思科公司防火墙管理系统
今天,随着对信息安全的重视,防病毒、防火墙、防入侵等一系列安全产品也在不断进驻企业。由此而来的是,企业的安全管理体制也变得非常复杂。而在安全产品的具体应用中,我们还面临着安全产品的系统管理的挑战,特别是在网络系统较为复杂,庞大的情况下。
思科公司针对此安全难题,一直在安全产品管理系统上努力,为用户提供系统化,易使用,高效的防火墙安全管理系统:
PDM 防火墙设备管理系统
Cisco PIX Device Manager PDM 可以为大型企业和电信运营商提供他们所需要的功能帮助他们方便地管理Cisco PIX 防火墙。它具有一个直观的图形化用户界面GUI 可以帮助您安装和配置PIX 防火墙,此外它还可以提供各种含有大量信息的实时的和基于历史数据的报告,从而能够深入地了解使用趋势性能状况和安全事件。加密通信功能可以有效地管理本地或者远程的Cisco PIX 防火墙。简而言之PDM 可以简化互联网安全性使它成为一个经济有效的工具,帮助提高生产率和网络安全性,节约时间和资金。
直观的用户界面
很多安全漏洞都是由于错误的配置而导致的,因此安全策略的部署必须尽可能方便直观。PDM 所提供的向导鼠标点击式配置和在线帮助可以降低用户的管理难度,安全人员可以将精力集中于加强网络安全和制定安全策略,而不是管理各种用于执行安全任务的工具。
向导
PIX Device Manager 提供了一个方便易用的向导,可以帮助您安装一个新的PIX 系统。在PDM 安装向导的帮助下您只需完成几个步骤就可以有效地创建一个基本配置,通过防火墙安全地将分组从内部网络发送到外部网络。直观的下拉菜单和图表可以帮助您方便地添加和删除服务和规则,以及访问其他的功能设置。
图形化用户界面
利用Cisco PIX Device Manager 可以在方便地配置管理和监控整个网络中的安全策略。PDM 的图形化用户界面GUI 为用户提供了一个熟悉的标签式界面,用户只需点击一次就可以访问常用的任务,即使对于新手来说PDM 的鼠标点击式设计也非常简便,缩短了用户的上手时间。PDM 的GUI 有助于大幅度缩短管理时间,最大限度地提高网络安全管理效率,因而可以节约大量的成本。
监控和报告
PDM 可以提供强大的报告和监控工具,帮助查看实时的和历史的数据。管理员可以迅速地查看各种综述网络活动资源,利用率和事件日志的图形化报告,进而分析系统的性能和分析PDM 的日志和通知功能,让安全人员可以及时地发现并阻止可疑的活动。
图形工具
思科PDM 监控工具可以创建图形化的综述报告,显示实时的使用情况安全时间和网络活动。来自于各个图形的数据可以根据所选择的时间段,10 秒快照、最近10 分钟、最近60 分钟、最近12 小时、最近5 天进行显示,并按照所设定的时间间隔刷新,同时查看多个图形的能力。可以进行对比分析系统图,提供关于PIX 防火墙的详细的状态信息,其中包括已用的和空闲的区块内存的使用率和CPU 的使用率。连接图在每秒统计的基础上跟踪连接地址解析身份认证授权和记帐AAA 事务URL 过滤请求等的实时会话和性能监控数据,全面地了解网络连接和活动信息,并且不会被大量的数据所淹没。
系统日志查看工具
思科PDM 所集成的系统日志查看工具可以通过选择所需要的日志等级,查看特定类型的系统日志消息。
嵌入式架构
PDM 的嵌入式设计让客户可以从几乎任何一台计算机上管理他们的Cisco PIX 防火墙,且无论这台计算机用的是什么操作系统。这是今天的很多电子商务应用的一项重要,要求同样PDM 还可以支持现有的大多数主流浏览器,包括Microsoft Internet Explorer 和Netscape Navigator, 因而可以提供统一的体验。
PDM不需要用户安装任何应用,也不需要使用任何插件,一位经过授权的网络管理员可以安全地从一个Web 浏览器管理和监控他们的PIX 防火墙。
加密通信
思科PDM 可以利用加密套接层SSL 协议对PIX 防火墙和浏览器之间的通信进行高等级的加密,利用56 位的数据加密标准DES, 或者更加安全的168 位三重DES 3DES,以确保与远程PIX 防火墙的通信的安全性。与Telnet 类似PDM 让您可以用一个有效的用户名和密码保护访问权限这可以在PIX 防火墙上,或者通过一个身份认证服务器实现。
使用许可
Cisco PIX Device Manager 是Cisco PIX 操作系统6.0以上版本的组成部分,PDM 不需要单独的使用许,由于PDM 只支持加密通信所以用户需要拥有一个DES 或者3DES使用许可。
用户系统需求
VMS 安全统一管理平台
CiscoWorks VPN/安全管理解决方案(VMS)是思科所提供的、最主要的集成化安全管理解决方案,也是思科为了加强网络安全而开发的SAFE蓝图的一个不可或缺的组成部分。CiscoWorks VMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具,防火墙,以及基于网络、主机的入侵检测系统(IDS),保护企业的生产率和降低运营成本。CiscoWorks VMS提供了业界第一个强大、可扩展,能够满足各种规模的VPN和安全部署需求的平台和功能集。
