Настройка Cisco PIX

Настройка Cisco PIX

 

Настройка оборудования Cisco

Маршрутизаторы

Cisco2801.jpg

Cisco 1700

Сisco 2500

Cisco 2600

Cisco 2800

Cisco 3600

Основные свойства программного обеспечения Cisco IOS(tm) для маршрутизаторов:

  • оптимизация пропускной способности
  • безопасность
  • управление по telnet, ssh, http, snmp
  • поддержка сервисов мультимедиа и многоадресных рассылок 

 Коммутаторы

cisco-catalyst-WS-4506.gif

Catalyst 2900

Catalyst 4500

Линейка коммутаторов Catalyst постоянно расширяется. Начиная с приобретения компаний Grand Junction, Kalpana и Crescendo в середине девяностых годов двадцатого века и слияния с компанией Granite в 1999 году, корпорация Cisco Systems собрала вместе несколько лучших в мире инженеров, занимающихся проблемами коммутации. В результате их совместной работы появилось семейство коммутирующих продуктов, которые предоставляют различные функции для вне- внедрения в территориальных сетях. 

Линия коммутаторов Catalyst покрывает весь спектр пользователей от малых компаний и филиалов до корпоративных сетей. Семейство Catalyst включает коммутаторы для рабочих групп, малых сетей и многоуровневые коммутаторы для сетей масштаба предприятия, включая центры обработки данных, коммуникационные центры и создание высокопроизводительных магистралей передачи данных. Эта линия коммутаторов предлагает масштабируемые, высокопроизводительные, управляемые и всеобъемлющие решения. 

ПО Cisco IOS(tm) обеспечивает широкий спектр сетевых сервисов для коммутаторов Catalyst и приложений ЛВС. Технологиии Cisco IOS(tm) оптимизированы для коммутации и доступны для всех коммутаторов Catalyst. Это такие технологии, как Cisco Group Management Protocol (CGMP) - обеспечение оптимизации полосы пропускания для приложений мультимедиа, и обширные функции управления. ПО Cisco IOS(tm) также обеспечивает создание и управление виртуальными сетями (VLAN), управление адресами IP и защиту сетевых ресурсов и сервисов. 

Администраторы могут управлять сетями на базе коммутаторов Cisco c использованием встроенного агента удаленного управления (RMON), порта для подключения внешнего анализатора протоколов (Switched Port Analyzer - SPAN) и программного обеспечения сетевого управления включая CiscoWorks Windows и CiscoWorks UNIX.

Брандмауэры

ciscoASA5505.jpg

Cisco PIX

Cisco ASA

Межсетевой экран Private Internet Exchange (PIX)

Межсетевой экран Private Internet Exchange (PIX) компании Cisco привносит новый уровень безопасности корпоративных сетей в сочетании и простотой использования. PIX может полностью скрыть Вашу внутреннюю сеть от внешнего мира, обеспечивая полную безопасность. В отличие от типичных серверов - "посредников" (proxy), которые выполняют обработку каждого сетевого пакета в отдельности, существенно загружая при этом центральный процессор, PIX использует специальную, не UNIX-подобную, операционную систему реального времени, обеспечивая большую производительность. 

Основой высокой производительности межсетевого экрана PIX является схема защиты, базирующаяся на алгоритме адаптивной безопасности (adaptive security algorithm - ASA), который эффективно скрывает адреса пользователей от хакеров. Устойчивый, ориентированный на соединения алгоритм адаптивной безопасности обеспечивает безопасность для соединений базируясь на адресах отправителя и получателя, последовательности нумерации пакетов TCP, номерах портов и добавочных флагах TCP. Эта информация сохраняется в таблице, и все входящие пакеты сравниваются с записями в этой таблице. Доступ через PIX разрешен только в том случае, если соответствующее соединение успешно прошло идентификацию. Этот метод обеспечивает прозрачный доступ для внутренних пользователей и авторизованных внешних пользователей, при этом полностью защищая внутреннюю сеть от несанкционированного доступа. 

Cisco PIX также обеспечивает существенное преимущество в производительности по сравнению с межсетевыми экранами-"посредниками" (proxy) на базе ОС UNIX за счет технологии "сквозного посредника" (Cut-Through Proxy). Как и обычные серверы - "посредники" PIX контролирует установление соединения на прикладном уровне. После того, как пользователь был успешно идентифицирован в соответствии с политикой обеспечения безопасности, PIX обеспечивает контроль потока данных между абонентами на уровне сессии. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные межсетевые экраны - "посредники". 

В добавление к высокой производительности, встроенная операционная система реального времени также увеличивает уровень безопасности. В отличие от ОС UNIX, исходный текст которых широко доступен, Cisco PIX - выделенная система, специально разработанная для обеспечения безопасности. 

Для повышения надежности, межсетевой экран PIX может быть установлен со специальными опциями обеспечения горячего резервирования, за счет чего предотвращается наличие единой точки возможного сбоя в Вашей сети. Если два межсетевых экрана PIX установлены и работают в параллельном режиме и один из них выходит из строя, то в этом случае второй PIX будет в прозрачном режиме выполнять все функции по обеспечению безопасности. 

Межсетевой экран Cisco PIX поддерживает более 256 тысяч одновременных соединений и, соответственно, обеспечивает поддержку сотен и тысяч пользователей без уменьшения производительности. Полностью загруженный межсетевой экран PIX обеспечивает пропускную способность до 170 Мб/сек. Такая пропускная способность существенно превосходит любой межсетевой экран, базирующийся на ОС UNIX или ОС Microsoft Windows NT.

