El PIX es un excelente punto de terminación IPSec tunnel

ICMP y el PIX

Por defecto, el PIX responderá a una solicitud de ping envía directamente a la interfaz externa. Las mejores prácticas recomiendan desactiva esta opción, con el comando: ICMP negar cualquier Pasando de fuera de las respuesta ICMP niega el acceso a un hacker potencial. Sin embargo, cualquier hacker decente se darán cuenta de que su red tiene un servidor de seguridad, lo que no se sabe es la ubicación o la dirección IP del servidor de seguridad.

Advanced Protocolo de Manejo de

El PIX combina stateful el filtrado de paquetes con un manejo avanzado de protocolo con los proxies a través de la inspección de aplicación. De inspección de aplicación proporciona un modelo de seguridad más estrictas para que el protocolo determinado. No confunda una inspección de aplicación con un proxy de aplicación. Solicitud de inspección no inspecciona los paquetes para una aplicación específica, sino más bien para el cumplimiento de la Internet Assigned Numbers Authority (IANA) normas para un protocolo determinado. Por ejemplo, si hemos configurado una lista de acceso para SMTP, que filtro en el puerto, fuente IP e IP de destino. Cuando el motor de inspección SMTP se utiliza junto con una lista de acceso, sólo los siete comandos básicos de SMTP están permitidos y restringidos por el comando de control ACL.The también le permite cambiar la asignación de puerto del protocolo. Utilizando el ejemplo SMTP anterior, se utiliza el puerto 8080, junto con el valor predeterminado inspeccionar SMTP (puerto 25). En pre-7.0 de código, hemos utilizado el corrección comando, sin embargo, ahora tenemos que usar dos comandos.

Soporte VPN

Un aspecto importante de la seguridad de la red es la confidencialidad de la información. Los paquetes que fluyen a lo largo de una red son muy parecidos postales enviadas por correo, si no quieren que el mundo leyendo sus mensajes, usted tiene que tomar pasos adicionales. Para lograr el tipo de confidencialidad ofrecidas en una red privada, varios enfoques pueden ser utilizados. Uno utiliza el cifrado para ocultar (encriptar) la información. Una norma de principios, con el apoyo de Microsoft, es el punto-a-Point Tunneling Protocol (PPTP). Al igual que poner una carta en un sobre sellado, esta norma permite encapsular (y ocultar) el tráfico de red de transporte dentro de un planteamiento similar pero más amplia header.A es utilizar el Protocolo de túnel de capa 2 (L2TP). Este protocolo es nativo de muchos los desarrollos de Microsoft, por lo tanto, el apoyo PIX para PPTP y L2TP es un elemento importante del conjunto de funciones. En el otoño de 1998, el protocolo seguro de Internet (IPSec) se publicó en el RFC 2401. Cisco tomó la delantera en la implementación de IPSec por coautores de muchas de las RFC IPSec y ofrecer soluciones para algunos de los más pegajosos IPSec issues.Trying para usar NAT con L2TP/IPSec es uno de los mayores problemas con la VPN. NAT reescribe el encabezado IP, lo que desvirtuaba el propósito de L2TP/IPSec, lo que garantiza la autenticidad de la cabecera IP. RFC 3193 NAT Traversal detalles de cómo se utiliza para permitir el Protocolo de datagramas de usuario (UDP) en la encapsulación de los paquetes IP autenticadas utilizando el puerto 4500.

El PIX es un excelente punto de terminación de túnel IPSec. Cuenta con una amplia gama de normas de interoperabilidad y se utiliza para configurar las claves previamente compartidas y la Autoridad de Certificación (CA). Muchas empresas utilizan como un servidor de seguridad PIX integrada de terminación de VPN (en particular en entornos SOHO), y como un stand-alone de terminación de VPN, en relación con otro (dedicado), servidor de seguridad. Mediante el uso de PIX, oficinas remotas pueden conectarse de forma segura a un punto central o el uno al otro. En lugar de incurrir en altos costos, una VPN se puede configurar entre dos cortafuegos PIX con toda la información que atraviesa la VPN encriptada y autenticada, lo que resulta casi imposible que alguien a olfatear el alambre y robar los datos. Una de las mejores características de la PIX VPN es el rendimiento. La simplicidad del dispositivo de servidor de seguridad PIX hace una elección acertada para la terminación de VPN en la empresa transportista y muchos entornos de clase.