CiscoWorks VMS是从CiscoWorks面板启动的,分为以下几个功能区域:
- 防火墙管理
- 自动更新服务器
- 基于网络和主机的IDS的管理
- VPN路由器管理
- 安全监控
- VPN监控
- 运行管理
通过提供多种功能(例如统一的用户体验、自动更新、命令和控制工作流,以及基于角色的访问控制),这些功能区域为用户带来了多层面的可扩展性。
在图1中,CiscoWorks VMS在CiscoWorks面板中显示为一个“抽屉”。
图1
防火墙管理
CiscoWorks VMS可以通过提供下列功能,支持Cisco PIX防火墙的大规模部署:
- “智能规则”的层次化结构和继承
- 由用户定义的设备和客户群组(包括嵌套)
- 为每个设备和客户群组设定基于全局角色的访问权限和管理员权限,并支持其他CiscoWorks产品和Cisco Secure ACS
- 强制性的和缺省的设备设置继承
- 指向设备、目录或者自动更新服务器的工作流部署
- 界面与Cisco PIX设备管理器类似,但是可以扩展到数千个PIX防火墙
- 与其他CiscoWorks网络管理软件紧密集成
- 面向思科PIX防火墙的集中管理的、全面的SAFE蓝图范围,包括访问控制、VPN、IDS,以及身份验证、授权和记帐(AAA)
“智能规则”是一种创新的功能,它可以让一个设备或者客户群组中的所有防火墙继承相同的信息(包括访问规则和设置)。“智能规则”让一个用户只需定义一次通用规则,从而可以缩短配置时间、减少管理错误和提高设备的可扩展性。利用“智能规则”,用户只需一次性设置一个通用规则(例如允许所有HTTP流量),就可以将该规则应用到所有的防火墙。“智能规则”还可在单一设备或者客户群组的基础上定义。。
用于防火墙管理的自动更新服务器
CiscoWorks VMS提供了业界第一个防火墙自动更新服务器。它让用户可以为安全和Cisco IPX操作系统的管理采用一种“获取”模式。自动更新服务器可以为远程防火墙网络提供前所未有的可扩展性。自动更新服务器让Cisco PIX防火墙可以定期地、自动地联络更新服务器,获取安全配置、Cisco PIX操作系统和PIX设备管理器(PDM)更新。自动更新服务器支持下列功能:
- 对使用动态主机控制协议(DHCP)的远程Cisco PIX防火墙进行安全管理
- 自动地将Cisco PIX OS分布到Cisco PIX防火墙群组
- 自动地将思科PDM更新分布到远程防火墙
- 定期进行配置验证
- 自动更换不准确的或者被改动的配置
- 在“启动时间”设置新的防火墙
自动更新服务器是任何一个大规模远程Cisco PIX防火墙部署的一个不可获取的组成部分。自动更新服务器为自动地用新操作系统版本更新所有远程或本地防火墙提供了一个便于使用的解决方案。思科是业界第一个可以提供这种“推送式”的安全策略和操作系统管理模式的供应商。
VPN路由器管理
CiscoWorks VMS包含了用于设置和维护VPN连接的大规模部署的功能,并为建立和部署连接提供了一个鼠标点击式界面。这种应用的目的是在一个集中星型拓扑中实现两点间VPN连接的可扩展配置,从而集中设置多个设备和在VPN路由器上部署互联网密钥交换(IKE)、IP安全(IPSec)隧道策略。
主要功能包括:
- 用于创建IKE和VPN隧道策略的、基于向导的界面
- 层次化继承和“智能规则”结构可以体现设备的组织构成和通用设置,简化设备管理
- IKE-KA(IKE-Keepalive)或者通用路由封装(GRE)、开放最短路径优先(OSPF)和增强内部网关路由协议(EIGRP)可以为故障转换路由方案提供支持
- 集中的、基于角色的访问控制模式可以实现对于用户和帐号的集中管理
安全监控
CiscoWorks VMS所提供的集成化监控功能有助于减少安全监控控制台的个数、减少需要监控的事件的个数和提供更加广泛的安全状态视图。
- 集成化监控功能可用于捕捉、存储、查看、关联和报告来自于SAFE蓝图中的多个设备(例如思科网络IDS、交换机IDS、主机IDS、防火墙和路由器)的事件
- 事件关联功能可用于发现无法通过单个事件准确识别的攻击。一个灵活的通知机制和对于关键事件的自动响应也有助于加快采取措施的速度。
- 事件查看器可以读取实时的和历史的事件。
- 事件都采用了彩色标记,让管理员可以迅速地隔离故障。管理员还可以定义触发通知规则的阈值和时长。
- 按需提供的和定时提供的报告可以实现持续的监控。
PIX 501 产品要点和应用环境
应用环境
Cisco PIX 501防火墙可以通过一个可靠的、即插即用的安全设备为小型办公室和远程办工人员提供企业级的安全性。Cisco PIX 501防火墙是市场领先的Cisco PIX防火墙系列的一部分,可以通过一个紧凑的、整合的解决方案提供强大的安全功能、小型办公室联网功能和强大的远程管理功能,尤其适用于保障高速的、"永续运行的"宽带环境的安全。
通过提供各种与Cisco高端千兆PIX防火墙相同的安全功能,PIX 501可以通过便于使用和部署的解决方案提供所有宽带用户非常需要的丰富的保护功能。
简便的、高速的小型办公室联网
