Matériel basé Firewalls PIX et GUI

La section qui suit examine certains des matériels à base pare-feu et les avantages qu'ils offrent, dont Cisco Internet Private Exchange (PIX), Juniper Netscreen, SonicWall, et Nokia Security Platform (NSP) firewalls. Il aborde ensuite d'autres matériels à base de pare-feu (par exemple, en utilisant des routeurs que les filtres de paquets). Certains fabricants offrent des appareils supplémentaires qui travaillent avec des pare-feux pour protéger les données en transit (par exemple, réseau privé virtuel [VPN] Appareils, filtrage de contenu (anti-phishing, antispam et antivirus), et de filtrage de contenu (par exemple, Universal Resource Locator [URL] filtrage / proxy inverse). Cette section se concentre uniquement sur les pare-feu offert par ces sociétés.

PIX

Pare-feu Cisco PIX monde offrent une sécurité de niveau et des niveaux élevés de performance et de fiabilité, et ont été une partie de réseaux d'entreprise et prestataire de services depuis 1995. Pare-feu Cisco PIX s'insèrent dans un large éventail d'environnements, de petits bureaux / bureaux à domicile (SOHO) Les environnements aux grandes entreprises et fournisseurs de services. Grâce au support des protocoles complexes, les dernières technologies VPN et les fonctions de détection d'intrusion, pare-feu PIX sont leaders dans le marché et le plus large déploiement de tout pare-feu.

Introduction

Pare-feu Cisco utilisent un OS propriétaire et language.Version commande 7.0 de l'OS PIX introduit quelques éléments nouveaux dans la gamme des produits Cisco (par exemple, les commutateurs et routeurs). Une nouvelle fonctionnalité est des zones de sécurité dans une interface unique. Dans les versions précédentes, les zones de sécurité ont été limitées au nombre d'interfaces réseau physique d'un dispositif avait. Maintenant, une seule interface peut être divisée en plusieurs zones de sécurité. Actif / actif de l'appareil de basculement est également une option, auparavant, seuls actif / passif a été offert. La version 7.0 a également présenté le dispositif de sécurité Adaptive Manager (ASDM), qui est un graphique utile outil utilisé pour gérer le PIX. Le dispositif physique réel fonctionne sur la mémoire flash afin que les seules pièces mobiles sont les fans.This améliore la fiabilité du PIX, parce qu'il n'ya pas de disques durs à l'échec. Les modèles 515 et supérieurs sont généralement mis à niveau, tant en nombre d'interface et de la taille de la mémoire.

Command Line Interface (CLI) vs Graphical User Interface (GUI)

Bien que l'interface graphique est attrayant pour de nombreuses fenêtres et les administrateurs de Mac (et même certains administrateurs Linux), la facilité d'utilisation est limitée. L'indicateur composite avancé offre la possibilité d'entrer un certain nombre de commandes dans un fichier texte, confirmer la commande et de configuration, copiez et collez-le dans une fenêtre de commande et d'exécuter toutes les correctement la première fois. En outre, la lecture du fichier de configuration CLI appartement est beaucoup plus facile que de rechercher à travers des fenêtres différentes, et il est consultable. Où ai-je utiliser ce protocole particulier Internet (adresse IP)? Quel objet-groupe que j'ai utilisé dans cette liste d'accès? Ces réponses sont beaucoup plus faciles à trouver dans un fichier texte. Une interface graphique peut être très utile pour déplacer l'accès des lignes de liste, ou en ajoutant un seul protocole Internet (IP) ou un port à un objet-groupe. L'interface graphique PIX a une excellente interface pour vérifier les statistiques de pare-feu, complète avec des graphiques de couleur indiquant la santé de l'appareil. Les deux interfaces ont leurs points forts. Ne négligez pas l'un pour l'autre, apprendre tous les deux. Cela s'applique à tous les pare-feu avec les deux interfaces, pas seulement le PIX.

OS embarqué

Cisco OS Mise à niveau / mise à jour Avertissement

En plus d'apprendre les nouvelles commandes, il est essentiel d'examiner chaque sortie de près et de déterminer s'il est nécessaires mettre à jour. Lire le communiqué de notes soigneusement et vérifier pour voir si des correctifs s'appliquent à votre environnement. Est-ce que de nouvelles fonctionnalités il être utile? Sont des correctifs de sécurité nécessaires pour protéger soit votre pare-feu ou votre réseau interne? Plus important encore, les groupes de discussion de recherche sur Internet pour tout problème potentiel avec une mise à jour / upgrade. J'ai découvert grâce à l'expérience personnelle douloureuse que PIX version 7.1 (2) avait un bug qui a laissé tomber toute la connectivité réseau à travers le pare-feu sur une base régulière, puis restaurée il au cours d'une période d'environ 5 minutes. Version 7.1 (2) 4 résolu le problème, mais il a fallu attendre après consultation avec les autres administrateurs PIX et un appel à l'équipe de soutien de Cisco, que j'ai trouvé la version mise à jour. L'équipe de soutien de Cisco dit que je serais resté à 7.0 (2) première question. Cisco au sujet de tout appui appel concernant une mise à jour est: «Pourquoi avez-vous mise à jour?" S'il ya problème de sécurité n'est pas un, le PIX est de fonctionner et vous n'avez pas besoin des nouvelles fonctionnalités, ne pas appliquer une mise à jour.

The Adaptive Security Algorithm

Le cœur du PIX est l'Adaptive Security Algorithm (ASA). L'ASA est un mécanisme utilisé pour déterminer si les paquets doivent être transmis par l'intermédiaire du pare-feu si elles sont compatibles avec la politique de contrôle de flux d'information mis en œuvre dans la liste de contrôle d'accès (ACL) table . Le PIX évalue information sur le paquet contre un pays développé et décide de passer le paquet. ASA permet au trafic de flux à partir d'un niveau supérieur de sécurité à un niveau de sécurité inférieur, sauf modifications apportées par l'accès des commandes liste. Plus formellement, les notes manuelles:

- Pas de paquets peuvent traverser le pare-feu PIX sans connexion et l'État.

- Les connexions sortantes ou les États sont autorisés, sauf ceux qui sont expressément refusé par les ACL. Une connexion sortante est celle où le donneur d'ordre ou client est sur une interface de sécurité plus élevé que le récepteur ou le serveur.

- Les connexions entrantes ou des États, sauf s'ils sont expressément autorisés, se voient refuser l'accès. Une connexion entrante ou l'état est celle où le donneur d'ordre ou client est sur une interface de bas de sécurité ou de réseau que le récepteur ou le serveur. Plusieurs exceptions peuvent être appliquées à une traduction unique (xlate), qui vous permet d'autoriser l'accès d'une machine arbitraire, le réseau, ou toute machine sur l'Internet à l'hôte défini par la xlate.

- Tous Internet Control Message Protocol (ICMP) des paquets sont refusés, sauf autorisations spécifiques.

- Toutes les tentatives pour contourner les règles précédentes sont dropped.A message est généré et envoyé à un dispositif de gestion (par exemple, le tampon local, Simple Network Management Protocol (SNMP) trap, syslog, console), en fonction de la gravité de la tentative et le Configuration locale. (Trafic normal mai également déclencher l'exploitation forestière, à nouveau en fonction de configuration. Au niveau le plus mode de débogage, chaque paquet génère une alerte.

un article présenté par Yves D.

Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite.
Important: Cet article «matériel basé Firewalls PIX et GUI" a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.