PIXの優秀なIPSecトンネルを終端点である

ICMPの＆は、PIX

デフォルトでは、PIXのping要求を直接、外部インターフェイスに送信される応答します。ベストプラクティスのコマンドでは、このオフにすることをお勧め：ICMPは、ICMPの応答をオフに任意の外部旋削を拒否する潜在的なハッカーへのアクセスを拒否します。ただし、まともなハッカーがネットワークにファイアウォールが考え出すものだ、彼らの場所、またはファイアウォールのIPアドレスですが知っていることはありません。

先進的なプロトコルの処理

PIXの組み合わせ ステートフル パケットアプリケーション検査を介してプロキシを高度なプロトコル処理とフィルタリング。アプリケーション検査は、特定のプロトコルのセキュリティ強化モデルを提供します。アプリケーションプロキシを使用したアプリケーションの検査を混同しないでください。アプリケーション検査は、特定のアプリケーション用ではなく、むしろには、Internet Assigned Numbers Authorityの（IANA）は、特定のプロトコルの規格に準拠するパケットを検査していません。たとえば、我々のポート、ソース上で、我々がフィルタ、SMTPのアクセスリストの設定IPアドレス、宛先IPアドレス。ときに、SMTP検査エンジンは、アクセスリストと組み合わせて使用され、唯一の7つの基本的なSMTPコマンドを許可されてACL.The検査コマンドによって制限されまた、プロトコルのポート割り当てを変更することができます。上記のSMTPの例を使用して、我々は、デフォルトと一緒にポート8080を使用すること）のSMTP（ポート25を検査します。中古では、7.0のコードでは、使用される フィックス コマンドが、今のところ2つのコマンドを使用する必要があります。

VPNサポート

ネットワークセキュリティの重要な側面は、情報の機密保持されます。れたパケットは、ネットワークに沿って流れる多くのはがきは、メールを介して送信されるようなもの場合は、世界があなたのメッセージを読んだりしたくない場合は、追加の手順を実行する必要があります。の種類を達成するために守秘義務は、プライベートネットワークで提供される、いくつかのアプローチを使用することができます。 1つ（暗号化）は、情報を隠すために暗号化を使用します。早期の標準は、MicrosoftによってサポートされているのPoint - to - Pointトンネリングプロトコル（PPTP）。はるかに封をした封筒の中に文字を置くように、この標準をカプセル化するため（と）輸送中header.Aが、より包括的な同様のアプローチを、ネットワークトラフィックを隠し2トンネリングプロトコル（L2TP）層を使用することができます。このプロトコルは、多くのネイティブなマイクロソフトの展開するため、PPTP用のPIXをサポートし、L2TPの機能の重要な要素と設定されて、1998年の秋には、セキュアなインターネットプロトコル（IPSec）は、RFC 2401で公開された。シスコは、IPSecのRFCの多くのcoauthoringと一部の粘着性を高めるのIPSecのL2TP/IPSecのNATを使用するissues.Tryingのためのソリューションを提供することのIPSecの実装でリードを奪い1のVPNを使用して最大の問題の一つです。 NATは、それのL2TP/IPSecは、IPヘッダの信頼性確保の目的を破り、IPヘッダを書き換えます。は、RFC 3193の詳細について、NATトラバーサル、認証されたIPパケットのポート4500を使用してはUser Datagram Protocol（UDP）をカプセル化できるようにするために使用されます。

PIXの優秀なIPSecトンネルを終端点である。それは、相互運用可能な標準の広い範囲を持って構成するために使用され、事前共有鍵と証明機関（CA）です。多くの企業が統合されたファイアウォールとしてのPIXを使用する/ VPNの終端のSOHO（特に環境）は、スタンドアロンとして、別の（専用と組み合わせてのVPNターミネータ）ファイアウォール。 PIXのを使用して、リモートオフィス、しっかりと中心点をしたり、お互いに接続することができます。その代わりに高いコストを費やすのは、VPNの2つのPIXファイアウォール間のすべての情報は、VPN暗号化された横断認証では、ほとんどの人は、ワイヤを吸うことは不可能に設定することができますを盗むのデータを1つは、PIXの最高の機能のVPNのパフォーマンスです。 PIXファイアウォールアプライアンスのシンプルさが多くのエンタープライズとキャリアクラスの環境でのVPN終端のために健全な選択肢となります。