Cisco PIX 501防火墙可以通过其集成化的、高性能四端口10/100Mbps交换机为多个计算机共享一个宽带连接提供一种方便的方法。而且,Cisco PIX防火墙可以提供网络地址解析(NAT)和端口地址解析(PAT)等功能,因而可以隐藏您的网络设备的实际网络地址。用户还可以利用PIX中内置的动态主机配置协议(DHCP)服务器获得即插即用的联网功能,DHCP服务器在启动以后可以自动为其管辖的计算机分配网络地址。Cisco PIX 501防火墙可以提供与大多数宽带联网环境无缝集成所必须的各种功能。
强大的远程管理功能
PIX 501是一个可靠的、便于维护的平台,可以提供多种配置、监控和诊断方式。PIX管理解决方案的范围非常广泛――从一个集成化的、基于Web的管理工具到集中的、基于策略的工具,以及对各种远程监控协议的支持,例如简单网络管理协议(SNMP)和系统日志。
PIX设备管理器(PDM)可以为管理员提供一个直观的、基于Web的界面,从而使他们可以方便地配置和监控一台PIX 501,而不需要在管理员的计算机上安装任何软件(除了一个标准的Web浏览器以外)。
|
PIX501的主要特性和优点 | |
|
 |
| 企业级安全性 | |
| 真正的安全设备 |
|
|
| |
| 状态监测防火墙 |
|
|
| |
|
| |
|
| |
|
| |
| VPN |
|
|
| |
|
| |
| 入侵检测 |
|
|
| |
|
| |
| AAA支持 |
|
| X.509认证和CRL支持 |
|
| 与领先的第三方解决方案集成 |
|
| 强大的小型办公室联网功能 | |
| 集成的四端口 |
|
| 10/100交换机 |
|
| DHCP客户端和服务器端 |
|
|
| |
| NAT/PAT支持 |
|
|
| |
| 丰富的管理功能 | |
| PIX设备管理器(PDM) |
|
|
| |
| SNMP和系统日志支持 |
|
| 性能综述 | |
| 明文吞吐量 | 60Mbps |
| 并发连接 | 7500 380/sec |
| 56位 DES IPSec VPN吞吐量 | 6Mbps |
| 168位 3DES IPSec VPN吞吐量 | 3Mbps |
| 并发VPN隧道 | 10 |
PIX 506E 产品要点和应用环境
Cisco PIX 506E防火墙应用环境
Cisco PIX 506E防火墙是应用极为广泛的Cisco PIX 506防火墙的增强版本,可以通过一个可靠的、强大的安全设备为远程办公室和分支机构提供企业级的安全性。Cisco PIX 506E防火墙是市场领先的Cisco PIX防火墙系列的一部分,可以通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的远程管理功能,尤其适用于为远程/分支机构保障互联网连接。PIX 506E还提供了更很高的3DES VPN性能。
针对远程办公室/分支机构环境的企业级安全性
Cisco PIX 506E防火墙是一种针对特定需求而设计的安全设备,可以在单独的一个设备中提供丰富的安全服务,包括状态监测防火墙、虚拟专用网(VPN)和入侵防范等。利用思科最新的自适应安全算法(ASA)和PIX操作系统,PIX 506E可以确保其后的所有用户的安全,并可以帮助他们防范互联网的潜在威胁。它的功能强大的状态监测技术可以跟踪所有经过授权的用户的网络请求,防止未经授权的网络访问。利用PIX 506E灵活的访问控制功能,管理员还可以对经过防火墙的网络流量实施定制的策略。PIX 506E与您的后端企业数据库无缝集成,因此可以通过直接使用TACACS/RADIUS或间接使用Cisco安全访问控制服务器(ACS)对外部对网络资源的访问进行严格的验证。
Cisco PIX 506E防火墙还可以利用其基于标准的互联网密钥交换(IKE)/IP安全(IPSec)VPN功能,确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全。通过利用56位数据加密标准(DES)或者可选的高级168位三重DES(3DES)加密对数据进行加密,当您的敏感企业数据安全地在互联网中传输时,别人将无法窥探到它们。
PIX 506E的集成化的入侵防范功能可以防止您的网络受到各种常见的攻击。通过查找超过55种不同的攻击"签名",PIX可以严格检测各种攻击,并可以实时地阻截它们或者向您发出通知。
强大的远程管理功能
Cisco PIX 506E是一个可靠的、便于维护的平台,可以提供多种配置、监控和诊断方式。PIX管理解决方案的范围非常广泛――从一个集成化的、基于Web的管理工具到集中的、基于策略的工具,以及对各种远程监控协议的支持,例如简单网络管理协议(SNMP)和系统日志。
PIX设备管理器(PDM)可以为管理员提供一个直观的、基于Web的界面,从而使他们可以方便地配置和监控一台PIX 506E,而不需要在管理员的计算机上安装任何软件(除了一个标准的Web浏览器以外)。管理员可以利用PIX 506E所提供的命令行界面(CLI),通过多种方式(包括远程登陆、安全解释程序(SSH),以及通过控制端口实现的带外接入)对PIX 506E进行远程配置、监控和诊断。
|
PIX506E的主要特性和优点 | |
|
