г. Новосибирск,
м/р Горский, 61		 (383) 3-555-980
многоканальный
  • Домашняя
  • e-mail
  • Карта сайта
Компания Каталог Решения Проекты Техсаппорт Контакты
 
 
 
 

Межсетевые экраны
17 января, 2010

Cisco Secure PIX Firewall

Межсетевой экран Cisco Secure PIX Firewall позволяет реализовать защиту корпоративных сетей на недостижимом ранее уровне, сохраняя простоту эксплуатации. PIX Firewall может обеспечить абсолютную безопасность внутренней сети, полностью скрыв ее от внешнего мира.
Описание на сайте производителя: http://www.cisco.com/go/pix/

В отличие от обычных прокси-серверов, выполняющих обработку каждого сетевого пакета в отдельности с существенной загрузкой центрального процессора, PIX Firewall использует специальную не UNIX - подобную операционную систему реального времени, обеспечивающую более высокую производительность.

Основой высокой производительности межсетевого экрана PIX Firewall является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности ( Adaptive Security Algorithm — ASA ), который эффективно скрывает адреса пользователей от злоумышленников. Этот устойчивый алгоритм обеспечивает безопасность на уровне соединения на основе контроля информации об адресах отправителя и получателя, последовательности нумерации пакетов TCP , номерах портов и добавочных флагах TCP . Эта информация сохраняется в таблице, проверку на соответствие с записями которой проходят все входящие пакеты. Доступ через PIX разрешен только в том случае, если соединение успешно прошло идентификацию. Этот метод обеспечивает прозрачный доступ для внутренних пользователей и авторизованных внешних пользователей, при этом полностью защищая внутреннюю сеть от несанкционированного доступа.
Благодаря применению технологии «сквозного посредника» ( Cut - Through Proxy ) межсетевой экран Cisco PIX Firewall также обеспечивает существенное преимущество в производительности по сравнению с экранами-«посредниками» на базе ОС UNIX . Как и обычные прокси-серверы, PIX контролирует установление соединения на уровне приложения. После успешного прохождения пользователем авторизации доступа в соответствии с принятыми правилами безопасности PIX обеспечивает контроль потока данных между абонентами на уровне сессии. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные прокси-экраны.

Помимо повышения производительности, применение специализированной встроенной операционной системы реального времени также обеспечивает повышение уровня безопасности. В отличие от операционных систем семейства UNIX , исходный текст которых широкодоступен, Cisco PIX — собственная разработка компании, созданная специально для решения задач обеспечения безопасности.

Для повышения надежности межсетевой экран PIX Firewall предусматривает возможность установки в сдвоенной конфигурации в режиме «горячего» резервирования, за счет чего в сети исключается наличие единой точки возможного сбоя. Если два PIX -экрана будут работать в параллельном режиме и один из них выйдет из строя, то второй в прозрачном режиме «подхватит» исполнение всех функций обеспечения безопасности.

Высокая производительность
Межсетевой экран Cisco Secure PIX Firewall поддерживает более 500 тыс. одновременных соединений и, соответственно, обеспечивает поддержку сотен и тысяч пользователей без снижения производительности. Полностью загруженный PIX Firewall может обеспечить пропускную способность более 1 Гбит/с, т. е. существенно выше, чем любой межсетевой экран на базе ОС UNIX или ОС Microsoft Windows.

Простота использования
Пользователи, не имеющие специальной подготовки, могут быстро настроить FIX Firewall с помощью простой графической оболочки FIX Device Manager ( PDM ), доступ к которой осуществляется с помощью обычного web - браузера. PDM — это приложение, использующее web -сервер, встроенный в PIX , и поддерживающее основной набор команд, необходимый для начальной настройки межсетевого экрана.
PDM позволяет настраивать PIX практически с любого компьютера, для защиты устройства от «взлома» во время конфигурирования пользователь может использовать протокол SSL .

Решение проблемы нехватки IP адресов
Межсетевой экран Cisco Secure PIX Firewall также позволяет избежать проблемы нехватки адресов при расширении и изменении IP сетей. Технология трансляции сетевых адресов Network Address Translation ( NAT ) делает возможным использование в частной сети как существующих адресов, так и резервных адресных пространств. Например, это позволяет использовать всего лишь один реальный внешний IP адрес для 64 тысяч узлов внутренней частной сети. PIX также может быть настроен для совместного использования транслируемых и нетранслируемых адресов, позволяя использовать как адресное пространство частной IP сети, так и зарегистрированные IP адреса.