Семейство ASA 5500 Series включает в себя продукты Cisco ASA 5510, 5520 и 5540. Эти устройства предназначены для самых разных заказчиков от предприятий малого и среднего бизнеса до крупных корпораций и призваны обеспечить масштабируемость интегрированных сервисов и унифицированное управление ими для высокопроизводительной и одновременной работы многих механизмов безопасности без усложнения процесса их эксплуатации.

Новые решения опираются на средства безопасности, присутствующие в лидирующих семействах продуктов Cisco PIX Security Appliance, IPS 4200 Series и VPN 3000 Concentrator. Кроме того, ASA 5500 Series предлагает широкий спектр сервисов VPN, которые обеспечивают защищенный дистанционный доступ с применением технологий IPSec и SSL VPN, а также сервисов передачи данных на большие расстояния с гарантированным качеством обслуживания (QoS). Эти продукты открывают богатые возможности для IP-интеграции и обеспечивают поддержку QoS, маршрутизации, IPv6 и широковещательной рассылки, что позволяет включать их в структуру сети без ущерба для обычного трафика и бизнес-приложений.

Cisco ASA 5500 Series содержит развитые механизмы адаптивной защиты от угроз (Adaptive Threat Defense), включая методы защиты от неизвестных угроз (Anti-X), методы защиты бизнес-приложений (Application security) и методы контроля и защиты сети (Network containment and control), которые обеспечивают унифицированную и полную защиту всех важных ресурсов предприятия от несанкционированных действий. Заказчики получают средства защиты сети от многих неизвестных угроз и для борьбы с компьютерными червями и вирусами, средства защиты от шпионского/рекламного ПО, средства анализа трафика, средства выявления активности хакеров и предотвращения вторжений, а также средства предупреждения атак «отказ в обслуживании» (Denial of Service, DoS) — всё это сосредоточено в одном устройстве, которое также включает в себя встроенную подсистему корреляции событий безопасности.

Механизмы защиты бизнес-приложений, встроенные в ASA 5500, обеспечивают усиленный контроль и управление, гарантируя своевременную и надежную защиту сетевых бизнес-приложений. Эти службы осуществляют контроль за деятельностью программ peer-to-peer (P2P), интенсивно поглощающих трафик, таких как Kazaa и Интернет-пейджеров (Instant Messaging, IM), управляют доступом к Web-страницам, проверяют защищенность и целостность основных бизнес-приложений, таких как системы управления базами данных, и решают многочисленные специфические задачи защиты Voice over IP (VoIP) и мультимедиа-служб.

Помимо этого, ASA 5500 Series предлагает службы контроля и защиты сети, обеспечивающие контроль за действиями пользователей и сегментацию корпоративной сети, а также контроль доступа к бизнес-приложениям и потоков сетевого трафика. К этим службам относится межсетевой экран с технологией инспекции пакетов с учетом состояния протокола (stateful inspection firewall) на уровнях 2-7, который позволяет заказчикам следить за состоянием всех сетевых коммуникаций и помогает предотвратить несанкционированный доступ к сети. ASA 5500 поддерживает также механизм виртуальных межсетевых экранов, который обеспечивает сегментацию сети и масштабируемость сетевых служб при снижении стоимости развертывания решения.

ASA 5500 предлагает богатый набор механизмов обеспечения конфиденциальности трафика — IPSec и SSL, интегрированных с описанными выше адаптивными технологиями защиты от угроз. Это помогает гарантировать, что VPN-соединение не станет проводником таких угроз, как черви, вирусы и сетевые атаки. Объединение IPSec и SSL VPN в одном устройстве делает их хорошо приспосабливаемыми к любому сценарию применения VPN, включая конфигурации «точка-точка», удаленный доступ к корпоративной сети и доступ к сети партнера или экстранет. Посредством единственного устройства и управляемой инфраструктуры заказчики могут обеспечить высокозащищенный дистанционный доступ к сети для любого удалённого пользователя. ASA 5500 могут быть интегрированы и с существующими кластерами Cisco VPN3000 Concentrator, что позволяет заказчикам использовать имеющиеся у них структуры VPN, внедряя самые передовые службы VPN и безопасности.

Единая интегрированная сетевая среда на основе решений от Cisco даёт кроме того возможность наращивания сервисов посредством программного обеспечения и аппаратных модулей, стандартизацию платформы на разных объектах, упрощенный процесс эксплуатации с использованием общей службы управления и мониторинга для множества сервисов безопасности, а также упрощенный процесс поиска и устранения неисправностей. Профиль сервисов устройства позволяет осуществлять оптимизацию под определенную инфраструктуру и определенные функции, так что заказчики могут стандартизовать устройство защиты ASA 5500 Series для многих областей применения в сети. Такой адаптивный подход «одно устройство, много назначений» сокращает число платформ, которые надо устанавливать и администрировать, и в то же время создает общую среду эксплуатации и управления для всех этих устройств. Это упрощает конфигурирование, мониторинг, техническое обслуживание и обучение персонала службы безопасности.

Многие из унифицированных служб управления, доступных на Cisco ASA 5500, реализуются через Adaptive Security Device Manager, который осуществляет управление одним устройством, и через Cisco Security Management Suite для управления несколькими устройствами. Adaptive Security Device Manager — это интегрированный менеджер устройства на базе Web, который обеспечивает конфигурирование всех защитных механизмов и VPN-сервисов. Он может применяться для небольших внедрений, содержащих до десяти устройств, и обеспечивает общий контроль за   состоянием устройства и служб, а также составление отчетов. 

 

 

Связанные элементы