|
| 企业级安全性 | |
| 真正的安全设备 |
|
|
| |
| 状态监测防火墙 |
|
|
| |
|
| |
|
| |
|
| |
| VPN |
|
|
| |
|
| |
| 入侵检测 |
|
|
| |
|
| |
| AAA支持 |
|
|
| |
| X.509认证和CRL支持 |
|
| 与领先的第三方解决方案集成 |
|
| 性能综述 | |
| 明文吞吐量 | 100Mbps |
| 56位 DES IPSec VPN吞吐量 | 20Mbps |
| 168位 3DES IPSec VPN吞吐量 | 16Mbps |
| 并发连接 | 25,000 700/sec |
| 并发VPN隧道 | 25 |
PIX 515E 产品要点和应用环境
Cisco PIX 515E防火墙应用环境
Cisco PIX 515E是被广泛采用的Cisco PIX 515平台的增强版本,它可以提供业界领先的状态防火墙和IP安全(IPSec)虚拟专用网服务。Cisco PIX 515E针对中小型企业和企业远程办公机构而设计,具有更强的处理能力和集成化的、基于硬件的IPSec加速功能。
提供更加强大的性能,满足高吞吐量的安全需求
Cisco PIX 515E多功能的单机架单元(1RU)机箱可以支持六个接口,使之成为那些需要一个具有DMZ支持的、成本低廉的安全解决方案的企业的理想选择。作为全球领先的Cisco PIX 防火墙系列的一部分,它可以为今天的网络用户提供无以伦比的安全性、可靠性和性能。
Cisco PIX 515E是一个针对特定需求而设计的防火墙设备,可以提供前所未有的安全性。它可以与Cisco PIX操作系统(OS)紧密集成,该操作系统是一个专用的、强化的系统,可以消除在通用的操作环境中经常出现的安全漏洞和性能损耗。
该系统的核心是一种基于自适应安全算法(ASA)的保护机制,可以提供针对状态的、面向连接的防火墙功能,同时阻截常见的拒绝服务(DoS)攻击。
Cisco PIX 515E还是一个全功能的VPN网关,可以在公共网络上安全地传输数据。它可以通过56位数据加密标准(DES)或者168位三重DES(3DES)支持站点间和远程接入VPN应用。根据所选择的Cisco PIX 515E型号的不同,VPN功能可以作为Cisco PIX OS的一项服务提供,也可以通过一个集成的、基于硬件的VPN加速卡(VAC)提供,这种加速卡最多可以提供130Mbps的吞吐量和2000个IPSec隧道。
通过部署一个冗余的热备份单元可以实现对高可用性的支持。这种故障恢复方式可以通过自动的状态同步保持并发的连接。这确保了即使在系统发生故障的情况下,进程也会得以保持,而整个切换过程对于网络用户来说是完全透明的。
该防火墙目前有多种型号,分别可以提供不同等级的接口密度、故障恢复功能和VPN吞吐量。
有限制的PIX515型号
Cisco PIX 515E"有限制"(PIX 515E-R)型号可以为那些寻求具有最低限度接口密度和VPN吞吐量的、强大的Cisco PIX防火墙的企业提供出色的价值。它具有32MB的RAM,最多可以支持三个10/100快速以太网接口。
无限制的PIX515型号
Cisco PIX 515E的"无限制"(PIX 515E-UR)型号可以通过集成化的、基于硬件的VPN加速支持状态故障恢复、添加LAN接口和增加VPN吞吐量,从而拓展了这个系列的功能。它具有一个集成化的VAC,64MB的RAM,最多可以支持六个10/100快速以太网接口。Cisco PIX 515E-UR还可以与一个热备份的Cisco PIX防火墙共享状态信息,从而能够实现完全的防火墙冗余。
|
PIX515E的主要特性和优点 | |
|
|
| 性能综述 | |
| 明文吞吐量 | 188Mbps |
| 168位 3DES IPSec VPN吞吐量 | 130Mbps |
| 并发VPN隧道 | 2000 |
| 并发连接 | 130,000 5000/sec |
| 技术规格 | |
| 处理器 | 433MHz Intel赛扬 |
| 随机存储内存 | 32MB,或者64MB SDRAM |
| 闪存 | 16MB |
| 缓存 | 128KB 二级缓存,频率433MHz |
| 系统总线 | 单个32位、33MHz PIC总线 |
| 电源 | |
| 输入(每个电源) | |
| 线电压范围 | 100V到240V 交流或者48V直流 |
| 额定线电压 | 100V到240V 交流或者48V直流 |
| 电流 | ~1.5A |
| 频率 | 50-60Hz,单相 |
| 输出 | |
| 稳定状态 | 50W |
| 峰值 | 65W |
| 最大散热量 | 410BTU/小时,完全使用(65W) |
| 尺寸和重量 | |
| 高度 | 1.72英寸(4.37厘米),1RU |
| 宽度 | 16.82英寸(42.72厘米),可以安装于标准的19英寸机架 |
| 厚度 | 11.8英寸(29.97厘米) |
| 重量(单个电源) | ~11lbs(4.11公斤) |
| 扩展 | |
| PCI总线 | 两个32位/33MHz PCI |
