Cisco PIX Firewall

Межсетевой экран Cisco Private Internet Exchange (PIX) позволяет реализовать защиту корпоративных сетей на недостижимом ранее уровне, обладая при этом высокой простотой в эксплуатации. PIX Firewall может обеспечить абсолютную безопасность внутренней сети, полностью скрыв ее от внешнего мира. В отличии от обычных proxy-серверов, выполняющих обработку каждого сетевого пакета в отдельности с существенной загрузкой центрального процессора, PIX использует специальную не UNIX-подобную операционную систему реального времени, обеспечивающую более высокую производительность.
Основой высокой производительности является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности (adaptive security algorithm - ASA), который эффективно проверяет весь трафик, разрешенный политикой безопасности. Этот устойчивый алгоритм обеспечивает безопасность на уровне соединения на основе контроля информации об адресах отправителя и получателя, последовательности нумерации пакетов TCP, номерах портов и добавочных флагах TCP. Эта информация сохраняется в таблице, проверку на соответствие с записями которой проходят все входящие пакеты. Доступ через PIX разрешен только в том случае, если соединение успешно прошло идентификацию. Этот метод обеспечивает прозрачный доступ для внутренних пользователей и авторизованных внешних пользователей, при этом полностью защищая внутреннюю сеть от несанкционированного доступа.

Помимо повышения производительности, применение специализированной встроенной операционной системы реального времени также обеспечивает повышение уровня безопасности. В отличие от ОС семейства UNIX, исходный текст которых широко доступен, Cisco PIX - собственная разработка компании, созданная специально для решения задач обеспечения безопасности.

Для повышения надежности межсетевой экран PIX Firewall предусматривает возможность установки в сдвоенной конфигурации в режиме "горячего резервирования". Если два PIX-экрана будут работать в параллельном режиме и один из них выйдет из строя, то второй в прозрачном режиме "подхватит" исполнение всех функций обеспечения безопасности.

Основные возможности:

строгая система защиты от несанкционированного доступа на уровне соединения;
технология Cut Through Proxy позволяет контролировать как входящие, так и исходящие соединения на базе таких протоколов безопасности, как TACACS+ или RADIUS;
до шести сетевых интерфейсов для расширения правил защиты;
динамическая и статическая трансляция адресов;
поддержка протокола сетевого управления SNMP;
прозрачная поддержка всех основных сетевых услуг - HTTP, FTP, Telnet, Archie, Gopher;
поддержка видеоконференций по протоколу H.323;
высокая производительность;
безопасная встроенная операционная система реального времени;
поддержка виртуальных частных сетей (Virtual Private Network) с использованием технологии IPSec;
средства централизованного администрирования;
несколько вариантов программной и аппаратной комплектации;
поддержка интерфейсов Ethernet, Fast Ethernet, Token Ring и FDDI;
поддержка конфигурирования с помощью встроенной GUI оболочки (Cisco PIX Device Manager).

Производительность по моделям:

Модель

Пропускная способность

Кол-во одновременных соединений

PIX-535 1 Гбит/сек 500000

PIX-525 370 Мбит/сек 280000

PIX-515E 188 Мбит/сек 130000

PIX-506E 20 Мбит/сек 25000

PIX-501 10 Мбит/сек 7500

Новая модель PIX-535 разработана для больших корпоративных сетей и сетей сервис-провайдеров. Это самый производительный межсетевой экран с беспрецедентным уровнем защиты. Эта модель может поставляться с VPN Accelerator Card (VAC) позволяющей организовывать защищенные туннели через публичные сети с шифрацией по DES 56 бит или 168 бит с производительностью 100 Мбит/сек и поддержкой 2000 IPsec туннелей.

PIX-535 поставляется в двух вариантах:

PIX-535-R-BUN - restricted software license, 512MB RAM, до 6 Gigabit Ethernet или 10/100 Fast Ethernet интерфейсов;
PIX-535-UR-BUN - unrestricted software license, 1GB RAM, до 8 Gigabit Ethernet или 10/100 Fast Ethernet интерфейсов;

Информация для заказа

PIX-501	PIX 501 Chassis (Chassis, Software, 1 FE+4 FE Port Switch)
PIX-501-SW-10-50=	PIX 501 10-to-50 user upgrade software license
PIX-501-SW-10-UL=	PIX 501 10-to-unlimited user upgrade software license
PIX-501-SW-50-UL=	PIX 501 50-to-unlimited user upgrade software license
PIX-535-UR-BUN	PIX 535-UR Bundle (Chassis, Unrestricted SW, 2 FE, VAC+)
PIX-535-R-BUN	PIX 535-R Bundle (Chassis, Restricted SW, 2 FE Ports)
PIX-535-FO-BUN	PIX 535-FO Bundle (Chassis, Failover SW, 2 FE Ports, VAC+)
PIX-525-UR-BUN	PIX 525-UR Bundle (Chassis,Unrestricted SW,2 FE Ports,VAC+)
PIX-525-R-BUN	PIX 525-R Bundle (Chassis, Restricted SW, 2 FE Ports)
PIX-525-FO-BUN	PIX 525-FO Bundle (Chassis, Failover SW, 2 FE Ports, VAC+)
PIX-525-FO-GE-BUN	PIX 525-FO-GE Bundle (Chassis,Failover SW,2 GE+2 FE,VAC+)
PIX-525-UR-GE-BUN	PIX 525-UR-GE Bundle (Chassis,Unrestr. SW,2 GE+2 FE,VAC+)
PIX-515E-DC-R-BUN	PIX 515E-R DC Bundle (Chassis, Restricted SW, 2 FE Ports)
PIX-515E-DC-UR-BUN	PIX 515E-UR DC Bundle (Chassis,Unrestricted SW,2 FE,VAC+)
PIX-515E-R-BUN	PIX 515E-R Bundle (Chassis, Restricted SW, 2 FE Ports)
PIX-515E-R-DMZ-BUN	PIX 515E-DMZ Bundle (Chassis, Restricted SW, 3 FE Ports)
PIX-515E-UR-BUN	PIX 515E-UR Bundle (Chassis, Unrestricted SW, 2 FE, VAC+)
PIX-515E-FO-BUN	PIX 515E-FO Bundle (Chassis, Failover SW, 2 FE Ports, VAC+)
PIX-515E-FO-FE-BUN	PIX 515E-FO-FE Bundle (Chassis, Failover SW, 6 FE, VAC+)
PIX-515E-UR-FE-BUN	PIX 515E-UR-FE Bundle (Chassis, Unrestricted SW, 6 FE,VAC+)
PIX-501-BUN-K9	PIX 501-10 3DES/AES Bundle (Chassis, SW, 10 Users, 3DES/AES)
PIX-501-UL-BUN-K9	PIX 501-UL Bundle (Chassis, SW, Unlimited Users, 3DES/AES)
PIX-501-50-BUN-K9	PIX 501-50 3DES/AES Bundle (Chassis, SW, 50 Users, 3DES/AES)
PIX-506E	PIX 506E Chassis (Chassis, Software, 2 FE Ports)
PIX-506E-BUN-K9	PIX 506E 3DES/AES Bundle (Chassis, SW, 2 FE Ports, 3DES/AES)

Модель	Пропускная способность	Кол-во одновременных соединений
PIX-535	1 Гбит/сек	500000
PIX-525	370 Мбит/сек	280000
PIX-515E	188 Мбит/сек	130000
PIX-506E	20 Мбит/сек	25000
PIX-501	10 Мбит/сек	7500