Il PIX è un ottimo punto di terminazione del tunnel IPSecICMP e il PIXPer impostazione predefinita, il PIX risponde a una richiesta di ping inviati direttamente l'interfaccia esterna. Le migliori pratiche consigliamo di attivare questa via con il comando: ICMP negare qualsiasi Passando al di fuori fuori la risposta ICMP nega l'accesso ad un potenziale hacker. Tuttavia, qualsiasi hacker decente sarà capire che la rete ha un firewall, quello che non si sa è il percorso o l'indirizzo IP del firewall.
Advanced Protocol Handling Il PIX combina stateful packet filtering con la gestione avanzata dei protocolli con i proxy attraverso l'applicazione di controllo. Ispezione applicazione fornisce un modello di rafforzamento della sicurezza per quel determinato protocollo. Non confondere un controllo delle applicazioni con un proxy applicazione. Applicazione di controllo non ispezionare i pacchetti per una specifica applicazione, ma piuttosto per la conformità a Internet Assigned Numbers Authority (IANA) standard per un protocollo particolare. Ad esempio, se abbiamo configurato un elenco di accesso per SMTP, potremmo filtro sulla porta, di origine IP e IP di destinazione. Quando il motore di ispezione SMTP è usato in congiunzione con una lista di accesso, solo il sette base comandi SMTP sono ammessi e limitato dal comando di controllo ACL.The consente anche di modificare l'assegnazione della porta del protocollo. Utilizzando l'esempio SMTP di cui sopra, dovremmo usare la porta 8080 con il default ispezionare SMTP (porta 25). In pre-7.0 del codice, abbiamo utilizzato la fixup comando, ma ora abbiamo bisogno di usare due comandi. Supporto VPN Un aspetto importante della sicurezza di rete è la riservatezza delle informazioni. Pacchetti che scorre lungo una rete sono molto simili cartoline inviate per posta, se non si desidera che il mondo, leggere i messaggi, è necessario adottare misure supplementari. Per conseguire il tipo di riservatezza offerti su una rete privata, diversi approcci possono essere utilizzati. Uno utilizza la crittografia per nascondere (cifrare) i dati. Uno standard precoce, supportata da Microsoft, è il Point-to-Point Tunneling Protocol (PPTP). Molto simile a mettere una lettera in una busta sigillata, questo standard permette di incapsulare (e nascondere) il traffico di rete all'interno di un trasporto header.A approccio simile, ma più completa è quella di utilizzare il Layer 2 Tunneling Protocol (L2TP). Questo protocollo è nativo per molti implementazioni di Microsoft, quindi, il sostegno PIX per PPTP e L2TP è un elemento importante del set di funzionalità. Nell'autunno del 1998, il Secure Internet Protocol (IPSec) è stata pubblicata nella RFC 2401. Cisco ha assunto la guida in attuazione IPSec da coauthoring molte delle RFC IPSec e fornitura di soluzioni per alcuni dei più vischiosi IPSec issues.Trying per l'utilizzo di NAT con L2TP/IPSec è uno dei problemi più grandi con VPN. NAT riscrive l'intestazione IP, vanificando quindi lo scopo di L2TP/IPSec, che garantisce l'autenticità del header IP. RFC 3193 dettagli come NAT Traversal viene utilizzato per consentire User Datagram Protocol (UDP) l'incapsulamento del pacchetto IP autenticato utilizzando la porta 4500. Il PIX è un ottimo punto di terminazione del tunnel IPSec. Ha una vasta gamma di standard interoperabili e viene utilizzata per configurare le chiavi già condivise e Certificate Authority's (CA). Molte aziende utilizzano PIX come un firewall integrato / terminazione VPN (in particolare in ambienti SOHO), e come stand-alone VPN terminator in combinato disposto con l'altro (dedicata) firewall. Utilizzando PIX, uffici remoti possono collegarsi in modo sicuro ad un punto centrale o gli uni agli altri. Invece di affrontare costi elevati, una VPN può essere configurato tra due firewall PIX con tutte le informazioni che attraversano la VPN crittografate e autenticate, rendendo pressoché impossibile che qualcuno a fiutare il filo e rubare