Cisco PIX Firewall

Информация предоставлена "Р-Альфа"

Межсетевой экран PIX компании Cisco Systems относится к классу пакетных фильтров, использующих технологию контроля состояния (stateful inspection). Он позволяет контролировать доступ как из Интернет во внутреннюю сеть, так и наоборот.

Для настройки PIX можно использовать графическую оболочку, что облегчает и упрощает этот процесс. В отличие от обычных пакетных фильтров, PIX позволяет осуществлять аутентификацию пользователей. Для аутентификации используются протоколы TACACS+ и RADIUS, которые позволяют использовать для аутентификации как обычные UNIX пароли, так и систему одноразовых паролей S/Key.

PIX позволяет поддерживать до 16 000 одновременных TCP/IP соединений и обеспечивать пропускную способность до 90 Мбит/с. PIX построен на базе сетевой операционной системы CISCO IOS, что обеспечивает полную совместимость по протоколам и средствам мониторинга и управления с оборудованием CISCO, масштабируемость сетей, построенных на базе CISCO, привычный для администраторов CISCO маршрутизаторов интерфейс.

Основные свойства

Основные преимущества

Строгая защита

В основе работы PIX лежит алгоритм адаптивной защиты (ASA), который обеспечивает защиту соединений с контролем состояния. ASA отслеживает адреса источника и назначения, порядковые номера TCP соединений, номера портов и дополнительные TCP флаги для каждого пакета. Эта информация заносится в таблицу и все входящие и выходящие пакеты сравниваются со значениями в таблице. Это дает возможность прозрачной работы с Интернет внутренним пользователям и в то же время защищает внутреннюю сеть от несанкционированного доступа. Кроме того, в PIX используется встроенная система реального времени, которая по уровню защиты превосходит стандартные открытые системы вроде UNIX.

Аппаратная расширяемость

Строгая защита, обеспечиваемая операционной системой реального времени, дополняется возможностью расширения аппаратных возможностей. В первую очередь это возможность встраивания третьего сетевого интерфейса. Это позволяет разместить за ним доступные извне WWW сервера, почту, сервера доменных имен. Другим применением третьего интерфейса может быть размещение за ним серверов, которые фильтруют содержимое пакетов. Размещения этих приложений, тербующих значительных вычислительных ресурсов, на отдельной платформе, обеспечивает как высокий уровень защиты, так и высокую производительность.

Производительность системы аутентификации.

Межсетевые экраны PIX обеспечивают производительность намного выше, чем конкурирующие продукты. Высокая скорость обеспечивается за счет сквозных (cut-through) proxy. В отличие от обычных proxy серверов, которые анализируют каждый пакет на уровне приложений согласно семиуровневой модели OSI ( что отнимает много времени и ресурсов процессора), PIX запрашивает у сервера TACACS+ или RADIUS информацию для аутентификации. Когда пользователь ввел свое имя и PIX проверил права доступа, образуется прямое соединение между сторонами и контролируется только состояние сессии. Таким образом, производительность PIX благодаря сквозным proxy много выше, чем у обычных proxy-серверов.

Еще одним фактором, который тормозит работу обычных proxy-серверов является то, что для каждой TCP сессии последний должен запустить отдельный процесс. Если работают 300 пользователей, должно быть запущено 300 процессов, а эта процедура занимает значительные ресурсы процессора. PIX может поддерживать более 16000 сессий одновременно. При полной загрузке PIX модели 10000 поддерживает пропускную способность 90 Мбит/с ( два T3 канала)

Низкая удельная стоимость

Удельная стоимость PIX оказывается гораздо ниже, чем для большинства систем защиты. Во-первых, PIX благодаря наличию менеджера межсетевого экрана прост в установке и конфигурации, при этом сеть необходимо отключать только на непродолжительное время. Кроме того, PIX разрешает прозрачный доступ для мультимедийных приложений, что позволяет избежать модификации параметров рабочих станций - довольно неприятной процедуры.

Во-вторых, расширенные возможности по сбору статистики помогают понять и контролировать использование ресурсов. При помощи менеджера межсетевого экрана легко генерировать отчеты с описанием даты и времени соединения, полного времени соединения, статистики по пользователям (байты и пакеты), порты и другую важную информацию. Эти отчеты можно использовать в системе учета для различных подразделений.

В-третьих, сопровождение PIX достаточно дешево. Поскольку системы с proxy-серверами в основном базируются на UNIX платформах, компании должны содержать высокооплачиваемых специалистов. Кроме того, поскольку большинство предупреждений CERT (Computer Emergency Response Team ) имеют отношение к UNIX системам, компании должны затрачивать усилия для изучения этих предупреждений и инсталляции патчей. PIX базируется на небольшой, защищенной системе реального времени, не требующей серьезных ресурсов для сопровождения. Поскольку все программное обеспечение PIX загружается из FLASH памяти, не требуется жестких дисков, что обеспечивает более высокий срок службы и период времени между ошибками.

В-четвертых, межсетевые экраны PIX обеспечивают высокий уровень масштабируемости, поддерживая от 64 (минимум) до более чем 16000 одновременных соединений. Это позволяет защищать инвестиции пользователей, поскольку при росте компании можно заменить версию на более высокую.

В пятых, наличие сквозных proxy позволяет снизить затраты, время и деньги за счет использования базы данных сервера доступа компании, использующего TACACS+ или RADIUS.