Рис. 1 Cisco PIX Firewall
Серия продуктов Cisco PIX Firewall предоставляет высокую степень защищенности и производительности для корпоративных сетей предприятий. Эти продукты позволяют надежно защитить вашу внутреннюю сеть от внешнего мира - обеспечивая полную защиту. В отличие от обычных загружающих процессор proxy-серверов, Cisco PIX Firewall основан не на UNIX системе, а на защищенной, встроенной системе реального времени. Серия Cisco PIX Firewall позволяет обслуживать более чем 16000 одновременных соединений, что значительно больше чем у систем основанных на ОС общего назначения.
Рис. 1 Cisco PIX Firewall
Если вы захотите расширить вашу систему, вам не придется переходить на другую платформу, сегодня PIX Firewall поддерживает до трех сетевых интерфейсов. Для упрощения задая управления, Cisco PIX Firewall включает удобный в использовании Firewall Manager - средство для настройки и управления с интуитивным графическим интерфейсом. При помощи данного приложения администратор получает возможность простой настройки и редактирования централизованной системы защиты. А генерируемые отчеты позволят произвести анализ таких параметров, как попытки неавторизованного доступа, количество трафика и других параметров. Администратор сети может также отслеживать запросы Universal Resource Locator (URL) и определять какие Web узлы посещают пользователи наиболее часто. А путем установки пределов на различные параметры администратор может автоматически получить предупреждение о попытке проникновения в сеть.
В серии продуктов PIX на сегодняшний день имеется три модели:
Cisco Secure PIX 520, самая крупная в серии, предназначена для больших предприятий и сервис провайдеров, обеспечивает производительность до 385 Mbps с возможностью обслуживать до 250,000 одновременных соединений
Cisco Secure PIX 515 средняя модель предназначенная для малого бизнеса и удаленных подразделений. Обеспечивает производительность до 120 Mbps с возможностью обслуживать до 125,000 одновременных соединений
Cisco Secure PIX 506 новая модель серии предназначена для небольших организаций и домашних офисов. Обеспечивает производительность до 10 Mbps (при шифровании 3DES 7 Mbps).
Все три модели серии имеют встроенную поддержку шифрования IPSEC, позволяя организовывать VPN сети. Все модели могут управляться централизованно посредством PIX Configuration Manager и Cisco Secure Policy Manager, который поддерживает управление до 500 PIX.
Сердце высокопроизводительного Cisco PIX Firewall - это защитная схема основанная на алгоритме адаптивной защиты (adaptive security algorithm - ASA), который эффективно защищает внутреннюю сеть от назаконного доступа. Надежный, ориентированный на соединение ASA алгоритм строит защиту на основе данных о потоке: адреса источника и приемника пакета, номер TCP последовательности, номер порта, и дополнительные TCP флаги. Эта информация накапливается в таблице, и все входящие и исходящие пакеты проверяются на совпадение с записями таблицы. Доступ через Cisco PIX Firewall разрешается только в том случае, если подходящее соединение существует, что обеспечивает внутренних пользователей и авторизованных внешних пользователей прозрачным доступом к ресурсам внутренней сети организации, и защищает от несанкционированного доступа.
Cisco PIX Firewall поддерживает более чем 16,000 одновременных соединений, что позволяет обслуживать тысячи пользователей, без потери производительности. Полностью загруженный Cisco PIX Firewall (модель PIX10000) работает на скорости более чем 90 мегабит в секунду (Mbps), обслуживая два T3 канала. Эти скорости значительно выше чем у систем построенных на базе ОС общего применения.
Cisco PIX Firewall обеспечивает такую производительность благодаря возможности улучшенной аутентификации, названной cut-through proxy. Некоторые основанные на UNIX proxy серверы, могут обеспечить аутентификацию пользователей и обработку состояния (информацию о источнике и приемнике пакета) для обеспечения секретности, но их производительность уменьшается за счет того, что они обрабатываю все пакеты на прикладном уровне модели OSI, что крайне требовательно к ресурсам процессора.
Особенность cut-through proxy , с одной стороны, взаимодействует с пользователем, на начальном этапе, на прикладном уровне, как и proxy сервер. Но после аутентификации пользователя, произведенной через стандартную систему Terminal Access Controller Access Control System Plus (TACACS+) или Remote Authentication Dial-In User Service (RADIUS), Cisco PIX Firewall сдвигает поток данных. Весь трафик теперь направляется напрямую между двумя клиентами, но состояние соединения по прежнему отслеживается и защищенность, по сравнению с обычными proxy-firewal,l не уменьшается. Эта особенность позволяет Cisco PIX Firewall достич значительно большей производительности по сравнению с proxy серверами. Для многих организаций, cut- through proxy также позволяет использовать уже существующие базы пользователей TACACS+ или RADIUS используемые для серверов доступа. Cisco Systems также предлагает продукт для управления авторизацией пользователей: CiscoSecure - сервер контроля доступа.
