Hardware-basierte Firewalls PIX und GUI

Der folgende Abschnitt befasst sich mit einigen der Hardware-basierten Firewalls und die Vorteile, die sie anbieten, darunter Cisco Private Internet Exchange (PIX), Juniper NetScreen, SonicWall, und Nokia Security Platform (NSP) Firewalls. Es berührt dann auf andere Hardware-basierten Firewalls (z. B. mit Routern als Packet-Filter). Einige Hersteller bieten zusätzliche Geräte, die mit Firewalls, um Daten bei der Übertragung zu schützen (zB virtuelles privates Netzwerk [VPN] Geräte, Content-Filter (Anti-Phishing, Anti-Spam-und Virenschutz), und Inhalte blockiert (zB Universal Resource Locator [URL] Filterung / Reverse-Proxy). Dieser Abschnitt konzentriert sich ausschließlich auf den Firewalls von diesen Unternehmen angeboten.

PIX

Cisco PIX-Firewalls bieten Weltklasse-Sicherheit und hohe Leistung und Zuverlässigkeit, und ein Teil der Unternehmen und Service Provider-Netzwerke seit 1995. Cisco PIX Firewalls passen in eine breite Palette von IT-Umgebungen von Small Office / Home Office (SOHO)-Umgebungen, große Unternehmen und Service Provider. Mit der Unterstützung für komplexe Protokolle, die neuesten VPN-Technologien und Intrusion-Detection-Funktionen, PIX Firewalls sind führend in der Markt und haben die größte Einsatz von Firewall.

Einführung

Cisco Firewalls verwenden ein proprietäres Betriebssystem und Kommando language.Version 7.0 der PIX OS hat einige neue Features in die Cisco-Produktlinie (zB Switches und Router). Ein neues Feature ist die Sicherheit Zonen innerhalb einer einzigen Oberfläche. In früheren Versionen wurden Sicherheitszonen um die Anzahl der physischen Netzwerk-Schnittstellen ein Gerät beschränkt hatte. Nun kann eine einzige Schnittstelle in mehrere Sicherheitszonen aufgeteilt werden. Active / Active-Failover-Gerät ist auch eine Option; bisher nur aktive / passive angeboten wurde. Version 7.0 führte auch das Adaptive Security Device Manager (ASDM), die eine nützliche grafische ist Werkzeug verwendet für die Verwaltung der PIX. Die tatsächlichen physischen Gerät läuft auf Flash-Speicher, so dass nur die beweglichen Teile der fans.This sind verbessert die Zuverlässigkeit der PIX, weil es keine Festplatten zum Scheitern verurteilt sind. Modelle 515 und höher sind in der Regel erweiterbar, sowohl im Interface-Nummer und Speichergröße.

Command Line Interface (CLI) vs Graphical User Interface (GUI)

Während die GUI ist attraktiv für viele Windows-und Mac-Administratoren (und sogar einige Linux-Administratoren), Benutzerfreundlichkeit, ist begrenzt. Die CLI bietet die Möglichkeit, eine Reihe von Befehlen in eine Textdatei Eingabe und Bestätigung der Bestellung und Konfiguration, kopieren und fügen Sie ihn in ein Befehlsfenster, und führen Sie sie alle beim ersten Mal richtig. Darüber hinaus liest der CLI-Flat-File-Konfiguration ist wesentlich einfacher als bei der Suche durch verschiedene Fenster, und es ist durchsuchbar. Wo habe ich diese besondere Nutzung Internet Protocol (IP)-Adresse? Welche Objekt-Gruppe hatte ich in diesem Access-Liste? Diese Antworten sind viel leichter zu finden in einer Textdatei. Ein GUI kann sehr nützlich sein für den Übergang access-list Linien, oder das Hinzufügen einer einzigen Internet-Protokoll (IP) oder Port, um ein Objekt-Gruppe. Die PIX GUI verfügt über eine hervorragende Schnittstelle für die Kontrolle der Firewall Statistiken, komplett mit farbigen Grafiken zeigt das Gerät die Gesundheit. Beide Schnittstellen haben ihre Stärken. Nicht zu vernachlässigen ist ein für die anderen, lernen sie beide. Dies gilt für alle Firewalls mit beiden Schnittstellen, nicht nur die PIX.

