Le PIX est un excellent point de terminaison du tunnel IPSec

ICMP et le PIX

Par défaut, le PIX répondra à une requête ping envoyée directement à l'interface de l'extérieur. Les meilleures pratiques recommandent en désactiver avec la commande: ICMP refuser tout retour à l'extérieur au large de la réponse ICMP refuse l'accès à un pirate potentiel. Toutefois, n'importe quel pirate informatique décent comprendre que votre réseau dispose d'un pare-feu, ce qu'ils ne savent pas est l'endroit ou l'adresse IP du pare-feu.

Advanced Protocol Handling

Le PIX combine Stateful filtrage de paquets sous protocole de traitement avancé avec les proxies via l'inspection demande. L'inspection d'application fournit un modèle de renforcement de la sécurité pour un protocole donné. Ne pas confondre une inspection application avec un proxy d'application. Application d'inspection ne contrôle pas les paquets pour une application spécifique, mais plutôt pour se conformer à l'Internet Assigned Numbers Authority (IANA) les normes d'un protocole particulier. Par exemple, si nous avons configuré une liste d'accès pour SMTP, on peut filtrer sur le port, la source IP et IP de destination. Lorsque le moteur d'inspection SMTP est utilisé en conjonction avec une liste d'accès, seuls les sept principales commandes SMTP sont autorisés et limités par la commande d'inspection ACL.The vous permet également de changer l'affectation du port du protocole. En utilisant l'exemple ci-dessus SMTP, nous devrions utiliser le port 8080 ainsi que le défaut d'inspecter SMTP (port 25). En pré-7.0 du code, nous avons utilisé le fixup commande, mais maintenant nous avons besoin d'utiliser deux commandes.

Support VPN

Un aspect important de la sécurité réseau est la confidentialité des informations. Paquets qui transitent sur un réseau sont très proches des cartes postales envoyées par la poste, si vous ne voulez pas le monde de lire vos messages, vous devez prendre des mesures supplémentaires. Pour réaliser le genre de la confidentialité offerts sur un réseau privé, plusieurs approches peuvent être utilisées. On utilise le cryptage pour cacher (chiffrer) les informations. Une norme début, soutenu par Microsoft, est le Point-to-Point Tunneling Protocol (PPTP). Un peu comme mettre une lettre dans une enveloppe scellée, cette norme permet d'encapsuler (et dissimulation) du trafic réseau à l'intérieur d'un transport header.A approche similaire, mais plus complète consiste à utiliser le Layer 2 Tunneling Protocol (L2TP). Ce protocole est originaire de nombreuses déploiements de Microsoft, donc, le soutien PIX pour PPTP et L2TP est un élément important du jeu de fonctionnalités. À l'automne 1998, le protocole Secure Internet (IPSec) a été publié dans la RFC 2401. Cisco a pris les devants dans la mise en oeuvre IPSec en coauthoring nombre des RFC IPSec et la fourniture de solutions pour certains des plus collantes issues.Trying IPSec pour utiliser NAT avec L2TP/IPSec est l'un des plus gros problèmes avec les VPN. NAT réécrit l'en-tête IP, invalidant ainsi l'objet de L2TP/IPSec, qui garantit l'authenticité de l'en-tête IP. RFC 3193 décrit en détail comment NAT Traversal est utilisé pour permettre User Datagram Protocol (UDP) encapsulation des paquets IP authentifié en utilisant le port 4500.

Le PIX est un excellent point de terminaison du tunnel IPSec. Il présente un large éventail de normes interopérables et est utilisé pour configurer les clés pré-partagées et autorité de certification (CA). Beaucoup de sociétés utilisent un pare-feu PIX comme intégrée / VPN terminator (en particulier dans les environnements SOHO), et comme un stand-alone de terminaison VPN en conjonction avec un autre (dédié) pare-feu. En utilisant PIX, bureaux distants peuvent connecter de manière sécurisée à un point central ou à l'autre. Au lieu d'encourir des coûts élevés, un VPN peut être configuré entre deux pare-feu PIX toutes les informations traversant le VPN cryptées et authentifiées, rendant presque impossible pour quelqu'un de renifler le fil et voler des données. Une des meilleures caractéristiques du PIX est VPN. La simplicité de l'appareil de pare-feu PIX fait un choix judicieux pour les VPN de terminaison dans l'entreprise et le transporteur de nombreux environnements de classe.

