Die PIX ist eine ausgezeichnete IPSec-Tunnel-EndpunktICMP & the PIXStandardmäßig wird die PIX Reaktion auf eine Ping-Anfrage direkt an die externe Schnittstelle. Eine bewährte Methode Deaktivieren dieser Option mit dem Befehl: ICMP bestreiten jegliche außerhalb Ausschalten des ICMP-Antwort verweigert den Zugriff auf eine potentielle Hacker. Allerdings wird jeder anständige Hacker herausfinden, dass Ihr Netzwerk verfügt über eine Firewall, was sie nicht wissen, ist der Ort oder die IP-Adresse der Firewall.
Advanced Protocol Handling Die PIX verbindet Stateful Paketfilterung mit fortgeschrittenem Protokoll Umgang mit Proxys über Anwendung Inspektion. Anwendung bietet eine strengere Kontrolle Sicherheitsmodell für das Protokoll gegeben. Bitte verwechseln Sie nicht einen Antrag Prüfung mit einem Anwendungs-Proxy. Application Kontrolle nicht stattfindet Pakete für eine bestimmte Anwendung, sondern für die Einhaltung der Internet Assigned Numbers Authority (IANA) für ein bestimmtes Protokoll. Zum Beispiel, wenn wir konfiguriert ein Access-Liste für SMTP, könnten wir auf Port-Filter, Quelle IP-und Ziel-IP. Wenn der SMTP-Inspection-Engine in Verbindung mit einem Access-Liste verwendet wird, werden nur die sieben grundlegenden SMTP-Befehle erlaubt und von der Inspektion ACL.The Befehl eingeschränkt erlaubt Ihnen auch, die Anschlusszuweisung des Protokolls zu ändern. Mit den oben genannten Beispiel SMTP, würden wir den Port 8080 zusammen mit den Standard zu verwenden inspizieren SMTP (Port 25). In pre-7.0-Code verwenden wir den fixup Befehl, aber jetzt müssen wir zwei Befehle verwenden. VPN-Unterstützung Ein wichtiger Aspekt der Sicherheit der Netze ist die Vertraulichkeit von Informationen. Packets fließt durch ein Netz sind ähnlich wie Postkarten per Post geschickt, wenn Sie nicht die Welt Ihre Nachrichten lesen möchten, müssen Sie zusätzliche Schritte zu unternehmen. Um die Art zu erreichen Vertraulichkeit in einem privaten Netzwerk angeboten werden, können mehrere Methoden verwendet werden. Eine Verschlüsselung verwendet (verschlüsselt) werden die Informationen zu verbergen. Ein früher Standard, der von Microsoft unterstützt wird, ist die Point-to-Point Tunneling Protocol (PPTP). Viel wie wenn man einen Brief in einem verschlossenen Umschlag, ermöglicht diese Norm für das Umspritzen von (und zu verbergen) Netzwerkverkehr in einem Transport header.A ähnliches, aber noch umfassender Ansatz, um die Ebene verwenden 2 Tunneling Protocol (L2TP). Dieses Protokoll stammt ursprünglich aus vielen Microsoft-Implementierungen; daher, PIX Unterstützung für PPTP und L2TP ist ein wichtiges Element der Feature-Set. Im Herbst 1998 hat der Secure Internet-Protokoll (IPSec) wurde im RFC 2401 veröffentlicht. Cisco hat die Führung bei der IPSec-Implementierung von verfassend viele der IPSec RFCs und die Bereitstellung von Lösungen für einige der unflexibler issues.Trying IPSec NAT mit L2TP/IPSec verwenden ist eines der größten Probleme mit VPNs. NAT IP-Header schreibt, wodurch Sieg über die Zwecke der L2TP/IPSec, die die Authentizität des IP-Headers gewährleistet. RFC 3193 beschreibt, wie NAT Traversal wird verwendet, damit User Datagram Protocol (UDP) Kapselung der authentifiziert IP-Paket über Port 4500. Die PIX ist eine ausgezeichnete IPSec-Tunnel-Endpunkt. Es hat eine breite Palette von interoperablen Standards und dient zur Konfiguration vorinstallierten Schlüssel und Zertifizierungsstelle (CA). Viele Unternehmen nutzen PIX als eine integrierte Firewall / VPN-Terminator (vor allem in SOHO-Umgebungen), und als Stand-alone-VPN-Terminator in Verbindung mit einem anderen (speziellen) Firewall. Durch die Verwendung von PIX kann, Remote-Büros eine sichere Verbindung zu einem zentralen Punkt oder zu jedem anderen. Anstatt hohe Kosten tragen, ein VPN kann zwischen zwei PIX Firewalls so konfiguriert mit allen Informationen Durchlaufen des VPN verschlüsselt und authentifiziert, so dass es fast unmöglich für jemanden, den Draht zu riechen, und die Daten zu stehlen. Eines der besten