Основные характеристики межсетевых экранов Cisco PIX

 

Cisco PIX
501

Cisco PIX
506E

Cisco PIX
515E

Cisco PIX
525

Cisco PIX
535

Количество одновременно поддерживаемых соединений

7 500

25 000

130 000

280 000

500 000

Количество VPN сессий

10

25

2000

2000

2000

Максимальная производительность (cleartext)

60 Mbps

100 Mbps

188 Mbps

330 Mbps

1.7 Gbps

Производительность при шифровании 168-bit 3DES IPsec VPN

3 Mbps

17 Mbps

Up to 140 Mbps with VAC+

Up to 155 Mbps with VAC+

Up to 440 Mbps with VAC+

Производительность при шифровании 128-bit AES IPsec VPN

4.5 Mbps

30 Mbps

Up to 135 Mbps with VAC+

Up to 165 Mbps with VAC+

Up to 535 Mbps with VAC+

Фиксированные интерфейсы

1 порт 10BaseT Ethernet , 4 коммутируемых порта 10/100BaseT

2 порта 10BaseT Ethernet

2 порта 10/100 Fast Ethernet

2 порта 10/100 Fast Ethernet

2 порта 10/100 Fast Ethernet

Максимальное количество интерфейсов

1 порт 10BaseT Ethernet , 4 коммутируемых порта 10/100BaseT

2 порта 10/100BaseT Ethernet

До 6 портов 10/100 Fast Ethernet

До 8 портов 10/100 Fast Ethernet или 3 Gigabit Ethernet

До 10 портов 10/100 Fast Ethernet или 9 Gigabit Ethernet

Процессор

133-MHz AMD SC520

300-MHz Intel Celeron

433-MHz Intel Celeron

600-MHz Intel Pentium III

1-GHz Intel Pentium III

Оперативная память (RAM)

16 MB of SDRAM

32 MB of SDRAM

32 MB or 64 MB of SDRAM

128 MB or 256 MB of SDRAM

512 MB or 1 GB of SDRAM

Flash

8 MB

8 MB

16 MB

16 MB

16 MB

Количество свободных PCI слотов

0

0

2

3

9

Исполнение

Настольный

Настольный

1 RU

2 RU

3 RU

Основные возможности

  • Строгая система защиты от несанкционированного доступа на уровне соединения обеспечивает безопасность ресурсов внутренней сети.
  • Технология Cut Through Proxy позволяет контролировать как входящие, так и исходящие соединения на базе таких протоколов безопасности, как Terminal Access Controller Access Control System ( TACACS+) или Remote Access Dial- InUser Service ( RADIUS).
  • Поддержка интерфейсов Ethernet, Fast Ethernet и Gigabit Ethernet (до 10).
  • Поддержка до 100 логических интерфейсов на основе виртуальных локальных сетей (VLAN 802. lq).
  • Динамическая и статическая трансляции адресов.
  • Поддержка протокола сетевого управления SNMP.
  • Учетная информация с использованием ведения журнала системных событий (syslog).
  • Прозрачная поддержка всех основных сетевых услуг, таких как WWW, FTP, Telnet, Archie, Gopher.
  • Поддержка протокола OSPF.
  • Поддержка протоколов сигнализации для передачи голоса поверх IP (VoIP): Н.323, SIP,MGCP, SCCP.
  • Поддержка мультимедиа приложений
  • Поддержка видеоконференций по протоколу Н .323
  • Поддержка взаимодействий клиент -сервер : Microsoft Networking, Oracle SQL*Net.
  • Безопасная встроенная операционная система реального времени.
  • Нет необходимости обновления ПО на рабочих станциях и маршрутизаторах.
  • Полный доступ к ресурсам сети Интернет для зарегистрированных пользователей внутренней сети.
  • Совместимость с маршрутизаторами, работающими под управлением ПО Cisco IOS™.
  • Несколько возможных вариантов программной и аппаратной комплектации.
  • Средства централизованного администрирования — Cisco Secure Policy Manager (теперь входит в состав Cisco Works VPN Security Management Solution).
  • Бесплатное встроенное ПО PIX Device Manager для управления устройством из графического пользовательского интерфейса.
  • Оповещение о важных событиях на пейджер или по электронной почте.
  • Поддержка виртуальных частных сетей (Virtual Private Network) с использованием стандартной технологии IPSec
  • Высокая производительность.
  • Интеграция с другими решениями компании Cisco, например, с сервером идентификации пользователей Cisco Secure ACS.

Подробное описание (англ.)

Cisco PIX Security Appliance Software Version 7.0 (.pdf, 112 kb)
Cisco PIX 501 Security Appliance (.pdf, 94 kb)
Cisco PIX 515E Security Appliance (.pdf, 124 kb)

© 2012
ООО Компания «Неман»
г. Новосибирск, м/р Горский, д. 61
(383) 3-555-980 (многоканальный)
sales@skneman.ru