Filtrage d'URL

URL identifier les utilisateurs des adresses amicale sur le World Wide Web (WWW). Le pare-feu PIX soutient le filtrage des URL en interceptant une demande et à valider sa licéité contre une base de données située sur un serveur N2H2 ou Websense N2H2 server.The pouvez exécuter Linux (www.n2h2.com/products/bess.php?os=lnx&device=pix) Ou Microsoft Windows (www.n2h2.com/products/bess.php?os=win&device=pix), Le serveur de Websense peuvent utiliser ces plates-formes ou être installé sur un serveur Solaris (www.websense.com/products/ intégrations / ciscoPIX.cfm). Filtrage de l'URL donne les moyens d'appliquer et faire appliquer une politique d'utilisation acceptable pour la navigation sur Internet, ainsi que pour saisir et analyser comment le personnel utilise les serveurs Internet.The fournir des capacités de reporting afin que vous puissiez déterminer si la politique est suivie.

NAT

par une société appelée Réseau Translations Inc, et son rôle premier était d'effectuer la traduction adresse PIX version 7 supporte également le mode transparent, qui est un mode spécial où le PIX ne traite pas de traduction, mais sépare encore le réseau dans des zones sécurisées et précaires. L'espace d'adressage IP est plat et il n'ya pas de réseau privé. Une seule interface peut être subdivisé en plusieurs zones logiques connu sous le nom sécurité contextes, Chacun avec une level.This sécurité différentes est appelé mode contexte multiple, et permet d'avoir plus de zones de sécurité que le mode et le mode interfaces.Transparent contexte multiples sont généralement utilisés ensemble. Pour une discussion complète sur les contextes de sécurité et comment les configurer, allez à www.cisco.com/en/US/products/ ps6120/products-configuration-guide-article09186a0080450b90.html. Haute disponibilité

PIX Hardware

Le PIX a beaucoup de différents modèles de configuration pour s'assurer qu'un produit est adapté à des exigences différentes environments.The d'un utilisateur de SOHO sont différents d'un prestataire de services. Cisco fournit différentes classes avec certains éléments de prix pour assurer le placement de produit optimale. Cinq modèles sont actuellement supportés: la 501, 506E, 515E l', le 525, et le 535. Toutefois, il existe trois modèles que vous voyez mai déployée dans les environnements d'entreprise: la 515, la 525, et le 535. Comme il s'avère, ce sont les trois modèles que le nouveau 7.0 code s'exécute on.Table 4.1 présente les caractéristiques essentielles de chaque modèle.

NOTE

Au moment d'écrire ces lignes, la version 7.0 du code ne fonctionne pas sur l'à-dire des modèles SOHO, le 501 et 506E modèles: ni est-il prévu d'appuyer la version 7.0 OS sur ces deux modèles.

-- PIX 501 Le PIX 501 est le modèle d'entrée de base pour la ligne de PIX, avec une configuration matérielle fixe. Il a quatre-port switch 10/100Mbps pour une connectivité à l'intérieur, et une seule interface 10/100Mbps pour la connexion à l'Internet en amont de périphérique (comme un modem câble ou Digital Subscriber Line [DSL] routeur). Elle prévoit un débit 3 mégabits par seconde (Mbps), sur un Data Encryption Standard (DES) IPSec connexion, ce qui satisfait la plupart des SOHO requirements.The licence de base est à 10 licence d'utilisation 3Les données Encryption Standard (3DES)

-- DES IPSec Il ya une possibilité de 50 mise à niveau des utilisateurs et / ou 3DES support.There VPN est également un nombre illimité d'utilisateurs disposition.Le version 501 est basé sur un processeur 133 MHz SC520 AMD avec 16 Mo de RAM et 8 Mo de flash.There est un port de la console, un full-/half-duplex port RJ45 10BaseT pour l'extérieur, et une approche intégrée, détection automatique, auto-MDIX 4 ports RJ45 10/100 Switch pour l'intérieur.