| 随机存取存储器 | 两个168针DIMM 插槽(Cisco PIX OS最多可以支持64MB) |
| 接口 | |
| 集成化网络接口 | 两个10/100快速以太网(RJ-45) |
| 控制台端口 | RS-232(RJ-45)9600波特 |
| 故障恢复端口 | RS-232(DB-15)115Kbps(需要Cisco指定的电缆) |
PIX 525 产品要点和应用环境
Cisco PIX 525防火墙应用环境
Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分,能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全(IPsec)虚拟专网(VPN)能力使特别适合于保护企业总部的边界。
强壮的安全特性
Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件,包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等。
而Cisco Secure PIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过Cisco Secure PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。
另外,实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性。而专用的Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。
与IPsec互操作的安全VPN
从传统上来说,防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前,越来越多的客户正在寻求除了提供访问控制以外,还能提供VPN服务的防火墙。利用VPN,远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网,同时,使用Internet访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大型的Modem池和访问服务器来处理远程的拨号用户,而这些都是需要花费大量资金并且让管理员头痛的事情。现在,只需要向ISP进行本地呼叫,用户就可以通过Internet安全的访问专用的企业Intranet。
PIX 525实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密,Cisco的IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法以及AES算法。
极端的可靠性
PIX防火墙提供了空前的可靠性,其平均无故障时间(MTBF)超过60000小时。即使是达到了这样高的水平,那些Internet、Intranet或Extranet连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。Cisco已经创建了配合PIX 525-UR使用的故障切换捆绑程序,能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙。
令人惊奇的灵活性
Cisco Secure PIX 525防火墙支持各种网络接口卡(NIC)。标准NIC包括单端口或4端口10/100快速以太网、千兆位以太网、4/16令牌环和双连接多模FDDI卡。
另外,PIX 525还提供多种电源选件,用户可以选择交流或48V直流电源。每一种选件都配有为第二个"故障切换"PIX系统准备的成对儿产品,从而实现最高的冗余和高可用性。
主要特性和优点
- Cisco端到端解决方案的组成部分 - 允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。
- 最低的拥有成本 - 安装、配置简单,网络中断时间更少。另外,允许透明地支持Internet多媒体应用,不再需要实际调整和重新配置每一台客户工作站或PC机。
- 非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险,提供了突出的性能。
- 基于标准的虚拟专网 - 使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。
- 自适应安全算法 - 为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源。
- 静态故障切换/热备用 - 提供高可用性,使网络可靠性最大。
- 网络地址转换(NAT)-- 节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到。
- 截断通过代理 - 提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本。
- 多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。