Features der PIX ist VPN-Performance. Die Einfachheit der PIX-Firewall-Appliance ermöglicht es eine gute Wahl für die VPN-Terminierung in vielen Unternehmen und Carrier-Class-Umgebungen. URL-Filter URLs identifizieren user-friendly-Adressen auf dem World Wide Web (WWW). Die PIX-Firewall unterstützt URL-Filterung durch das Abfangen eines Antrags sowie die Validierung seiner Zulässigkeit gegen eine Datenbank auf einem N2H2 oder Websense bankserver N2H2 Server befindet, kann Linux (www.n2h2.com/products/bess.php?os=lnx&device=pix) Oder Microsoft Windows (www.n2h2.com/products/bess.php?os=win&device=pix), Die Websense-Server können diese Plattformen zu benutzen oder auf einem Solaris-Server installiert werden (www.websense.com/products/ Integrationen / ciscoPIX.cfm). URL-Filter stellt die Mittel zur Anwendung und ein Acceptable Use Policy für das Surfen im Internet zu erzwingen, sowie zu erfassen und zu analysieren, wie Personal benutzen Sie den Internet an Server bieten Reporting-Funktionen, so dass Sie, wenn die Politik verfolgt wird bestimmen können. NATvon einer Firma namens Network Translations Inc., und seine erste Rolle war Durchführung Address Translation PIX Version 7 unterstützt auch transparenten Modus, die einen speziellen Modus, wo die PIX nicht Address Translation ist, aber noch trennt das Netzwerk in sichere und unsichere Bereiche. Die IP-Adressraum ist flach und es gibt kein privates Netzwerk. Eine einzige Schnittstelle kann in mehrere logische Bereiche unterteilt werden, bekannt als Sicherheit KontexteWird jeder mit einem anderen Sicherheitskontext Dies dient als mehrere Rahmen-Modus bekannt, und macht es möglich, mehr Sicherheit Bereichen als interfaces.Transparent-Modus und verschiedene Rahmen-Modus verfügt, sind in der Regel zusammen verwendet werden. Für eine vollständige Diskussion über die Sicherheit Kontexten und wie sie zu konfigurieren, gehen Sie zu www.cisco.com/en/US/products/ ps6120/products-configuration-guide-article09186a0080450b90.html. High Availability PIX-Hardware Die PIX Konfiguration hat viele verschiedene Modelle, um sicherzustellen, dass ein Produkt unterschiedliche environments.The Anforderungen eines SOHO-Anwender geeignet ist, sind von einem Diensteanbieter anders. Cisco bietet verschiedene Klassen mit verschiedenen Preispunkten, um eine optimale Produktplatzierung zu gewährleisten. Fünf Modelle werden derzeit unterstützt: den 501, der 506E, der 515E, der 525, und 535. Allerdings gibt es drei Modelle, die Sie in Enterprise-Umgebungen im Einsatz sehen: die 515, die 525 und die 535. Wie sich herausstellt, sind die drei Modelle, die die neue 7,0-Code läuft on.Table 4.1 zeigt die entscheidenden Eigenschaften des jeweiligen Modells. NOTE Zum Zeitpunkt des Schreibens dieses Artikels, Version 7.0-Code nicht auf dem SOHO-Modelle, dh die Modelle 501 und 506E Run: noch gibt es Pläne, auf die Version 7,0 OS Unterstützung für diese beiden Modelle. -- PIX 501 Die PIX 501 ist die grundlegende Einstiegsmodell für die PIX-Linie, mit einer festen Hardware-Konfiguration. Es ist ein Vier-Port 10/100 Mbps Switch für den Innen-Konnektivität und eine einzige Schnittstelle 10/100 MBit / s für die Verbindung zum Internet-Upstream-Gerät (wie Kabelmodem oder Digital Subscriber Line [DSL] Router). Es bietet 3 Megabit pro Sekunde (Mbps), Durchsatz auf einer Data Encryption Standard (DES) IPSec-Verbindung, die die meisten SOHO requirements.The Basis-Lizenz erfüllt, ist ein 10-Benutzer-Lizenz mit 3Data Encryption Standard (3DES) -- DES IPSec Es ist eine optionale 50-User-Upgrade und / oder 3DES VPN support.There ist auch eine unbegrenzte Benutzeranzahl Version available.The 501 ist auf einem 133 MHz AMD SC520 Prozessor mit 16 MB RAM und 8 MB flash.There basiert, ist ein Konsolen-Port, ein full-/half-duplex RJ45 10BaseT-Port für die Außenwelt, und ein integriertes, auto-sensing, Auto-MDIX 4-Port RJ45 10/100 Switch für innen. -- PIX 506E Die Produkt-506E ist eine erweiterte Version des 506.The Chassis 'sind ähnlich, aber die 506E hat eine beefier