-- PIX 506E Le produit 506E est une version améliorée du châssis 506.The »sont similaires, mais les 506E dispose d'une unité plus costaud centrale de traitement (CPU), d'un ventilateur silencieux et un nouveau pouvoir supply.The processeur est un Intel Celeron 300 MHz, et la mémoire vive (RAM) et le flash sont de la même capacité que l'original 506. Débit en texte clair a été porté à 100 Mbit / s (vitesse fil), et 3DES débit a été porté à 16 Mbps. De licence sur le 506E (et 506) est prévu en chambres simples, mode.The unlimiteduser seule licence supplémentaire dont vous avez besoin de mai est le license.The 3DES 506E dispose d'un port console RJ45 et deux ports 10BaseT, l'un pour l'extérieur et l'autre pour l'intérieur.

-- PIX 515E Le 515E a remplacé le 515 en Mai 2002. Il a une plus performants Intel Celeron 433MHz et une augmentation de la performance de pare-feu de base, et est destiné aux centrales d'entreprise de petites et moyennes 515E entreprises.Le peuvent décharger la charge de calcul arithmétique DES à partir de l'OS à un accélérateur dédié VPN (carte VAC +), peut fournir jusqu'à 135Mbps 3DES débit et VPN 2000 Licence tunnels.The est similaire: une licence restreinte vous limite à trois interfaces et aucun basculement, alors qu'une licence libre est la mise à niveau de mémoire, l'ACC +, et jusqu'à six interfaces . Le châssis est une unité de 1 (1U) Pizza-Box, qui est destiné à mounting.The rack différence la plus importante entre le 506E et le 515E est que le châssis est 515E matériel configurable. Il fournit un emplacement pour un port supplémentaire à simple ou à quatre ports Fast Ethernet (FE) d'interface, permettant un port à l'intérieur, un port extérieur, et jusqu'à quatre réseaux de services supplémentaires. La licence est flexible, permettant aux entreprises d'acheter uniquement ce que ils need.The licence restreinte limite le nombre d'interfaces à trois et ne supporte pas HA.The licence illimitée permet une augmentation de la RAM (de 32 Mo à 128 Mo) et jusqu'à six interfaces, avec une capacité de basculement.

-- PIX 525 Le PIX 525 est conçu pour les entreprises de grande ou de petite environments.The prestataire de service 525 prend en charge trois ou quatre seule-Port 10/100 cartes FE, ou trois à canal unique port fibre gigabit cartes Ethernet. Performance raconte l'histoire: Le 525 avec ses 600 MHz Intel Pentium III offre 330Mbps clair débit texte et, avec le VPN + carte de l'accélérateur, 145Mbps de 3DES trafic du tunnel IPSec. Comme avec les autres modèles, d'octroi de licences est basé sur le nombre d'interface et licence restreinte failover.The limite le PIX 525 à 128 Mo de RAM et six interfaces.The bosses sans restriction de licence RAM à 512 Mo, permet jusqu'à huit interfaces, et prend en charge le basculement. Comme auparavant, 3DES Licence est séparé, si désiré.

-- PIX 535 Le PIX 535 est le top-of-the-line modèle, adapté aux environnements de fournisseurs de services. La performance est la clé: jusqu'à 1.7Gbps débit en texte clair, un demi-million de connexions simultanées, et 7000 d'initialisation de connexion / démontage des second.With par l'ACC +, vous pouvez obtenir 425Mbps 3DES débit, avec un maximum de 2.000 associations de sécurité simultanées (tunnels VPN ). En termes de matériel, le PIX 535 est basé sur un Intel Pentium III 1 GHz, avec jusqu'à 1 Go de RAM. Il dispose d'un flash de 16 Mo et 256 Ko de cache cadencé à 1GHz, ainsi que d'un double 64-bit 66MHz PCI bus système. En termes d'interfaces, les 535 prend en charge l'installation d'autres interfaces réseau via quatre 66 Mhz/64-bit et cinq 33 MHz/32-bit Peripheral Component Interconnect (PCI) les créneaux horaires slots.The de soutenir l'expansion des cartes d'extension, y compris FE-port unique, quatre ports FE et un seul port Gigabit Ethernet cards.The 535 est également le seul modèle à l'appui d'alimentations redondantes.

un article présenté par Yves D.

Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite.
Important: Cet article "Le PIX est un excellent point de terminaison du tunnel IPSec» a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.