- 支持多达38万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。
- 防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。
- 支持各种应用 - 全面降低防火墙对网络用户的影响。
- Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。
- 支持多媒体应用 - 降低了支持这些协议所需要的管理时间和成本。无需特殊的客户机配置。
- 设置简单 - 只需6条命令就能实现一般的安全策略。
- 紧凑设计 - 可以更加容易地部署在桌面或更小的办公设置中。
- URL过滤 - 当与Websense企业软件配合使用时,可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。
- 邮件保护 - 不再需要外部邮件在外围网络中转发,也防止了外部邮件转发过程中的拒绝服务攻击。
|
PIX525的主要特性和优点 | |
|
|
| 性能综述 | |
| 明文吞吐量 | 370Mbps |
| 168位 3DES IPSec VPN吞吐量 | 145Mbps |
| 并发VPN隧道 | 2000 |
| 并发连接 | 380,000 7500/sec |
PIX 535 产品要点和应用环境
Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分,PIX 535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全(IPSec)虚拟专网(VPN)功能与千兆位以太网吞吐量灵活地结合在一起。
PIX 535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统(OS)紧密集成在一起,该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法(ASA)的一种保护机制,它可以提供面向静态连接的防火墙功能,能够进行50万个同时连接,并同时防止常见的拒绝服务(DoS)攻击。
另外,PIX 535还是一种能够通过公网安全传输数据的全功能VPN网关,它支持使用56位数据加密标准(DES)或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡(VAC)选件的支持,能够提供495 Mbps的吞吐量和2000个IPSec隧道。
高可用性通过部署一个冗余的热备用单元来实现,该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下,也能够维护对话,并且保证切换过程对网络用户而言是透明地完成。另外,PIX 535还允许您向交流或直流型号添加可选的冗余、热插拔电源,使其成为一种真正的容错安全设备。
PIX535有限软件版本
包含有限软件许可的PIX 535配有512MB的RAM,支持多达6个千兆位以太网或10/100快速以太网接口以及一个VAC。
PIX535无限软件版本
包含无限软件许可的PIX 535配有1GB的RAM,支持多达8个千兆位以太网或10/100快速以太网接口以及一个VAC。另外,PIX 535-UR还添加了与热备用PIX共享状态信息以实现完全防火墙冗余的能力。
|
PIX535的性能总结 | |
|
|
| 性能综述 | |
| 明文吞吐量 | 1.675Mbps |
| 168位 3DES IPSec VPN吞吐量 | 495Mbps |
| 并发VPN隧道 | 2000 |
| 并发连接 | 500,000 9400/sec |
技术规格
- 处理器:1.0 GHz Intel Pentium III
随机读写内存:512 MB或1 GB SDRAM(寄存型PC 133)
闪存:16 MB
高速缓存:256 KB Level 2,1 GHz
系统总线:双64位,66MHz PCI;单32位,33MHz PCI
环境
- 工作环境
温度:-25° -- 131°F(-5° -- 55°C)
相对湿度:5% -- 95%,不冷凝
高度:0到9843英尺(3000米)冲击:1.14 m/s(45 in/s),1/2正弦输入
震动:0.41 Grms2(3-500Hz)随机输入
噪声:最大65 dBa
非工作环境
温度:-13° -- 158°F(-25° -- 70°C)
相对湿度:5% -- 95%,不冷凝
高度:0到15000英尺(4570米)
冲击:30G
震动:0.41 Grms2(3-500Hz)随机输入
电源
- 输入(每个电源)
最大输入电压:100V - 240V交流或48V直流
额定输入电压:100V - 240V交流或48V直流
电流:4 - 2安培
频率:50 - 60Hz,单相
功率:220W(双热插拔)
输出
稳态功率:135W
最大峰值功率:220W
最大热耗:750 BTU/小时,满功率使用(220W)
外形尺寸和重量
- 高度:5.25英寸(8.89厘米),3机柜单元