i dati. Una delle caratteristiche migliori del PIX è VPN performance. La semplicità delle appliance firewall PIX rende una buona scelta per la terminazione VPN in molte imprese e ambienti carrier-class. URL Filtering URL identificare user-friendly indirizzi sul World Wide Web (WWW). PIX Il firewall supporta il filtraggio degli URL intercettando una domanda e convalidare la sua legittimità nei confronti di un database che si trova su un server N2H2 o Websense N2H2 server.The possibile eseguire Linux (www.n2h2.com/products/bess.php?os=lnx&device=pix) O Microsoft Windows (www.n2h2.com/products/bess.php?os=win&device=pix), Il server Websense può utilizzare queste piattaforme o essere installati su un server Solaris (www.websense.com/products/ integrazioni / ciscoPIX.cfm). URL filtering fornisce i mezzi per applicare e far rispettare una politica di uso accettabile per la navigazione in Internet, così come per catturare e analizzare il modo personale di utilizzare il server Internet.The fornire funzionalità di reporting in modo che sia possibile determinare se la politica è stata seguita. NATda una società denominata Network Traduzioni Inc., e il suo primo ruolo è stato eseguendo Address Translation PIX versione 7 supporta anche la modalità trasparente, che è una speciale modalità in cui il PIX non affronta la traduzione, ma ancora separa la rete in zone sicure e insicure. lo spazio degli indirizzi IP è piatto e non c'è nessuna rete privata. Un'unica interfaccia può essere suddiviso in diverse aree logiche nota come sicurezza contesti, Ognuno con una diversa level.This sicurezza è conosciuta come la modalità più contesto, e rende possibile avere aree di maggiore sicurezza rispetto alla modalità interfaces.Transparent e modalità contesto di più sono generalmente utilizzati insieme. Per una descrizione completa dei contesti di sicurezza e come configurarli, vai a www.cisco.com/en/US/products/ ps6120/products-configuration-guide-article09186a0080450b90.html. High Availability PIX Hardware Il PIX ha molti modelli di diversa configurazione al fine di garantire che un prodotto è adatto alle diverse esigenze environments.The di un utente SOHO sono diverse da un fornitore di servizi. Cisco offre varie classi, con fasce di prezzo differenti al fine di garantire l'inserimento di prodotti ottimale. Cinque modelli sono attualmente supportate: la 501, la 506E, la 515E, il 525 e il 535. Tuttavia, ci sono tre modelli che si possono vedere adottate in ambienti aziendali: la 515, la 525, e il 535. A quanto pare, questi sono i tre modelli che il nuovo 7,0 codice viene eseguito 4,1 on.Table mostra le caratteristiche essenziali di ciascun modello. NOTE Al momento in cui scriviamo, la versione 7.0 del codice non viene eseguito sui modelli SOHO vale a dire, il 501 e 506E modelli: non ci sono piani per supportare la versione 7.0 OS su questi due modelli. -- PIX 501 Il PIX 501 è il modello di base di ingresso per la linea PIX, con una configurazione hardware fisso. Ha un quattro-port switch 10/100Mbps per la connettività all'interno, e una interfaccia unica 10/100Mbps per la connessione a Internet a monte del dispositivo (come modem via cavo o Digital Subscriber Line [DSL] router). Esso prevede 3 megabit al secondo di throughput (Mbps), su un Data Encryption Standard (DES) di connessione IPSec, che soddisfa la maggior parte SOHO licenza base requirements.The è un 10-licenza per l'utente con 3Protezione Encryption Standard (3DES) -- DES IPSec Vi è un 50-upgrade opzionale utente e / o 3DES support.There VPN è anche un illimitato numero available.The utente versione 501 è basato su un processore a 133 MHz AMD SC520 con 16 MB di RAM e 8 MB di flash.There è un porta console, un full-/half-duplex RJ45 10BaseT porta per l'esterno, e di un approccio integrato, auto-sensing, Auto-MDIX con 4 porte RJ45 10/100 per l'interno. -- PIX 506E Il prodotto 506E è una versione migliorata del telaio 506.The 'sono simili, ma la 506E ha beefier