URLフィルタリング

URLにユーザーを識別するフレンドリーなアドレスは、ワールドワイドウェブ（WWW）上で。PIXファイアウォールのURL要求をインターセプトし、データベースには、N2H2社またはWebsense server.The N2H2のサーバ上でLinuxを実行することができる位置に対して、その許さ検証することによりフィルタリングをサポート（www.n2h2.com/products/bess.php?os=lnx&device=pix）またはMicrosoft Windows（www.n2h2.com/products/bess.php?os=win&device=pix）; Websenseサーバまたはこれらのプラットフォームで使用できるSolarisサーバ上にインストールする（www.websense.com/products/ 統合/ ciscoPIX.cfm）、URLフィルタリングを適用し、インターネットのブラウジングのための利用ポリシーを適用するだけでなく、キャプチャし、分析する方法人事Internet.Theサーバーを使用することを意味ので、もし期限が守られされているかを判断することができますレポーティング機能を提供しています。

NATの

会社によって、ネットワークの翻訳株式会社と呼ばれるその最初の役割をアドレス変換PIXのバージョン7はまた、特殊なモードでは、PIXのアドレス変換されませんされ、透過モードをサポートして実行していたが、それでも安全性と不安定な地域にネットワークを分離します。 IPアドレス空間とフラットがないプライベートネットワークです。単一のインターフェイス、いくつかの論理的な地域として知られて細分化することができます セキュリティ コンテキストは、それぞれ異なるセキュリティlevel.Thisで複数のコンテキストモードとして知られておりinterfaces.Transparentモードと、複数のコンテキストモードよりも安全保障の分野が可能になります一般的には一緒に使用されます。セキュリティコンテキストに完全な議論について、どのように構成するには、に行く www.cisco.com/en/US/products/ ps6120/products-configuration-guide-article09186a0080450b90.html。 高可用性

PIXのハードウェア

は、PIXには多くの異なる構成モデルは、製品のSOHOユーザーのさまざまなenvironments.Theの要件には、サービスプロバイダから別のに適していますようにします。シスコ、さまざまな価格ポイントで最適な製品の配置を確保するため、さまざまなクラスを提供します。5つのモデルは現在サポートされて：501、506Eは、515E、525、および535。しかし、3つのモデルは、エンタープライズ環境で展開されることがあります：515、525、および535アール。結局のところ、これらの3つのモデルでは、新しい7.0のコードをon.Table 4.1を実行され、各モデルの重要な特性を示しています。

�大手町

これを書いて、バージョン7.0のコードの時点では、SOHOのモデルすなわち、501と506Eのモデルでは動作しません：もありますが、これらの2つのモデルでは7.0 OSのバージョンをサポートする計画だ。

- PIXの501 は、PIX 501の固定のハードウェア構成では、PIXラインのための基本的なエントリーモデルです。これは、4ポート10/100Mbpsている内部の接続、およびインターネットへのアップストリームデバイス（たとえば、ケーブルモデムまたはデジタル加入者線[DSLモデム]接続するための単一の10/100Mbpsのインターフェイス、スイッチ、ルータ）。これは、データ暗号化標準（DES）IPSec接続は、ほとんどのSOHO requirements.The基本ライセンスを満たす10 - 3Data暗号化標準（3DES）を持つユーザーのライセンスです（Mbps）の2番目のスループットあたり3メガビットの提供

- DESのIPSecの あるオプションの50ユーザのアップグレードおよび/または3DES VPNのsupport.Thereも無制限のユーザー数のバージョンavailable.The 501 133 MHz以上のAMD SC520プロセッサ上で16 MBのRAMとflash.There 8 MBのベースですがは、外でfull-/half-duplex RJ45 10BaseTポート、コンソールポート、および統合され、自動車、自動検出- MDIXは、4ポートのRJ45 10/100スイッチの内側に。