宽度:17.5英寸(44.45厘米),标准19英寸机柜安装
长度:18.25英寸(46.36厘米)
重量(一个电源):约32磅(14.5公斤)
扩展
- PCI总线:9个PCI插槽(4个64位/66MHz,5个32位/33MHz)
随机读写内存:6个DIMM插槽,支持多达6GB的PC133 DRAM(PIX操作系统最大支持1GB)
接口
- 控制台端口:RS-232(RJ-45)9600波特率
故障切换端口:RS-232(DB-15)115Kbps(需要Cisco专用电缆)
思科高端防火墙6503/6506/6509 产品要点和应用环境,解决方案应用
Cisco Catalyst®6503/6506/6509高端防火墙是一种高速的、集成化的防火墙,可以提供业界最快的防火墙数据传输速率:5Gb的吞吐量,100000CPS,以及一百万个并发连接。在一个设备中最多可以安装四个FWSM防火墙模块,因而每个设备最高可以提供高达20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的一部分,6503/6506/6509高端防火墙可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。
6503/6506/6509高端防火墙(FWSM)采用了Cisco PIX技术,并且运行Cisco PIX操作系统(OS)--一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用ASA,FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。
FWSM集成防火墙模块
6503/6506/6509高端防火墙是由FWSM防火墙服务模块安装在Cisco Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部而成,Cat6K的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。Cisco Catalyst 6500 真正成为了那些需要各种智能化服务(例如防火墙接入、入侵检测、虚拟专用网(VPN))和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。
适应未来需要
6503/6506/6509高端防火墙(FWSM)可以支持5Gb的吞吐量,因而可以提供无以伦比的性能,让用户无须对系统进行彻底的升级,就可以满足未来的要求。在Catalyst 6500中最多可以添加到四个FWSM,以满足用户不断发展的需求。
可靠性
FWSM防火墙模块建立在Cisco PIX技术的基础之上,并使用了同一个经过时间检验的Cisco PIX操作系统--一个安全的、实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组,从而可以在同一个平台上提供性能和安全的独特组合。
低廉的整体运营成本
FWSM可以提供所有防火墙中最佳的性能价格比。由于FWSM防火墙模块是基于Cisco PIX防火墙的,所以培训和管理成本都很低,而且由于它是集成在Cat6K设备内部的,所以大大减少了需要管理的设备的数量。
易用性
Cisco PIX 设备管理器的直观的图形化用户界面(GUI)可以用于管理和配置FWSM。
|
FWSM 防火墙特性 | |
|
|
| 主要特性 | 优点 |
| 性能 |
|
|
| |
|
| |
| 多种接口 |
|
|
| |
| 切入型代理 | 对每个VLAN实施安全策略 |
| 主要特性 | 优点 |
| 配置支持 |
|
|
| |
|
| |
|
| |
|
| |
| AAA 支持 | 通过TACACS+和RADIUS支持,集成常见的身份认证、授权和记帐服务 |
| NAT/PAT 支持 | 提供动态/静态的网络地址解析(NAT)和端口地址解析(PAT) |
| Cisco PIX 设备管理器(PDM) |
|
|
| |
| 安全网络管理 | 安全的、采用三重数据加密标准 (3DES)加密的网络管理接入 |
| 访问控制列表 |
|
| URL 过滤 | 在服务器中设定策略,并利用Websense软件检查输出的URL请求 |
| 命令授权 | 对所有CLI设置优先级,创建与这些优先级对应的用户账号或者登录环境。 |
| 对象群组 | 能够组合网络对象(例如主机)和服务(例如ftp和http) |
| 防范 DoS |
|
|
| |
|
| |
|
| |
|
| |
|
| |
| 路由 |
|
| 高可用性 | 状态故障恢复--设备内部和设备之间 |
| 日志 | 全面的系统日志、FTP、URL和ACL日志 |
| 其他协议 |
|
|
| |
|
| |
|
| |
|
| |
|
| |
|
|
6503/6506/6509高端防火墙应用环境
6503/6506/6509高端防火墙部署在企业园区的数据中心的网络拓扑中。
今天的企业不仅仅需要周边安全,还需要连接业务伙伴和提供园区安全区域,为企业中的各个部门提供安全服务。6503/6506/6509高端防火墙可以通过让用户和管理员以不同的策略在企业中设立安全域,提供一种灵活、经济、基于性能的解决方案。图2显示了一个利用状态过滤来建立不同的、基于VLAN的安全域的园区部署。