Embedded OS

Cisco OS Upgrade / Update Warnung

Neben dem Lernen der neuen Befehle, ist es wichtig, jede Veröffentlichung sorgfältig prüfen und festzustellen, ob es notwendig zu aktualisieren. Lesen Sie die Versionshinweise sorgfältig durch und prüfen Sie, ob eine der Lösungen zu Ihrem Umfeld anzuwenden. Werden die neuen Funktionen von Nutzen sein? Sind Sicherheitsupdates erforderlich sind, um entweder Ihre Firewall zu schützen, oder Ihr internes Netzwerk? Am wichtigsten ist, das Internet-Diskussionsgruppen für mögliche Probleme mit einem Update / Upgrade. Entdeckte ich durch schmerzhafte eigener Erfahrung, dass PIX Version 7.1 (2) hatte einen Fehler, dass alle Netzwerkverbindungen über die Firewall in regelmäßigen Abständen gelöscht und dann wieder es über einen Zeitraum von etwa 5 Minuten. Version 7.1 (2) 4 das Problem gelöst, aber es war erst nach Rücksprache mit den anderen PIX Administratoren und einen Aufruf zur Unterstützung von Cisco-Team, dass ich die aktualisierte Version gefunden. Ciscos Support-Team sagte, ich solle mit 7,0 übernachtet haben (2) . Cisco erste Frage in Bezug auf jegliche Unterstützung Anruf über ein Update ist: "Warum haben Sie aktualisieren?" Wenn es die Sicherheit ist kein Problem, ist das Funktionieren PIX, und Sie brauchen keine neue Funktionalität, gelten nicht eins zu aktualisieren.

Die Adaptive Security Algorithm

Das Herz der PIX ist die Adaptive Security Algorithm (ASA). Die ASA ist ein Mechanismus verwendet, um festzustellen, ob Pakete über die Firewall sollte bestanden, wenn sie mit den Angaben zur Kontrolle des Informationsflusses in der Access Control List (ACL) umgesetzt Tabelle in Einklang stehen werden, . Die PIX bewertet Paketinformationen gegen einen Staat entwickelt und entscheidet, ob er das Paket an. ASA können Besucher auf einer höheren Sicherheitsstufe auf eine niedrigere Sicherheitsstufe fließen, es sei denn, access-list modifiziert werden. Formal ist das Handbuch Hinweise:

- Keine Pakete können die PIX Firewall passieren, ohne eine Verbindung und Staat.

- Outbound-Verbindungen oder Staaten sind erlaubt, mit Ausnahme der ausdrücklich von ACLs verweigert. Eine ausgehende Verbindung liegt vor, wenn der Urheber oder der Client auf eine höhere Sicherheit als Schnittstelle des Empfängers oder Server.

- Inbound-Verbindungen oder Staaten, mit Ausnahme der ausdrücklich erlaubt, verwehrt wird. Eine eingehende Verbindung oder ein Staat ist, wenn der Urheber oder der Client auf eine geringere Sicherheit als Netzwerk-Schnittstelle oder den Empfänger oder Server. Mehrere Ausnahmen können auf eine einzige Übersetzung (xlate), mit dem Sie erlauben den Zugriff von einem beliebigen Computer, Netzwerk, oder jedem Rechner über das Internet an den Host der xlate festgelegten Voraussetzungen angewandt werden.

- Alle Internet Control Message Protocol (ICMP) verweigert werden, wenn nicht ausdrücklich erlaubt.

- Alle Versuche, den früheren Regelungen zu umgehen sind dropped.A Nachricht erzeugt und in eine Management-Gerät gesendet werden (z. B. lokalen Puffer, Simple Network Management Protocol (SNMP)-Trap, Syslog, Konsole), je nach Schwere des Versuchs und der lokale Konfiguration. (Normal-Verkehr auch auslösen können, Protokollierung, wieder abhängig von der Konfiguration. Auf dem höchsten Debug-Modus, erzeugt jedes Paket eine Warnung aus.

Ein Artikel eingereicht von Yves D.

Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle.
Wichtig: Dieser Artikel "Hardware-basierten Firewalls PIX und GUI" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.