Какой межсетевой экран от Cisco Systems выбрать?
Cisco Systems производит два вида межсетевых экранов: традиционный Cisco PIX Firewall, и маршрутизаторы Cisco с установленной операционной системой IOS CSIS (Cisco Secure Integrated Software, называемый ранее Firewall Feature Set). Какой межсетевой экран выбрать?
В случае сетей среднего размера предпочтительным вариантом может оказаться использование обоих моделей. На рисунке 1 показана примерная схема подобной сети. Cisco роутер становится в данном случае так называемым perimeter router и выполняет следующие задачи по:
- фильтрация адресов в соответствии с RFC 2827 и 1918
- предотвращению атак Отказ в обслуживании (DoS attack)
) |
| Рис. 1 |
) |
| Рис. 2 |
Так же будут востребованы в этом устройстве возможности подключения к ISP по различным WAN технологиям и поддержка различных протоколов маршрутизации. В центре корпоративной сети эффективней использовать Cisco PIX Firewall, как более высокопроизводительное устройство, специально оптимизированное на решение задач по обеспечению безопасности внутренней сети.
Вопрос, "Какой межсетевой экран от Cisco Systems выбрать?", скорее будет уместен для небольших сетей, где приходится искать компромисс между стоимостью решения и предоставляемой ими уровнем безопасности. Примерная схема сети для небольшой компании представлена на рисунке 2.
Преимущества Cisco PIX Firewall
- Выделенное устройство. Оригинальная операционная система и аппаратное обеспечение оптимизированы для выполнения одной задачи - обеспечения безопасности вашей сети.
- Высокая скорость фильтрации пакетов - до 1 Гбит/с в модели PIX-535.
- Фильтрация содержимого HTTP запросов. Совместно с продуктом Websense, осуществляется проверка на возможность доступа пользователя локальной сети к данной категории ресурсов в данный момент времени и не превышен ли временной лимит использования Интернета для данной категории сайтов. Информация о Websense Enterprise
. Любопытная статистика использования Интернета . - Удобная настройка, интерфейс командной строки ориентирован на выполнение задач - более быстрая и наглядная конфигурация. Встроенная поддержка администрирования через http браузер.
- Аутентификация и авторизация - Cisco PIX Firewall поддерживает RADIUS и TACACS+. После успешной авторизации пользователя создается исключение в правилах доступа ACL, что позволяет осуществлять дальнейшую фильтрацию пакетов и отслеживания состояния соединения на скорости среды передачи (технология cut-through proxy).
Преимущества Cisco Router 1720 VPN Bundle
- Решение, объединяющее в одном устройстве надежную безопасность и многопротокольную маршрутизация.
- Использование различных WAN технологий: ISDN, синхронные и асинхронные соединения (выделенные линии), Frame Relay, ADSL, G.shdsl, Switched 56, X.25, и Switched Multimegabit Data Service (SMDS), Ethernet. Существуют модули WIC с поддержкой DSU/CSU.
- Возможность защита любой части сети: intranet, extranet и удаленных офисов.
- Расширенная поддержка качества обслуживания (QoS).
PIX-515-R-BUN - PIX 515R Bundle (Chassis, restricted SW, 2 FE ports)
CISCO1720-VPN-M/K8 - 1720 VPN Bundle, Dual-E w/1 WAN slot, VPN Module, IP/FW/DES
| Характеристика | PIX-515-R-BUN | CISCO1720-VPN-M/K8 |
| Кол-во интерфейсов/встроенных | 3 Fast Ethernet в PIX-515-R/2 Fast Ethernet6 Fast Ethernet в PIX-515-UR/2 Fast Ethernet | 2 слота для WIC карт//1 Fast EthernetСписок поддерживаемых WIC карт ниже |
| Виртуальные частные сети (VPN, IPSEC) | Встроенная поддержка | Специальная версия IOS, включена в поставку |
| Лицензия DES | Бесплатно | Включена в стоимость, при покупке IOS выбирается тип лицензии: DES или 3DES |
| Лицензия 3DES | Дополнительная лицензия | Включена в стоимость, при покупке IOS выбирается тип лицензии: DES или 3DES |
| Скорость шифрования 3Des | 6 Mbps (без аппаратного ускорения шифрования)100 Mbps (с аппаратным ускорением шифрования) | 2.0 Mbps (с аппаратным ускорением шифрования) |
| Поддержка Cisco Secure VPN Client 1.1 | + | + |
| Поддержка Cisco VPN Client 3.5 (Unity client) | + | + (c версии 12.2.8T) |
| PAT | + | + |
| NAT | + | + |
| Средства администрирования | SNMP, CLI (Telnet, SSH, Console), HTTP, Cisco Secure Policy Manager, Cisco Work2000 | SNMP, CLI (Telnet, SSH, Console), ConfigMaker 2.6, Cisco Secure Policy Manager, Cisco Work2000 |
| Кол-во поддерживаемых соединений | 125000 | Нет данных |
| Пропускная способность фильтрации | 120 Mbps | Нет данных |
| Маршрутизация VLAN | + | |
| Качество обслуживания (QoS) | + | |
| Протоколы маршрутизации | Ограниченная поддержка RIP | RIP, OSPF, IGRP, EIGRP, BGP |
| Межсетевой экран с учетом состояния соединений | + | + |
| Резервирование/восстановление после отказа | Необходимо применение двух устройств (Failover)PIX-515-UR-BUN+PIX-515-FO-BUN | HSRP (Hot Standby Routing Protocol) |
| Предотвращение потери информации о установленных сессиях в случае отказа одного устройства | + | |
| Блокирование опасных Java аплетов | + | + |
| Поддержка мультимедийных протоколов Microsoft NetShow, White Pine CU-SeeMe, RealNetworks RealAudio и RealVideo, Xing StreamWorks, VDOnet VDO Live, Vxtreme WebTheater, VocalTec Internet Phone, Microsoft NetMeeting, Intel Internet Video Phone, White Pine Meeting Point | + | + |
| Обнаружение и предотвращение атак отказ в обслуживании (DoS attack) | + | + |
| Система обнаружения вторжений (IDS) | + | + |
| Динамическая аутентификация и авторизация пользователей (TACACS+, RADIUS) | + | + |
| Фильтрация URL | + |
Список WIC карт поддерживаемых Cisco 1720 router
| WIC-1T | One-port serial, asynchronous and synchronous (T1/E1) |
| WIC-2T | Two-port serial, asynchronous and synchronous (T1/E1) |
| WIC-2A/S | Two-port low-speed serial (up to 128 kbps), asynchronous and synchronous |
| WIC-1B-S/T | One-port ISDN Basic Rate Interface (BRI) S/T |
| WIC-1B-U | One-port ISDN BRI U interface with integrated NT1 |
| WIC-1DSU-56K4 | One-port integrated 56/64-kbps, four-wire DSU/CSU |
| WIC-1DSU | T1 One-port integrated T1/fractional T1 DSU/CSU |
| WIC-1ADSL | One-port ADSL interface |
| WIC-1ENET | One-port 10BASE-T Ethernet interface |
| WIC-1SHDSL | One-port G.shdsl interface |
 © TerraNet webmaster@terranet.ru |
||
125367, Москва, Полесский проезд дом 16 офис 309 |