Hardware baseado em firewalls PIX e GUI

A seção seguinte analisa algumas das firewalls baseados em hardware e as vantagens que oferecem, incluindo Cisco Private Internet Exchange (PIX), Juniper NetScreen, SonicWall e Nokia Security Platform (NSP) firewalls. Em seguida, ele toca em outro hardware baseado em firewalls (por exemplo, utilizando roteadores como filtros de pacotes). Alguns fabricantes oferecem aparelhos adicionais que funcionam com firewalls para proteger os dados em trânsito (por exemplo, Virtual Private Network [VPN] aparelhos, filtragem de conteúdo (anti-phishing, antispam e antivírus), e bloqueio de conteúdo (por exemplo, a Universal Resource Locator [URL] filtragem / proxy reverso). Esta secção centra-se unicamente na firewalls oferecidos por estas empresas.

PIX

Cisco PIX mundo oferecem firewalls de segurança de classe e os níveis elevados de desempenho e confiabilidade, e tem sido uma parte da empresa e as redes de prestador de serviços desde 1995. Firewalls Cisco PIX caber em uma ampla gama de ambientes, de pequeno escritório / home office (SOHO) ambientes de grandes empresas e prestadores de serviços. Com suporte para protocolos complexos, as mais recentes tecnologias de VPN, e as características de detecção de intrusão, firewalls PIX são líderes no mercado e têm a maior utilização de qualquer firewall.

Introdução

Firewalls Cisco utiliza um sistema operacional proprietário e language.Version comando 7,0 da OS PIX introduzidas algumas novas funcionalidades para a linha de produtos Cisco (por exemplo, switches e roteadores). Uma das novidades é as zonas de segurança dentro de uma única interface. Em versões anteriores, as zonas de segurança foram limitadas ao número de interfaces de rede física de um dispositivo tinha. Agora, uma única interface pode ser dividida em várias zonas de segurança. Failover Ativo / dispositivo ativo também é uma opção, anteriormente, apenas ativo / passivo foi oferecido. Versão 7.0 também introduziu o Adaptive Security Device Manager (ASDM), que é útil um gráfico ferramenta utilizada para a gestão do PIX. O dispositivo físico real é executado em memória flash de modo que as únicas partes móveis são o fans.This melhora a confiabilidade do PIX, porque não há unidades de disco rígido falhar. Modelos 515 e superiores são geralmente actualizável, tanto em número de interface e de memória.

Command Line Interface (CLI) vs Graphical User Interface (GUI)

Embora a interface gráfica do Windows é atraente para muitos administradores e Mac (e até mesmo alguns administradores Linux), facilidade de uso é limitado. A CLI oferece a possibilidade de introduzir um número de comandos em um arquivo de texto, confirmar a ordem e configuração, copiar e colá-lo em uma janela de comando, e executar todos eles corretamente na primeira vez. Além disso, a leitura do arquivo de configuração CLI apartamento é muito mais fácil do que procurar em várias janelas, e é procurado. Onde é que eu uso este particular, o Internet Protocol (IP)? Qual o objeto do grupo que eu uso na lista de acesso? Estas respostas são muito mais fáceis de encontrar em um arquivo de texto. A GUI pode ser muito útil para mover as linhas de acesso à lista, ou a adição de um único IP (Internet Protocol) ou porta para um objeto do grupo. A GUI PIX tem uma interface excelente para controlar as estatísticas de firewall completa, com gráficos coloridos, indicando a saúde do aparelho. Ambas as interfaces têm os seus pontos fortes. Não despreze um para o outro, aprender a ambos. Isso se aplica a todos os firewalls com ambas as interfaces, não apenas o PIX.

Embedded OS

Cisco OS Upgrade / Update Warning

Além de aprender os novos comandos, é fundamental analisar cada liberação de perto e determinar se é necessário para atualização. Leia o comunicado assinala cuidadosamente e verificar para ver se alguma das correções se aplicam ao seu ambiente. Nova funcionalidade vai ser útil? São correções de segurança necessárias para proteger tanto o seu firewall ou sua rede interna? Mais importante ainda, pesquisar na Internet grupos de discussão para eventuais problemas com uma atualização / upgrade. Eu descobri através da experiência pessoal dolorosa que PIX versão 7,1 (2) tinha um bug que deixou cair toda a conectividade de rede através do firewall em uma base regular, e, em seguida, restaurado que ao longo de um período de cerca de 5 minutos. Versão 7,1 (2) 4 resolveu o problema, mas não foi até depois da consulta com outros administradores PIX e uma chamada à equipa de apoio da Cisco, que eu achei a versão atualizada. Equipa de suporte da Cisco disse que eu deveria ter ficado com 7,0 (2) primeira pergunta. Cisco sobre qualquer suporte sobre uma atualização chamada é: "Por que você fez atualização?" Se houver problema de segurança não é, a PIX é bom, e você não precisa de novas funcionalidades, não aplicar uma atualização.

O Adaptive Security Algorithm

O coração do PIX é o Adaptive Security Algorithm (ASA). A ASA é um mecanismo usado para determinar se os pacotes devem ser transmitidos através do firewall, se forem coerentes com a política de controle de fluxo de informação implementados na lista de controle de acesso (ACL) de mesa . O PIX avalia informações pacote contra um Estado desenvolvido e decide se passar o pacote. ASA permite o tráfego a fluir a partir de um nível maior de segurança para um nível inferior de segurança, a não ser modificado pelo acesso comandos da lista. Mais formalmente, as notas de instruções:

- No pacotes podem atravessar o firewall PIX sem uma conexão e estado.

- Conexões de saída ou estados são permitidas, exceto aqueles expressamente negada por ACLs. Uma conexão de saída é aquele em que o autor ou o cliente está em uma interface de segurança mais elevado do que o receptor ou servidor.

- Conexões de entrada ou estados, exceto aqueles expressamente permitido, é negado o acesso. Uma conexão de entrada ou de estado é aquele em que o autor ou o cliente está em uma interface de segurança ou de rede do que o receptor ou servidor. Várias exceções podem ser aplicados a uma tradução única (xlate), que permite que você permitir o acesso de uma máquina arbitrária, rede ou qualquer host na Internet para o host definido pelo xlate.

- Todas Internet Control Message Protocol (ICMP) são negados a menos que especificamente permitido.

- Todas as tentativas de contornar as regras anteriores são dropped.A mensagem é gerado e enviado para um dispositivo de gestão (por exemplo, buffer local, Simple Network Management Protocol (SNMP), syslog, console), dependendo da gravidade da tentativa e do configuração local. (Tráfego normal também podem desencadear o log, mais uma vez, dependendo da configuração. No modo elevado de depuração, todos os pacotes gera um alerta.

um artigo submetido por Yves D.

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "Hardware baseado Firewalls PIX e GUI" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.