una unità centrale di elaborazione (CPU), una ventola silenziosa, e un nuovo potere supply.The CPU è un Intel Celeron 300 MHz, e la memoria ad accesso casuale (RAM) e Flash sono della stessa capacità del 506 originale. Throughput in chiaro è stato aumentato a 100 Mbps (velocità filo), e 3DES throughput è stato aumentato a 16 Mbps. Concessione di licenze sui 506E (e 506) è prevista in camere singole, Il display unlimiteduser solo licenza supplementare potrebbe essere necessario è il license.The 3DES 506E dispone di una porta console e due porte RJ45 10BaseT, uno per l'esterno e una per l'interno. -- PIX 515E Il 515E ha sostituito il 515 nel maggio 2002. Ha un elevato rendimento 433MHz Intel Celeron e un aumento delle prestazioni firewall di base, ed è destinato per il nucleo aziendale di piccole e medie 515E businesses.The può scaricare il carico di calcolo aritmetico DES dal sistema operativo a un acceleratore VPN dedicata Card (VAC +), offrendo fino a 135Mbps 3DES throughput e 2.000 licenze VPN tunnels.The è simile: una licenza limitata limiti di tre interfacce e non di failover, mentre una licenza illimitata è l'aggiornamento di memoria, il VAC +, e fino a sei interfacce . Il telaio è una Unità 1 (1U) pizza-box, che è destinato a mounting.The rack differenza più importante tra i 506E e 515E è che il telaio è 515E hardware configurabile. Esso prevede uno slot per una porta supplementare singola o quattro porte Fast Ethernet (FE) l'interfaccia, consentendo una porta interna, una porta di fuori, e fino a quattro reti di servizi aggiuntivi. La licenza è flessibile, consentendo alle aziende di acquistare solo ciò che essi need.The limitato di licenza limita il numero di interfacce a tre e non supporta la licenza illimitata HA.The consente un aumento della RAM (da 32MB a 128MB) e fino a sei interfacce, insieme con la capacità di failover. -- PIX 525 Il PIX 525 è stato progettato per le imprese di grandi o piccole environments.The fornitore di servizio 525 supporta tre singoli o quattro porte 10/100 schede FE, o tre a singolo canale in fibra di porta Gigabit Ethernet carte. Performance racconta la storia: il 525 con i suoi 600MHz Intel Pentium III vanta 330Mbps chiara-throughput di testo e, con la VPN + scheda acceleratrice, 145Mbps di traffico del tunnel IPSec 3DES. Come per gli altri modelli, delle licenze è basato sul conteggio di interfaccia e failover.The licenza limitata limita il PIX 525 a 128MB di RAM e sei interfaces.The RAM urti senza restrizioni di licenza a 512 MB, permette fino a otto interfacce, e supporta il failover. Come prima, 3DES licenze è separato, se lo si desidera. -- PIX 535 Il PIX 535 è il top-of-the-line il modello, adatto per ambienti di fornitore di servizi. Performance è la chiave: fino a 1.7Gbps chiara-throughput di testo, mezzo milione di connessioni simultanee, e 7000 l'inizializzazione di connessione / teardown per second.With il VAC +, è possibile ottenere 3DES throughput di 425Mbps, con un massimo di 2.000 associazioni di protezione simultanea (tunnel VPN ). In termini di hardware, il PIX 535 è basato su un processore Intel Pentium III a 1 GHz, con un massimo di 1GB di RAM. Ha un flash da 16 MB e 256K di cache esecuzione a 1GHz, così come a 64 bit dual-66MHz bus di sistema PCI. In termini di interfacce, il 535 supporta l'installazione di ulteriori interfacce di rete attraverso quattro 66 Mhz/64-bit e cinque 33 MHz/32-bit Peripheral Component Interconnect (PCI) slots.The slot di espansione supporta schede di espansione anche a porta singola-FE, quattro porte FE e single-port Gigabit Ethernet cards.The 535 è anche l'unico modello a sostenere alimentatori ridondanti. un articolo presentato da Yves D. Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni. Importante: Questo articolo "The PIX è un punto di terminazione del tunnel IPSec eccellente" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.
|
|||||
| Online: 497 users browsing the articles directory |
|
|