей стійкий алгоритм забезпечує безпеку на рівні з'єднання на основі контролю інформації про адреси відправника і одержувача, послідовності нумерації пакетів TCP, номери портів і додаткові флаги TCP. Ця інформація зберігається в таблиці, перевірку на відповідність з записами якої проходять всі вхідні пакети. Доступ через PIX дозволено тільки в том випадку, якщо з'єднання успішно пройшло ідентифікацію. Цей метод забезпечує прозорий доступ для внутрішніх користувачів і авторизованих зовнішніх користувачів, повністю захищаючи внутрішню мережу від несанкціонованого доступу.
Завдяки технології "наскрізного посередника" (Cut-Through Proxy) Cisco PIX Firewall також забезпечує суттєві переваги в використанні порівняно з екранами-"посередниками" на базі ОС UNIX. Як і прості proxy-сервера, PIX контролює установку з'єднання на рівні додатка. Після успішного проходження користувачем авторизації доступу відповідно з прийнятими правилами безпеки PIX забезпечує контроль потоку даних між абонентами на рівні сесії. Така технологія дозволяє PIX Firewall працювати набагато швидше, ніж прості proxy-екрани.
Завдяки підвищенню продуктивності, додаток спеціалізованої вмонтованої операційної системи реального часу також забезпечує підняття рівня безпеки. На відміну від операційних систем сімейства UNIX, даний текст яких широко доступний, Cisco PIX - власна розробка компанії, створена спеціально для рішення задач забезпечення безпеки.
Для підняття надійності PIX Firewall передбачає можливість встановлення здвоєній конфігурації в режимі "гарячого резервування", за рахунок чого в мережі виключається наявність єдиної точки можливого збою. Якщо два PIX-екрани будуть працювати в паралельному режимі й один з них вийде з ладу, то другий у прозорому режимі "підхоплюючого" буде виконувати всіх функцій забезпечення безпеки.
Висока продуктивність
Cisco PIX Firewall підтримує більше 256 тисяч одночасних з'єднань і, відповідно, забезпечує підтримку сотень і тисяч користувачів без зниження продуктивності. Повністю завантажений FIX Firewall забезпечує пропускну здатність до 240 Мбіт/с, тобто набагато вище за будь-який firewall, на базі ОС UNIX або ОС Microsoft Windows NT.
Низька вартість використання і впровадження
Користувачі, що не мають спеціальної підготовки, можуть настроїти PIX менш ніж за 5 хвилин. Для спрощення подальшого налаштування, в комплект поставки PIX Firewall входить проста у використані графічна оболонка Security Manager. Cisco також пропонує адаптер шифрування Cisco PIX Private Link encryption card. При встановлені цього адаптера в PIX Firewall забезпечується можливість передачі через IP-мережі загального користування, наприклад, Інтернет, закодованих IP-пакетів із використанням стандартної технології IPSec і протоколів IETF, наприклад, АН (Authentication Header) і ESP (Encapsulating Security Payload).
Рішення проблеми недостачі IP-адрес
Cisco PIX Firewall також дозволяє уникнути проблеми недостачі адрес при розширенні і зміні IP-мереж. Технологія трансляції мережевих адрес Network Address Translation (NAT) робить можливим використання в приватній мережі як існуючих адрес, так і резервних адресних просторів. PIX також можна налаштувати для загального використання транслюючих і не транслюючих адрес, дозволяючи використовувати як адресний простір приватної IP-мережі, так і зареєстровані IP-адреси.
Основні можливості
Чітка система захисту від несанкціонованого доступу на рівні з'єднання забезпечує безпеку ресурсів внутрішньої мережі.
Технологія Cut Through Proxy дозволяє контролювати як вхідні, так і вихідні з'єднання на базі таких протоколів безпеки, як Terminal Access Controller Access Control System (TACACS) або Remote Access Dial-In User Service(RADIUS).
До шести мережевих інтерфейсів для розширення правил захисту.
Графічний інтерфейс адміністратора Security Manager призначений, для налаштування до 100 PIX Firewall з єдиною консолі.
Динамічна і статична трансляції адрес.
Підтримка протоколу мережевого управління SNMP.
Текуча інформація з використанням ведення журналу системних подій (syslog).
Прозора підтримка всіх основних мережевих послуг, таких як World Wide Web (WWW), File Transfer Protocol (FTP), Telnel, Archie, Gopher.
Підтримка мультимедіа додатків, включаючи Progressive Networks RealAudio & Read-Video, Xing StreamWorks, White Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnet VDOLive, Microsoft NetShow і VXtreme Web Theater.
Безпечна вмонтована операційна система реального часу.
Відсутня необхідність обновлення ПЗ на робочих станціях і маршрутизаторах.
Повний доступ до ресурсів мережі Інтернет для незареєстрованих користувачів внутрішньої мережі.
Сумісність з маршрутизаторами, працюючими під управлінням Cisco IOS™.
Підтримка відеоконференцій по протоколу Н.323, включаючи Microsoft NetMeeting, Intel Internet Video Phone и White Pine Meeting Point.
Декілька можливих варіантів програмної та апаратної комплектації.
Засоби централізованого адміністрування.
Повідомлення про важливі події на пейджер або по електронній пошті.
Підтримка інтерфейсів Ethernet, Fast Ethernet, Token Ring и FDDI.
Підтримка віртуальних власних мереж (VirTual Private Network) із використанням стандартної технології IPSec.
Висока продуктивність.
Інтеграція з іншими рішеннями компанії Cisco, наприклад, із сервером ідентифікації користувачів CiscoSeсure.
