O PIX é um excelente ponto de terminação de túnel IPSecICMP & The PixPor padrão, o PIX irá responder a uma solicitação de ping enviados diretamente para a interface externa. As melhores práticas recomendam virando isto fora com o comando: ICMP negar qualquer Turning off fora a resposta ICMP nega o acesso a um hacker em potencial. No entanto, qualquer hacker decente vai descobrir que a sua rede tiver um firewall, o que eles não sabem é a localização ou o endereço IP do firewall.
Advanced Protocol Handling O PIX combina stateful filtragem de pacotes com a manipulação de protocolos avançados com aplicação de controlo através de procurações. Inspecção aplicativo fornece um modelo de segurança mais rigorosas para que determinado protocolo. Não confunda um pedido de inspecção com um proxy de aplicação. Pedido de inspecção não inspeciona os pacotes para uma aplicação específica, mas sim por observância à Internet Assigned Numbers Authority (IANA) normas para um determinado protocolo. Por exemplo, se configurou uma lista de acesso de SMTP, que poderiam filtrar na porta, fonte IP e IP de destino. Quando o mecanismo de inspeção SMTP é usado em conjunto com uma lista de acesso, apenas os sete comandos básicos SMTP é permitido e restrito pelo comando inspecção ACL.The também permite alterar a atribuição de porta do protocolo. Usando o exemplo acima SMTP, gostaríamos de usar a porta 8080, juntamente com o padrão inspecionar porta SMTP (25). Na pré-7,0 código, usamos o correção comando, mas agora precisamos usar dois comandos. Suporte a VPN Um aspecto importante da segurança da rede é a confidencialidade das informações. Pacotes que fluem ao longo de uma rede são muito parecidos com os postais enviados pelo correio, se você não quer que o mundo ler sua mensagem, você tem que tomar medidas adicionais. Para conseguir o tipo de confidencialidade oferecidos em uma rede privada, diversas abordagens podem ser utilizadas. Um usa criptografia para esconder (criptografar) as informações. Um padrão de início, apoiado pela Microsoft, é o Point-to-Point Tunneling Protocol (PPTP). Bem como colocar uma carta dentro de um envelope selado, esta norma permite encapsular (e escondem) o tráfego de rede de transporte dentro de uma abordagem similar, mas mais abrangente header.A é usar o Layer 2 Tunneling Protocol (L2TP). Este protocolo é nativo para muitos implementações da Microsoft, portanto, PIX suporte para PPTP e L2TP é um elemento importante do conjunto de recursos. No outono de 1998, o Secure Internet Protocol (IPSec) foi publicado na RFC 2401. Cisco tomou a dianteira na implementação IPSec por co-autor de muitas das RFCs IPSec e fornecimento de soluções para algumas das mais rígidas issues.Trying IPSec para usar o NAT com L2TP/IPSec é um dos maiores problemas com VPNs. NAT reescreve o cabeçalho IP, invalidando a finalidade de L2TP/IPSec, o que garante a autenticidade do cabeçalho IP. RFC 3193 detalha como NAT Traversal é usado para permitir User Datagram Protocol (UDP) encapsulamento do pacote IP autenticado usando a porta 4500. O PIX é um excelente ponto de terminação de IPSec túnel. Tem uma vasta gama de normas interoperáveis e é usado para configurar as chaves pré e Certificado de Autoridade (CA). Muitas empresas usam PIX como um firewall integrado / terminador de VPN (especialmente em ambientes SOHO), e como um stand-alone terminador de VPN em conjunto com outro (dedicado) firewall. Ao utilizar PIX, escritórios remotos podem se conectar seguramente a um ponto central ou um ao outro. Ao invés de incorrer em custos elevados, uma VPN pode ser configurada entre dois PIX firewalls com todas as informações atravessando a VPN criptografada e autenticada, o que torna quase impossível para alguém para cheirar o fio e roubar os dados. Uma das melhores características do