Hardware basato su GUI e PIX Firewall

La sezione seguente esamina alcuni degli hardware-based firewall ed i vantaggi che offrono, tra cui Cisco Private Internet Exchange (PIX), Juniper NetScreen, SonicWall, e Nokia Security Platform (NSP) firewall. E allora tocca altro hardware-based firewall (ad esempio, utilizzando router come filtri di pacchetti). Alcuni produttori offrono apparecchi supplementari che funzionino con i firewall per proteggere i dati in transito (ad esempio, la rete privata virtuale [VPN] elettrodomestici, filtraggio dei contenuti (anti-phishing, antispam e antivirus), e il blocco dei contenuti (ad esempio, Universal Resource Locator [URL] filtraggio / reverse proxy). Questa sezione si concentra esclusivamente sul firewall offerto da queste società.

PIX

Cisco PIX Firewall mondo, offrono una sicurezza di classe ed elevati livelli di prestazioni e affidabilità, e sono stati una parte delle reti aziendali e fornitore di servizi a partire dal 1995. Cisco PIX Firewall inserirsi in una vasta gamma di ambienti, dalle small office / home office (SOHO), ambienti per le grandi imprese e service provider. Grazie al supporto per protocolli complessi, le più recenti tecnologie VPN, e la funzionalità di rilevamento delle intrusioni, firewall PIX sono leader nel mercato e hanno la più ampia applicazione di eventuali firewall.

Introduzione

Firewall Cisco utilizzano un sistema operativo proprietario e language.Version comando 7.0 del sistema operativo PIX ha introdotto alcune novità nella linea di prodotto Cisco (ad esempio, switch e router). Una nuova caratteristica è di zone di sicurezza all'interno di una singola interfaccia. Nelle versioni precedenti, le zone di sicurezza erano limitate al numero di interfacce di rete fisica di un dispositivo aveva. Ora, una singola interfaccia può essere suddivisa in diverse zone di sicurezza. Active / failover dispositivo attivo è anche una valida opzione in precedenza, solo attivo / passivo è stato offerto. Versione 7.0 ha anche introdotto l'Adaptive Security Device Manager (ASDM), che è un grafico utile strumento utilizzato per la gestione del PIX. Il dispositivo fisico effettivo viene eseguito su memoria flash in modo che le uniche parti in movimento sono il fans.This migliora l'affidabilità del PIX, perché non ci sono dischi rigidi a fallire. I modelli 515 e superiori sono in genere aggiornabile, sia nel numero di interfaccia e la dimensione della memoria.

Command Line Interface (CLI) vs Graphical User Interface (GUI)

Mentre la GUI è interessante per Windows e molti amministratori Mac (e anche alcuni amministratori Linux), la facilità d'uso è limitato. Il CLI offre la possibilità di inserire un numero di comandi in un file di testo, confermare l'ordine e la configurazione, copiare e incollare il codice in una finestra di comando, ed eseguire tutti correttamente la prima volta. In aggiunta, la lettura della configurazione CLI file flat è molto più semplice la ricerca attraverso diverse finestre, ed è consultabile. Dove ho utilizzare questo particolare Internet Protocol (IP)? Quale oggetto-gruppo ho usato in questa lista di accesso? Queste risposte sono molto più facili da trovare in un file di testo. Una GUI può essere molto utile per spostare le linee di accesso-list, o l'aggiunta di un singolo IP (Internet Protocol) o la porta a un oggetto-gruppo. La GUI PIX ha un'ottima interfaccia per il controllo delle statistiche firewall, completo di grafici colorati che indicano la salute del dispositivo. Entrambe le interfacce hanno i loro punti di forza. Non trascurare uno per l'altro; imparare entrambi. Questo vale per tutti i firewall con entrambe le interfacce, non solo del PIX.

Embedded OS

Cisco OS Upgrade / Update Warning

Oltre ad apprendere i nuovi comandi, è di vitale importanza per esaminare ogni release da vicino e stabilire se si tratta di necessario per l'aggiornamento. Leggere attentamente le note di rilascio e di controllo per verificare se le correzioni si applicano al vostro ambiente. Riusciranno le nuove funzionalità è utile? Sono fix di sicurezza necessarie per proteggere sia il firewall o la rete interna? Più importante, i gruppi di ricerca su Internet di discussione per ogni potenziale problema con un aggiornamento / upgrade. Ho scoperto tramite dolorosa esperienza personale che PIX versione 7.1 (2) aveva eliminato un bug che tutta la connettività di rete attraverso il firewall su base regolare, e poi ripristinata per un certo periodo di circa 5 minuti. Versione 7.1 (2) 4 risolto il problema, ma non è stato solo dopo la consultazione con gli altri amministratori PIX e una chiamata al team di supporto di Cisco, che ho trovato la versione aggiornata. Team di Cisco di supporto mi ha detto di aver dormito con 7,0 (2) prima domanda. Cisco relativamente a qualsiasi richiesta di supporto relativo a un aggiornamento è: "Perché hai fatto l'aggiornamento?" Se c'è non è un problema di sicurezza, il PIX funziona, e non avete bisogno di nuove funzionalità, non si applicano un aggiornamento.

L'Adaptive Security Algorithm

Il cuore del PIX è l'Adaptive Security Algorithm (ASA). L'ASA è un meccanismo utilizzato per determinare se i pacchetti devono essere passati attraverso il firewall se sono coerenti con la politica flusso di informazioni di controllo attuati negli access control list (ACL) tabella . PIX La valuta le informazioni del pacchetto contro uno stato sviluppato e decide se far passare il pacchetto. ASA consente il flusso del traffico da un livello di sicurezza superiore a un livello di sicurezza, a meno che non modificate da access-list comandi. Più formalmente, le note manuale:

- N. pacchetti possono attraversare il firewall PIX senza una connessione e lo stato.

- Le connessioni in uscita o gli Stati sono ammessi, ad eccezione di quelli espressamente negato da ACL. Una connessione in uscita è quella in cui il cedente o il client si trova su un interfaccia di sicurezza superiore a quello del ricevitore o del server.

- Le connessioni in ingresso o gli Stati, ad eccezione di quelli specificatamente autorizzati, viene negato l'accesso. Una connessione in ingresso o lo stato è quella in cui il cedente o il client si trova su una interfaccia di protezione inferiore o la rete che il ricevitore o server. Eccezioni multiple possono essere applicate ad una singola traduzione (XLATE), che permette di consentire l'accesso da una macchina arbitrario, di rete, o qualsiasi host su Internet per l'host definito dal XLATE.

- Tutti gli Internet Control Message Protocol (ICMP), i pacchetti vengono negati, salvo specifica autorizzazione.

- Tutti i tentativi di aggirare le norme precedenti sono dropped.A messaggio viene generato e inviato a un dispositivo di gestione (ad esempio, buffer locale, Simple Network Management Protocol (SNMP) trap, syslog, console), a seconda della gravità del tentativo e la di configurazione locale. (Traffico normale può anche attivare la registrazione, sempre a seconda della configurazione. In modalità di massima di debug, ogni pacchetto genera un avviso.

un articolo presentato da Yves D.

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo è "Hardware base PIX Firewall e GUI" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.