Дипломдық жобаға ТҤсініктемелік жазба 5В071900 Радиотехника, электроника және телекоммуникация мамандығы Алматы 2019
жүктеу/скачать 1,77 Mb. Pdf көрінісі
|
| 2.9 PIX Firewall желі аралық экраны
Cisco компаниясының Private Internet Exchange (PIX) желіаралық экраны корпоративтік желілер қауіпсіздігінің жаңа деңгейін біріктіріп және пайдалану қарапайымдылығына әкеледі. PIX толық қауіпсіздікті қамтамасыз ете отырып, ішкі желіні сыртқы әлемнен толық жасыра алады. Сонымен қатар, PIX үлкен ӛнімділікті қамтамасыз ете отырып, нақты уақыттың арнайы, UNIX емес операциялық жүйесін қолданады. PIX желіаралық экранның жоғары ӛнімділігінің негізі-хакерлерден пайдаланушылардың адрестерін тиімді жасыратын бейімдік қауіпсіздік алгоритміне негізделген қорғаныс схемасы болып табылады. Тұрақты, қосылысқа бағытталған адаптивті қауіпсіздік алгоритмі жіберушінің және алушының мекенжайларына, TCP пакеттерін нӛмірлеу бірізділігіне негізделген қосылыстар үшін қауіпсіздікті қамтамасыз етеді. Бұл ақпарат кестеде сақталады және барлық кіріс пакеттер осы кестедегі жазбалармен салыстырылады. PIX арқылы қатынауға тиісті Байланыс сәтті ӛткен жағдайда ғана рұқсат етіледі. Бұл әдіс ішкі пайдаланушылар мен авторизацияланған сыртқы пайдаланушылар үшін ашық қол жеткізуді қамтамасыз етеді, бұл ретте ішкі желіні рұқсатсыз қол жеткізуден толығымен қорғайды. Cisco PIX сондай-ақ «тура делдал» (Cut-Through Proxy) технологиясы есебінен UNIX ОС базасында желіаралық экрандар – «делдалдар» салыстырғанда ӛнімділіктің Елеулі артықшылығын қамтамасыз етеді. PIX «делдалдар» – қарапайым серверлер сияқты қолданбалы деңгейде қосылысты орнатуды бақылайды. Пайдаланушы қауіпсіздікті қамтамасыз ету саясатына сәйкес сәтті сәйкестендірілген соң, PIX сессия деңгейінде абоненттер арасындағы деректер ағынын бақылауды қамтамасыз етеді. Мұндай технология PIX желіаралық экранына кәдімгі желіаралық экрандарға қарағанда анағұрлым жылдам жұмыс істеуге мүмкіндік береді – «делдалдар». Жоғары ӛнімділікке қосылған нақты уақыт операциялық жүйесі, сондай- ақ қауіпсіздік деңгейін арттырады. Бастапқы мәтіні кең қол жетімді UNIX ОС - ге қарағанда Cisco PIX-қауіпсіздікті қамтамасыз ету үшін арнайы әзірленген арнайы бӛлінген жүйе. Сенімділігін арттыру үшін желіаралық экран PIX белгіленуі мүмкін арнайы нұсқалары қамтамасыз ету ыстық резервтеу, осының есебінен алдын болуы бірыңғай нүктесінің мүмкін болатын істен шығу. Егер PIX екі желіаралық экраны параллель режимде орнатылса және жұмыс істесе және олардың біреуі істен шықса, онда екінші PIX қауіпсіздікті қамтамасыз ету 45 бойынша барлық функцияларды мӛлдір режимде орындайды. МЭ Cisco PIX 256 мыңнан астам бір мезгілде қосылыстарды қолдайды және тиісінше жүздеген және мыңдаған пайдаланушыларды ӛнімділікті азайтпай қолдауды қамтамасыз етеді. Толық жүктелген ЭМ PIX 170 Мб / сек дейін ӛткізу қабілетін қамтамасыз етеді. Мұндай ӛткізу қабілеті UNIX ОЖ немесе Microsoft Windows NT ОЖ негізделген кез келген МЭ-ден айтарлықтай асып түседі. Арнайы дайындығы жоқ пайдаланушылар PIX-ті