Filtrado de URL

URL de identificar las direcciones de usuario amigable en la World Wide Web (WWW). El servidor de seguridad PIX admite el filtrado de URL mediante la interceptación de una solicitud y validar su legalidad en contra de una base de datos ubicada en un servidor N2H2 o Websense N2H2 server.The puede ejecutar Linux (www.n2h2.com/products/bess.php?os=lnx&device=pix) O Microsoft Windows (www.n2h2.com/products/bess.php?os=win&device=pix), El servidor de Websense pueden utilizar estas plataformas o ser instalado en un servidor Solaris (www.websense.com/products/ integraciones / ciscoPIX.cfm). Filtrado de URL proporciona los medios para aplicar y hacer cumplir una política de uso aceptable para navegar por Internet, así como para capturar y analizar cómo el personal que utilice los servidores Internet.The proporcionar capacidades de reporting para que pueda determinar si la política se está siguiendo.

NAT

por una compañía llamada Red Traducciones Inc., y su primer papel fue realizar la traducción de direcciones PIX, versión 7 también soporta el modo transparente, que es un modo especial en que el PIX no se ocupa de la traducción, pero aún separa a la red en las zonas seguras e inseguras. El espacio de direcciones IP es plana y no hay red privada. Una única interfaz puede ser subdividida en varias zonas lógico conocido como seguridad contextos, Cada una con un level.This de seguridad diferentes que se conoce como modo de contexto de múltiples, y hace posible que las zonas más seguridad que el modo y el modo de contexto interfaces.Transparent múltiples son por lo general se utilizan juntos. Para una discusión completa de los contextos de seguridad y cómo configurarlas, vaya a www.cisco.com/en/US/products/ ps6120/products-configuration-guide-article09186a0080450b90.html. Alta Disponibilidad

PIX Hardware

El PIX tiene muchos modelos diferentes de configuración para garantizar que un producto es adecuado para los diferentes requisitos environments.The de un usuario SOHO son diferentes de un proveedor de servicios. Cisco proporciona varias clases con diferentes precios para garantizar la colocación de productos óptimos. Cinco modelos son soportados actualmente: el 501, el 506E, la 515E, el 525, y el 535. Sin embargo, hay tres modelos que usted puede ver desplegadas en entornos empresariales: la 515, la 525, y el 535. Como resultado, estos son los tres modelos que la nueva 7.0 código se ejecuta 4,1 on.Table muestra las características vitales de cada modelo.

NOTA

En el momento de escribir este artículo, la versión 7.0 de código no funciona en los modelos de SOHO es decir, el 501 y 506E modelos: ni hay planes de apoyo a la versión 7.0 OS en estos dos modelos.

-- PIX 501 El PIX 501 es el modelo de entrada de base para la línea de PIX, con una configuración de hardware fijo. Cuenta con cuatro puertos 10/100 Mbps para conectividad de cambiar el interior, y una interfaz 10/100 único para la conexión a Internet aguas arriba del dispositivo (como un módem por cable o línea de abonado digital [DSL] router). Ofrece 3 megabits por segundo (Mbps), en un Data Encryption Standard (DES) de conexión IPSec, que cumpla la mayoría de SOHO licencia base requisitos.Los es una licencia para 10 usuarios con 3.Datos Encryption Standard (3DES)

-- IPSec DES No es un opcional de 50 de actualización de usuario y / o 3DES support.There VPN es también contar con un número ilimitado de usuarios available.The versión 501 está basado en un procesador a 133 MHz AMD SC520 con 16 MB de RAM y 8 MB de flash.There es un un puerto de consola, un puerto RJ45 10BaseT full-/half-duplex para el exterior, y un enfoque integrado, con detección automática, auto-MDIX de 4 puertos RJ45 10/100 Switch para el interior.

-- PIX 506E El producto 506E es una versión mejorada del chasis 506.The son similares, pero la 506E tiene un más robusto unidad de procesamiento central (CPU), un ventilador silencioso, y un nuevo supply.The potencia de la CPU es un Intel Celeron a 300 MHz, y la memoria de acceso aleatorio (RAM) y flash son de la misma capacidad que los 506 originales. Borrar texto-el rendimiento se ha incrementado a 100 Mbps (velocidad de cable), y 3DES rendimiento se ha aumentado a 16 Mbps. Concesión de licencias en el 506E (y 506) se presenta en mode.The único, sólo unlimiteduser licencia extra que necesita es el 3DES license.The 506E tiene un puerto de consola RJ45 y dos puertos 10BaseT, uno para el exterior y otra para el interior.