PIX é VPN desempenho. A simplicidade do dispositivo de firewall PIX torna a escolha um som para terminação de VPN da empresa transportadora e muitos ambientes de classe. URL Filtering URLs identificam endereços do usuário amigável na World Wide Web (WWW). O firewall PIX suporta filtragem de URL, interceptando uma solicitação e validar a sua legitimidade em um banco localizado em um servidor N2H2 ou Websense N2H2 server.The pode rodar Linux (www.n2h2.com/products/bess.php?os=lnx&device=pix) Ou o Microsoft Windows (www.n2h2.com/products/bess.php?os=win&device=pix), O servidor Websense pode usar estas plataformas ou ser instalado em um servidor Solaris (www.websense.com/products/ integrações / ciscoPIX.cfm). Filtragem de URL fornece os meios para aplicar e implementar uma política de uso aceitável de navegação na Internet, bem como para capturar e analisar como o pessoal usar os servidores Internet.Ainda fornecer capacidades de relatório para que você possa determinar se a política está sendo seguido. NATpor uma empresa chamada Network Translations Inc., e seu primeiro papel foi executar endereço tradução PIX versão 7 também suporta o modo transparente, que é um modo especial, onde o PIX não trata de tradução, mas que ainda separa a rede em áreas seguras e inseguras. O espaço de endereçamento IP é plana e não há rede privada. Uma única interface pode ser subdividida em várias áreas lógico conhecido como segurança contextos, Cada um com uma level.This segurança diferentes é conhecido como modo de contexto múltiplo, e torna possível ter mais áreas do que o modo de segurança eo modo interfaces.Transparent contexto múltiplos são geralmente utilizados em conjunto. Para uma discussão completa sobre contextos de segurança e como configurá-los, vá para www.cisco.com/en/US/products/ ps6120/products-configuration-guide-article09186a0080450b90.html. High Availability PIX Hardware O PIX tem muitos modelos diferentes de configuração para garantir que o produto é adequado às diferentes necessidades de um usuário environments.The SOHO são diferentes de um fornecedor de serviços. A Cisco fornece várias classes, com preços diferentes para garantir a colocação do produto ideal. Cinco modelos são suportados atualmente: o 501, o 506E, a 515E, o 525 eo 535. No entanto, existem três modelos que você pode ver implantado em ambientes empresariais: o 515, o 525 eo 535. Como se vê, estes são os três modelos que o código 7,0, corre 4,1 on.Table mostra as características essenciais de cada modelo. NOTA No momento da redação deste texto, a versão 7.0 o código não é executado, ou seja, modelos SOHO, a 501 e 506E modelos: nem existem planos para suportar a versão 7.0 OS sobre estes dois modelos. -- PIX 501 O PIX 501 é o modelo de entrada da linha de base para a PIX, com uma configuração de hardware fixo. Tem um quatro portas 10/100 para conectividade de switch para dentro, e uma única interface 10/100 Mbps para conexão à Internet a montante do dispositivo (como modem de cabo ou Digital Subscriber Line [DSL] router). Ele oferece 3 megabits por segundo (Mbps), em um Data Encryption Standard (DES) conexão IPSec, que satisfaça a maioria SOHO licença base requirements.The é uma 10-licença de usuário com 3Data Encryption Standard (3DES) -- DES IPSec Há uma atualização opcional de 50 usuários e / ou 3DES support.There VPN é também uma versão ilimitada usuário available.The contagem de 501 é baseado em um processador de 133 MHz da AMD SC520 com 16 MB de RAM e 8 MB de flash.There é um porta de console, um full-/half-duplex RJ45 10BaseT para o exterior, e uma abordagem integrada, auto-sensing, auto-MDIX 4 portas RJ45 10/100 mudar para o interior. -- PIX 506E O produto 506E é uma versão melhorada do chassi 506.The são similares, mas o 506E tem beefier uma unidade de processamento central (CPU), uma ventoinha silenciosa, e um novo suprimento de energia da CPU é um Intel Celeron de 300 MHz, e a memória de acesso aleatório (RAM) e Flash são da mesma capacidade que o 506 original. Clear-throughput texto foi aumentado para 100 Mbps (wire speed) e 3DES throughput foi aumentada para 16 Mbps. Licenciamento do 506E (e 506) é fornecido em mode.The, único unlimiteduser licença extra só pode ter é a license.The 3DES 506E tem uma porta de console e duas portas RJ45 10BaseT, uma para o exterior e outra para o interior. -- PIX 515E O 515E substituiu o 515 em maio de 2002. Tem um alto desempenho Intel Celeron 433MHz e uma performance de firewall aumentar a base, e destina-se ao núcleo empresarial de pequenas e médias 515E businesses.The pode descarregar a carga de cálculo aritmético DES do sistema operacional de um acelerador de VPN dedicada cartão (VAC +), fornecendo até 135Mbps 3DES throughput e 2.000 licenças de VPN tunnels.The é semelhante: uma licença restrita limita a três interfaces e não failover, enquanto uma licença irrestrita tem o upgrade de memória, o VAC +, e até seis interfaces . O chassi é uma Unidade 1 (1U) pizza-box, que se destina a mounting.The rack diferença mais importante entre os 506E e 515E é que o chassis é 515E hardware configurável. Ele fornece uma abertura para uma porta adicional única ou quatro portas Fast Ethernet (FE) da interface, permitindo uma porta para dentro, uma porta fora, e até quatro redes de serviços adicionais. O licenciamento é flexível, permitindo às empresas a comprar somente o que de que necessitam de licença restrita limita o número de interfaces para três e não suporta HA.The licença irrestrita permite um aumento na RAM (de 32MB a 128MB) e até seis interfaces, juntamente com a capacidade de failover. -- PIX 525 O PIX 525 é projetado para empresas grandes ou pequenas environments.The prestador de serviço de 525 só suporta três ou quatro portas 10/100 cartões FE, ou três único canal de fibra porta Ethernet Gigabit. Desempenho conta a história: A 525 com a sua 600MHz Intel Pentium III possui 330Mbps clara transferência de texto e, com a VPN + placa aceleradora, 145Mbps de tráfego de encapsulamento IPSec 3DES. Tal como acontece com os outros modelos, o licenciamento é baseado na contagem de interface e licença restrita failover.The limites do PIX 525 a 128MB de RAM e seis interfaces.The irrestrito de licença para 512MB de RAM solavancos, permite que até oito interfaces, e suporta failover. Como antes, 3DES licenciamento é separado, se assim desejar. -- PIX 535 O PIX 535 é o top-of-the-line modelo, ideal para ambientes de prestador de serviços. Performance é a chave: até 1.7Gbps processamento de texto simples, meio milhão de conexões simultâneas, e 7000 de inicialização de ligação / teardowns por second.With o VAC +, você pode conseguir 425Mbps throughput 3DES, com mais de 2.000 associações de segurança simultânea túneis (VPN ). Em termos de hardware, o PIX 535 é baseada em uma 1GHz Intel Pentium III, com até 1 GB de RAM. Ela tem um flash de 16MB e 256K de cache de 1GHz, bem como um dual 64-bit 66MHz PCI bus de sistema. Em termos de interfaces, o 535 suporta a instalação de interfaces de rede adicionais através de quatro 66 Mhz/64-bit cinco e 33 MHz/32-bit Peripheral Component Interconnect (PCI) slots.The slots de expansão suportam placas de expansão, incluindo única porta FE, quatro portas FE e um único cards.The porta Gigabit Ethernet 535 é também o único modelo para apoiar fontes de alimentação redundantes. um artigo submetido por Yves D. Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre. Importante: Este artigo "O PIX é um excelente ponto de terminação de IPSec túnel" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.
|
|||||
| Online: 415 users browsing the articles directory |
|
|