Обеспечивая высокий уровень производительности, встроенная система реального времени также увеличивает защищенность всего продукта. Хотя UNIX системы это идеальные открытые системы разработки с широко доступными исходными текстами, такие системы общего применения обеспечивают меньшую степень производительности и секретности. Cisco PIX Firewall был разработан специально для создания высокопроизводительной, защищенной системы.
Для обеспечения еще больщей надежности Cisco PIX Firewall имеет возможность работать в режиме горячей замены. Если два PIX Firewall будут включены параллельно, то при выходе из строя одного из них, второй станет выполнять все функции возложенные на первое устройство.
Администраторы сети используя программу Firewall Manager смогут легко настраивать и управлять несколькими PIX Firewall. Общая стратегия защиты может быть выражена всего в шести командах.
Для упрощения настройки, вам нужно иметь поддерживающий Java browser для доступа к Firewall Manager, который работает на Windows NT системе. После прохождения процедуры регистрации, вы увидите графическое представление всех PIX Firewall имеющихся в вашей сети. В другом окне появится список возможных конфигурационных команд. После выбора нужного Cisco PIX Firewall, вы можете выбрать необходимую конфигурационную функцию и приступить к настройке устройства. Для тех кто знаком с интерфейсом командной строки, применяемом в маршрутизаторах Cisco, остается возможность настроить устройство через командную строку.
Firewall Manager также позволяет анализировать и собирать статистику по активности Cisco PIX Firewall. Вы сможете сгенерировать отчет с такой информацией как: дата и время соединения, общее время соединения, количество байт и пакетов переданных и принятых пользователем, распределение приложений (по портам), и другие важные данные.
Для ведения защищенной работы с базами данных, PIX Firewall позволяет приложениям Oracle SQL*Net клиент/сервер взаимодействовать через firewall (как с адресной трансляцией, так и без нее). такая возможность позволит удаленным пользователям безопасно работать с базами данных расположеннвми ы защищенной сети.
Для обеспечения защиты от Java программ, PIX Firewall включает фильтр Java программ. Используя этот фильтр, вы сможете блокировать загрузку таких программ и уменьщить риск нападения.
Еще одно средство контроля содержимого входых данных - Mail Guard, особенность, которая позволяет производить защищенную передаяу почтовых сообщений напрямую во внутреннюю сеть - убирая необходимость в дорогом почтовом ретрансляторе. Mail Guard позволяет устанавливать соединение с внутренним почтовым сервером только через 25 TCP порт. Он фиксирует все пересылки и команды протокола Simple Mail Transfer Protocol (SMTP), и позволяет выполнение только минимально требуемых команд описанных в RFC 821, раздел 4.5.1.
Шифрование данных предоставляет необходимый контроль за содержанием пакетов. Используя Cisco PIX Private Link карту шифрования, компании смогут строить виртуальные частные сети (virtual private networks - VPNs) связывая свои филиалы через публичные и незащищенные сети, такие как иетернет. Такая связь значительно дешевле чем стоимость выделенных линий. Используя Cisco PIX Private Link encryption карту, каждый филиал имеющий PIX Firewall, сможет устраивать защищенные соединения через интернет с 256 удаленными точками. Карта шифрования использует алгоритм шифрации - Data Encryption Standard (DES) и протоколы Internet Engineering Task Force's (IETF's) Authentication Header/Encapsulating Security Payload
(AH/ESP) (RFCs 1826 и 1827, соответственно).
Cisco PIX Firewall позволяет также расширять и изменять IP сети не беспокоясь о нехватке IP адресов. Трансляция сетевых адресов (Network address translation - NAT) позволяет использовать для внутренних сетей любые адреса, даже зарезервированные Internet Assigned Numbers Authority's (IANA's) (RFC 1918). PIX Firewall позволяет также смашивать транслируемые и не транслируемые адреса, по необходимости. Cisco заверяет что NAT работает со всеми другими возможностями PIX Firewal, такими как поддержка мультимедиа приложений.
Cisco PIX Firewall поддерживает также трансляцию адресов на уровне порта - port address translation (PAT) с "port-level multiplexing" - метод дальнейшего уменьшения зарегистрированных IP адресов. PAT позволяет всем пользователям внутренней сети работать с интернет через один зарегистрированный IP адрес (используются различные номера портов, для распознавания отдельных сессий). Более 64,000 внутренних станций могут обслуживаться одним внешним адресом, при помощи PAT.
Но что случится если незарегистрированные адреса перекроются с областью разрешенных IP адресов ? Net Aliasing разрешит эту проблему и направит данные по нужному направлению.