-- PIX 515E El 515E sustituye el 515 en mayo de 2002. Tiene un alto desempeño Intel Celeron de 433MHz y un aumento de rendimiento del firewall de base, y está pensado para el núcleo empresarial de las pequeñas y medianas 515E businesses.The puede descargar la carga de la aritmética de cálculo DES desde el sistema operativo a un acelerador de VPN Dedicated (tarjeta de VAC +), entregando hasta 135Mbps de rendimiento 3DES y 2.000 licencias VPN tunnels.The es similar: una licencia restringida que limita a tres las interfaces y no de conmutación por error, mientras que una licencia sin restricciones tiene la actualización de la memoria, la VAC +, y hasta seis interfaces . El chasis es de 1 unidad (1U) pizza-box, que está destinado a mounting.The rack diferencia más importante entre el 506E y el 515E es que el chasis 515E es el hardware-configurable. Proporciona una ranura para un solo puerto adicional o cuatro puertos Fast Ethernet (FE) de interfaz, lo que permite un puerto interior, un puerto exterior, y hasta cuatro redes de servicios adicionales. La concesión de licencias es flexible, permitiendo a las empresas a comprar sólo lo que need.The licencia restringida que limita el número de interfaces de a tres, y no es compatible con la licencia HA.The libre permite un aumento en la memoria RAM (de 32MB a 128MB) y hasta seis interfaces, junto con la capacidad de conmutación por error.

-- PIX 525 Los modelos 525 está diseñado para empresas de gran o pequeña environments.The proveedor de servicios de 525 solo admite tres o cuatro puertos 10/100 tarjetas de FE, o tres de un solo canal de fibra de tarjetas de puerto Gigabit Ethernet. Rendimiento cuenta la historia: El 525 con sus 600 MHz Intel Pentium III ofrece rendimiento de 330Mbps clara del texto y, con la VPN + tarjeta aceleradora, 145Mbps de tráfico del túnel IPSec 3DES. Al igual que con los otros modelos, la concesión de licencias se basa en el recuento de la interfaz y licencia restringida failover.The límites de los modelos 525 a 128 MB de RAM y seis interfases golpes sin restricciones de licencia de RAM a 512 MB, permite hasta ocho interfaces, y apoya la conmutación por error. Como antes, 3DES licencias es independiente, si lo desea.

-- PIX 535 El PIX 535 es la tapa-de-la-modelo de línea, adecuada para entornos de proveedor de servicios. El rendimiento es la clave: hasta 1.7Gbps claro-rendimiento de texto, de medio millón de conexiones simultáneas, y 7000 de inicialización de conexión / demoliciones por second.With la VAC +, puede obtener 425Mbps 3DES rendimiento, con más de 2.000 asociaciones de seguridad simultáneas (túneles VPN ). En términos de hardware, el PIX 535 se basa en un procesador de 1 GHz Intel Pentium III, con un máximo de 1 GB de RAM. Tiene un flash de 16 MB y 256K de caché funcionando a 1 GHz, así como de 64-Bit PCI de 66 MHz de bus de sistema. En términos de interfaces, el 535 soporta la instalación de las interfaces de red adicionales a través de cuatro 66 Mhz/64-bit y cinco 33 MHz/32-bit Peripheral Component Interconnect (PCI) slots.The expansión soporta tarjetas de expansión, incluyendo un solo puerto FE, de cuatro puertos FE y de un solo puerto Gigabit Ethernet cards.The 535 es también el único modelo para apoyar las fuentes de alimentación redundantes.

un artículo presentado por D. Yves

Descargo de responsabilidad:Nuestro sitio web no es responsable por el contenido de este artículo. Webarticles es un recurso de información gratuito.
Importante: Este artículo "El PIX es un excelente punto de terminación IPSec tunnel", fue traducida por un software automático. Sentimos pena por los errores de ortografía que pueda haber ocurrido. Gracias por su comprensión.