Basado en hardware cortafuegos PIX y GUILa siguiente sección se examinan algunos de los servidores de seguridad basados en hardware y las ventajas que ofrecen, incluyendo Cisco Privado Internet Exchange (PIX), NetScreen de Juniper, SonicWall, y Nokia Security Platform (NSP) de servidores de seguridad. A continuación, toque en otro hardware basado en servidores de seguridad (por ejemplo, usando routers como filtros de paquetes). Algunos fabricantes ofrecen aparatos adicionales que funcionan con servidores de seguridad para proteger los datos en tránsito (por ejemplo, la red privada virtual [VPN] aparatos, filtrado de contenidos (anti-phishing, antispam y antivirus), y bloqueo de contenido (por ejemplo, Universal Resource Locator [URL] Filtro / proxy inverso). Esta sección se centra únicamente en los servidores de seguridad ofrecidos por estas empresas.
PIX Cisco PIX firewalls mundo ofrecen seguridad de alto nivel y altos niveles de rendimiento y fiabilidad, y han sido una parte de la empresa y redes de proveedores de servicios desde 1995. Cisco PIX firewalls encajan en una amplia gama de entornos, desde pequeña oficina / oficina en casa (SOHO) y grandes empresas y proveedores de servicios. Con soporte para protocolos complejos, las últimas tecnologías de VPN y funciones de detección de intrusiones, cortafuegos PIX son líderes en el mercado y tienen el más amplio despliegue de cualquier servidor de seguridad. Introducción Servidores de seguridad de Cisco utilizan un sistema operativo propietario y language.Version comando del sistema operativo 7.0 PIX introducido algunas nuevas características en la línea de productos Cisco (por ejemplo, los conmutadores y enrutadores). Una nueva característica es las zonas de seguridad dentro de una única interfaz. En versiones anteriores, las zonas de seguridad se limita al número de interfaces de red física de un dispositivo tenía. Ahora, una sola interfaz se puede dividir en varias zonas de seguridad. Activo / activo el dispositivo de conmutación por error también es una opción, anteriormente, sólo activo / pasivo que se ofrecía. La versión 7.0 también introduce el dispositivo de seguridad adaptable Manager (ASDM), que es una utilidad gráfica herramienta utilizada para la gestión del PIX. El dispositivo físico real que se ejecuta en la memoria flash de forma que las únicas partes móviles son la fans.This mejora la fiabilidad de los PIX, porque no hay unidades de disco duro al fracaso. Modelos 515 y superior son en general actualizable, tanto en número de interfaz y el tamaño de la memoria. Command Line Interface (CLI) vs interfaz gráfica de usuario (GUI)Mientras que la interfaz gráfica es atractiva para muchas ventanas y los administradores de Mac (e incluso algunos administradores de Linux), la facilidad de uso es limitado. El CLI ofrece la posibilidad de introducir un número de comandos en un archivo de texto, confirmar el pedido y configuración, copiar y pegar en una ventana de comandos, y ejecutar todas correctamente la primera vez. Además, la lectura del archivo de configuración de CLI plana es mucho más fácil que buscar a través de varias ventanas, y es consultable. ¿Dónde puedo usar este particular, el Protocolo de Internet (IP)? ¿Qué objeto grupo usé en esta lista de acceso? Estas respuestas son mucho más fáciles de encontrar en un archivo de texto. El GUI puede ser muy útil para mover las líneas de acceso a la lista, o la adición de un único protocolo de Internet (IP) o el puerto a un objeto de grupo. La GUI PIX tiene una interfaz excelente para comprobar las estadísticas de servidor de seguridad, completa con gráficos de color que indica la salud del dispositivo. Ambas interfaces tienen sus puntos fuertes. No descarte uno para el otro, aprender a ambos. Esto se aplica a todos los firewalls con ambas interfaces, no sólo el PIX. OS Embedded
Cisco OS Upgrade / Actualización de alertaAdemás de aprender los nuevos comandos, es vital para examinar de cerca cada lanzamiento y determinar si es necesario actualizar. Lea las notas y comprobar para ver si alguna de las correcciones que se aplican a su entorno. Funcionalidad nueva ser útil? Son correcciones de seguridad necesarias para proteger tanto su servidor de seguridad o de su red interna? Más importante aún, los grupos de búsqueda de Internet la discusión de cualquier problema potencial con una actualización / modernización. Descubrí a través de la experiencia personal dolorosa que PIX versión 7.1 (2) tenía un error que cayó toda la conectividad de red a través del servidor de seguridad en una base regular, y luego se restaura lo largo de un período de aproximadamente 5 minutos. Versión 7.1 (2) 4 resuelto el problema, pero no fue hasta después de consultar con otros administradores de PIX y una llamada al equipo de soporte de Cisco, que encontré la versión actualizada. Equipo de soporte de Cisco dijo que yo debería haberme quedado con el 7,0 (2) primera cuestión. Cisco sobre todo apoyo convocatoria relativa a una actualización, "¿Por qué actualizar?" Si no es un problema de seguridad, el PIX está funcionando, y no necesita la nueva funcionalidad, no aplicar una actualización. El algoritmo de seguridad adaptable El corazón del PIX es el algoritmo de seguridad adaptable (ASA). La ASA es un mecanismo utilizado para determinar si los paquetes deben pasar por el servidor de seguridad si son coherentes con la información política de control de flujo implementado en la lista de control de acceso (ACL) de mesa . El PIX evalúa la información de paquetes en contra de un estado desarrollado y decide si aprobar el paquete. ASA permite que el tráfico fluya de un mayor nivel de seguridad a un nivel inferior de seguridad, a no ser modificada por el acceso-la lista de comandos. Más formalmente, las notas de manual: - Ningún paquete puede atravesar el cortafuegos PIX sin una conexión y el estado. - Las conexiones de salida o de los estados están autorizados, excepto aquellos específicamente negado por ACL. Una conexión de salida es uno donde el autor o el cliente está en una interfaz de protección más alto que el receptor o servidor. - Las conexiones de entrada o de los estados, excepto aquellos específicamente autorizados, se les niega el acceso. Una conexión de entrada o de estado es aquel en el que el autor o el cliente está en una interfaz de menor seguridad o de red que el receptor o servidor. Múltiples excepciones se pueden aplicar a una única traducción (xlate), que le permite permitir el acceso de una máquina arbitraria, red o cualquier host de Internet a la sede definida por el xlate. - Todos los Internet Control Message Protocol (ICMP) se niega a menos que se permita específicamente. - Todos los intentos de eludir las normas anteriores son dropped.A mensaje se genera y envía a un dispositivo de gestión (por ejemplo, buffer local, Simple Network Management Protocol (SNMP) trampa, syslog, consola), dependiendo de la gravedad de la tentativa y la configuración local. (Tráfico normal también puede activar registro, de nuevo, dependiendo de la configuración. En el nivel más alto de depuración, todos los paquetes que genera una alerta. un artículo presentado por D. Yves Descargo de responsabilidad:Nuestro sitio web no es responsable por el contenido de este artículo. Webarticles es un recurso de información gratuito. Importante: Este artículo "PIX firewalls basados en hardware y GUI" fue traducida por un software automático. Sentimos pena por los errores de ortografía que pueda haber ocurrido. Gracias por su comprensión.
|
|||||
| Online: 313 users browsing the articles directory |
|
|