Central Processing Unit (CPU), ein leiser Lüfter und eine neue Macht supply.The CPU ist ein 300 MHz Intel Celeron, und der Random-Access Memory (RAM) und Flash sind von der gleichen Kapazität wie die Original-506. Klartext-Durchsatz wurde auf 100 Mbit / s (wire speed) und 3DES-Durchsatz erhöht wurde zu 16 Mbit / s erhöht. Lizenzierung über die 506E (und 506) ist in Einzel-, unlimiteduser mode.The wenn nur zusätzliche Lizenz, die Sie benötigen können, ist die 3DES license.The 506E ist ein Konsolen-Port und zwei RJ45 10BaseT-Ports, einen für die Außen-und eine für innen. -- PIX 515E Die 515E ersetzt die 515 im Mai 2002. Es hat eine höhere Leistung 433MHz Intel Celeron und eine wachsende Basis-Firewall-Performance und ist für das Unternehmen Kern richtet sich an kleine bis mittlere businesses.The-515E kann das arithmetische Belastung DES Berechnung von der OS zu einem dedizierten VPN-Beschleuniger-Offload Karte (VAC +) und damit bis zu 135Mbps 3DES-Durchsatz und 2000 VPN tunnels.The Lizenzierung ist ähnlich: eine eingeschränkte Lizenz beschränkt Sie auf drei Schnittstellen und kein Failover, während eine unbeschränkte Lizenz hat den Speicher zu erhöhen, die VAC +, und bis zu sechs Schnittstellen . Das Fahrwerk ist ein 1-Einheit (1U) Pizza-Box, die für die Rack-mounting.The soll wichtigste Unterschied zwischen dem 506E und 515E ist, dass die Hardware-515E-Chassis konfigurierbar ist. Es bietet einen Steckplatz für eine weitere Single-Port-oder vier-Port Fast Ethernet (FE)-Schnittstelle, so dass für eine bequeme Schnittstelle, einen externen Port und bis zu vier zusätzliche Service-Netze. Die Lizenzierung ist flexibel, so dass Unternehmen nur kaufen, was sie need.The Lizenz beschränkt begrenzt die Anzahl der Schnittstellen zu drei und nicht unterstützt HA.The uneingeschränkte Lizenz erlaubt eine Erhöhung der RAM (von 32MB bis 128MB) und bis zu sechs Schnittstellen, zusammen mit Failover-Funktion. -- PIX 525 Die PIX 525 ist für große Unternehmen konzipiert oder kleine Dienstleister environments.The 525 unterstützt drei Einzel-oder Vier-Port 10/100 FE-Karten oder drei Single-Port Fibre-Channel-Gigabit-Ethernet-Karten. Performance erzählt die Geschichte: Die 525 mit seinen 600 MHz Intel Pentium III 330Mbps Klartext-Durchsatz und dem VPN-Beschleuniger-Karte +, 145Mbps von 3DES IPSec-Tunnel-Verkehr bietet. Wie bei den anderen Modellen ist eine Lizenzierung über Schnittstelle zählt und failover.The eingeschränkten Lizenz basiert Grenzen der PIX 525 bis 128 MB RAM und sechs interfaces.The uneingeschränkte Lizenz Unebenheiten zu 512 MB RAM, ermöglicht bis zu acht Schnittstellen und unterstützt Failover. Nach wie vor ist 3DES-Lizenzen zu trennen, falls gewünscht. -- PIX 535 Die PIX 535 ist das Top-of-the-Line-Modell, geeignet für Service-Provider-Umgebungen. Performance ist der Schlüssel: bis zu 1.7Gbps Klartext-Durchsatz, eine halbe Million gleichzeitiger Verbindungen, und 7000 der Initialisierung einer Verbindung / Teardowns pro second.With der VAC +, können Sie 425Mbps 3DES-Durchsatz zu erhalten, mit bis zu 2.000 gleichzeitigen Security Associations (VPN-Tunnel ). In Bezug auf die Hardware, ist die PIX 535 auf einem 1GHz Intel Pentium III, mit auf bis zu 1 GB RAM. Es hat einen 16 MB Flash und 256 KB Cache mit 1 GHz, sowie zwei 64-Bit-System 66MHz PCI-Bus. Im Hinblick auf die Schnittstellen, die 535-Schnittstellen unterstützt die Installation von zusätzlichen Netzwerk über 66 Mhz/64-bit vier und fünf 33 MHz/32-bit Peripheral Component Interconnect (PCI)-Steckplätze unterstützen Expansion slots.The Erweiterungskarten einschließlich Single-Port FE, Vier-Port FE und Single-Port Gigabit Ethernet cards.The 535 ist auch das einzige Modell, um redundante Stromversorgung zu unterstützen. Ein Artikel eingereicht von Yves D. Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle. Wichtig: Dieser Artikel "Die PIX ist eine ausgezeichnete IPSec-Tunnel-Endpunkt" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.
|
|||||
| Online: 364 users browsing the articles directory |
|
|