- PIX 506Eの 506Eの製品は、506.Theシャーシ'の拡張版ですが、似ている506Eの新しい電源supply.The CPUが300MHz以上のIntel Celeron、およびされている内容を含む中央演算処理装置（CPU）は、静かなファンとはランダムアクセスメモリ（RAM）とフラッシュメモリは、元の506と同じ容量です。クリアテキストのスループット100Mbpsの（ワイヤスピード）、および3DESスループットを増加されている16 Mbpsに増加している。 506Eの（および506）、単一unlimiteduser mode.Theにする必要がありますだけ余分なライセンスを提供されるかのライセンスは、3DES license.The 506Eのは1つのポートと2個のRJ45 10BaseTのポート、1つのコンソールがあり、外のいずれかの内側に。

- のPIX 515E 515E 2002年5月515に置き換えられました。これは高いが、433MHzのインテルCeleronを実行し、増加ベースのファイアウォール、パフォーマンス、および企業のコアの小規模から中規模のOSからは、専用のVPNアクセラレータにDESの計算演算の負荷をオフロードすることができますbusinesses.The 515E大きさを意図してカード（VAC +カード）、135Mbpsには3DESスループットと2,000のVPN tunnels.Theのライセンスを提供すると似ています：制限されたライセンスの無制限ライセンスに対し、3つのインターフェイスとフェールオーバー、する場合の制限は、メモリのアップグレードは、VAC +カードは、最大6つのインターフェイスに。シャーシは、ラックmounting.Theの506Eのと515Eの間で最も重要な違いは意図されて1ユニット（1Uサイズ）のピザボックスで、されている515Eシャーシのハードウェア構成可能です。これは、追加の1つのポートまたは4ポートファストイーサネット（FE）でインターフェイスは、内部ポート、外部ポート、および最大4つの追加のサービスネットワークをするためにできるスロットを提供します。ライセンスの柔軟性があり、企業のみを購入することができますかは、ライセンスの制限need.The 3とのインターフェイスの数を制限HA.The無制限のライセンスをサポートしていない128MB以上のRAMの増加32MB以上（から）と最大6つのインターフェイスに、一緒にフェイルオーバー機能を持つことができます。

- PIX 525の PIX 525の大企業や中小サービスプロバイダーenvironments.The 525。パフォーマンスの3つのシングルエンドまたは4ポート10/100鉄カード、または3つのシングルポートファイバチャネル、ギガビットEthernetカードをサポートして設計されている物語：525とは、600MHz以上のIntel Pentium III 330Mbps、クリアテキストのスループットと、VPNで+アクセラレータカードの3DES IPSecトンネルトラフィックの145Mbps誇っています。他のモデルと同様に、ライセンスのインターフェイスをカウントし、failover.The制限されたライセンスに基づいているためにPIX 525の制限128MB以上のRAM、および6 interfaces.The無制限ライセンスバンプのRAMを512MBに、最大8つのインターフェイスを可能にし、フェールオーバーをサポートします。必要に応じて前と同様、3DESのライセンスは別です。

- PIX 535の PIX 535のトップであるのラインのモデルでは、サービスプロバイダー環境に適していません。パフォーマンスキー：最大1.7Gbpsにクリアテキストのスループットは、50万の同時接続、および7000接続の初期化は、/ second.With VACの1泊teardowns +では、と425Mbps 3DESのスループットを得ることができる最大2,000の同時のセキュリティアソシエーション（VPNトンネルに）、ハードウェアの面では、PIX 535 1GHz以上のIntel Pentium III上に基づいていますに1GB以上のRAMをバックアップします。それだけでなく、デュアル64ビット66MHz動作のPCIシステムバスは、16MBのフラッシュは256Kキャッシュ1GHzで動作している。インターフェイスの面では、535の追加のネットワークインストールをサポートする4 66 MHz/64ビット5 33 MHz/32-bit周辺機器コンポーネント相互接続（PCI）を介して拡大slots.Theスロットのインターフェイス、シングルポートFEを含む拡張カードをサポート4ポートFEとシングルポートのギガビットイーサネットcards.The 535また、冗長電源をサポートするための唯一のモデルです。

記事は、イブD.さんの提出

免責事項：弊社のウェブサイトは、この資料の内容については責任を負いません。 Webarticles無料の情報リソースです。
重要： PIXの優秀なIPSecトンネル終端ポイント"の自動ソフトウェアによって翻訳された場合、この記事は、"。大変申し訳ございませんが発生した可能性があります任意のスペルミスを感じている。お客様のご理解いただき、ありがとうございます。