кемінде бес минут ішінде теңшей алады. PIX желіаралық экранды одан әрі баптауды оңайлату үшін пайдалану оңай Security Manager графикалық қабықшасын қамтиды. Cisco сондай-ақ Cisco PIX Private Link encryption card шифрлау адаптерін ұсынады. Осы PIX адаптерін пайдалану арқылы шифрланған IP пакеттерін интернет сияқты кӛпшілік IP желілері арқылы жіберуге мүмкіндік береді. PIX Private Link адаптері Pix-те IPSec стандартты технологиясы мен IETF хаттамаларын пайдалана отырып, сәйкестендірілген тақырып (Authentication Header-AH) және оралған қорғалған деректер (Encapsulating Security Payload- ESP) сияқты қосылыстарды қорғай отырып орнатылуы мүмкін. Сондай-ақ, MЭ Cisco PIX IP адрестерінің жетіспеу проблемасымен қақтығыспай IP желілерін кеңейту және ӛзгерту мүмкіндігін ұсынады. NAT желілік адрестерді тарату технологиясы қолданыстағы адрестерді де, сондай-ақ жеке желілер үшін резервтік адрестерді де пайдалануға мүмкіндік береді. PIX, сондай-ақ жеке IP желілері үшін адрестік кеңістікті, сондай-ақ тіркелген IP адрестерін пайдалануға мүмкіндік беретін трансляцияланатын және таратылмайтын мекенжайларды бірлесіп пайдалану үшін бапталуы мүмкін. Негізгі мүмкіндіктер: - қатаң, қосылысқа бағытталған қауіпсіздік жүйесі, авторланбаған пайдаланушылардың ішкі желі ресурстарына кіруін болдырмайды; - тура «делдал» технологиясы Terminal Access Controller Access Control System (TACACACS)+ немесе Remote Access Dial-In User Service (RADIUS); - кеңейтілген қорғау саясаты үшін алты желілік интерфейске дейін; - Security Manager әкімшілік графикалық интерфейсі 100 МЭ PIX дейін теңшеуге арналған; - адрестердің динамикалық және статикалық трансляциясы; - SNMP желілік басқару қарапайым протоколын қолдау; - жүйелік оқиғалар журналын (syslog); - WWW, File Transfer Protocol (FTP), Telnet, Archie, Gopher сияқты барлық негізгі желілік сервистерді мӛлдір қолдау; - progressive Networks RealAudio & ReadVideo, Xing StreamWorks, White Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnet VDOLive, Microsoft Networshow және VXtreme Web Theater; - қауіпсіз кіріктірілген нақты уақыт жүйесі; - жұмыс станциялары мен маршрутизаторлар бойынша жаңарту қажеттілігі жоқ; - тіркелмеген ішкі желіні пайдаланушылар үшін Интернет желісі 46 ресурстарына толық қол жеткізу; - Cisco IOS бойынша маршрутизаторлармен үйлесімділік; - Microsoft NetMeeting, Intel Internet Video Phone және White Pine Meeting Point қоса алғанда, h. 323 протоколын пайдаланатын бейнеконференцияларды қолдау; - бірнеше ықтимал бағдарламалық және аппараттық қамтамасыз ету жиынтығы; - орталықтандырылған әкімшілендіру құралдары; - пейджерді немесе электрондық поштаны пайдалана отырып ақпараттандыру; - Ethernet, Fast Ethernet, Token Ring және FDDI интерфейстерін қолдау; - IPSec стандартты технологиясын пайдалана отырып, виртуалды жеке желілерді қолдау (Virtual Private Network) ; - жоғары ӛнімділік; - Cisco компаниясының ciscosecure идентификация сервері сияқты басқа шешімдермен интеграциялау. Сурет 3.1 - Cisco PIX МЭ қолдану мысалы |