利用6503/6506/6509高端防火墙,用户可以为不同的VLAN制定相应的策略。
数据中心也需要用状态防火墙安全解决方案来保护数据,并以尽可能低的成本提供千兆位的性能。 6503/6506/6509高端防火墙可以通过在防火墙中提供最佳的性能价格比,最大限度地提高资本投资效率,让客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。
思科IOS路由器防火墙产品及特性
思科公司的IOS路由器均提供强大的安全功能,在集成化要求很高的情况下,采用思科全系列路由器并配备安全功能的IOS软件也是一个灵活的选择。
Cisco IOS防火墙软件荟萃了多种多样功能强大的安全性功能,包括:
- 基于上下文的访问控制(CBAC)
- 入侵检测
- 身份验证代理
- 拒绝服务检测与预防
- 动态端口映射
- Java小应用封锁
- VPN、IPSec加密和QoS支持:
- 实时告警
- 网络事务跟踪记录
- 事件记录
- 防火墙管理
- 与Cisco IOS软件的集成
- 基本和高级数据流过滤:
- 基于政策的多接口支持
- 网络地址转换
- 基于时间的访问列表
- 对等路由器身份验证
#p#
运行管理
CiscoWorks VMS可以为网络提供运行管理,帮助网络管理人员执行下列任务:
- 迅速地构建一个全面的网络库存信息记录
- 管理设备认证资格信息
- 监控和报告硬件、软件、配置和库存的改动
- 为多个设备管理和部署配置改动和软件镜像更新
- 监控和诊断关键的LAN和WAN资源
- 迅速地发现可以通过升级到适当的Cisco IOS软件而用于VPN的设备
- 发现拥有硬件加密模块的VPN设备
- 以图形的方式比较VPN设备的配置
- 通过生成专门定制的系统日志报告,隔离与IPSec有关的问题
服务器规格(最低要求)
服务器硬件
- 配有1GHz或者更快的Pentium处理器的PC兼容计算机
- 配有440MHz或者更快的处理器的Sun UltraSPARC 60MP
- Sun UltraSPARCIII(Sun Blade 2000工作站或者Sun Fire 280R工作组服务器)
- CD-ROM驱动器
- 100BASE-T或者更快的连接
- 1GB RAM
- 9GB可用磁盘驱动器空间
- 2GB 虚拟内存
- 彩色显示器和支持16位彩色的显卡
服务器操作系统
CiscoWorks VMS需要下列操作系统:
- Windows 2000 Professional、Server和Advanced Server (Service Pack 3)
Java要求
Sun Java插件 1.3.1-b24
客户端要求
硬件
- 配有300MHz或者更快的Pentium处理器的PC兼容计算机
- Solaris SPARCstation或Sun Ultra 10
客户端操作系统
- 装有Service Pack 3的Windows 2000 Server 或者 Professional Edition,或者装有Microsoft VM的Windows XP SP1
- Solaris 2.8
客户端浏览器
- 基于Windows操作系统的Internet Explorer 6.0 Service Pack 1
- Netscape Navigator 4.79,基于装有Service Pack 3的Windows 2000 Server 或者 Professional Edition,或者Windows XP;基于Solaris 2.8的Netscape Navigator 4.76
CiscoWorks SIMS 3.1集中安全信息管理平台
帮助实现安全的网络
随着信息技术的发展,面对新一代的黑客攻击,蠕虫,病毒等安全威胁,建设安全的网络是业界目前所追求的理想目标。那么什么是安全的网络?安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务,安全感知和管理,具有自我防御能力的网络系统。
单纯从技术的角度而言,目前业界比较认可的安全网络的主要环节包括入侵防护、入侵检测、事件响应和系统灾难恢复。入侵防护主要是在安全风险评估和对安全威胁充分了解的基础上,根据对安全的期望值和目标,制定相应的解决方案。入侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析,来发现网络中的入侵行为或异常行为,及时提醒管理员采取响应动作阻止入侵行为的继续。事件响应是当发生安全事件的时候所采取的处理手段,与入侵防护和入侵检测不同,事件响应主要体现为专业人员的服务和安全管理。系统恢复是指如何在数据、系统或者网络由于各种原因受到损害后,尽快恢复损失前的状态。除此之外,风险评估、安全策略和管理规定等,经常也被作为安全保障的重要部分。但是不论有多少环节,要想实现安全的网络,风险评估、策略制定、入侵防护和入侵检测等都是应急响应的准备工作,有了这些准备工作,事件响应才可以及时得到各种必要的审计数据,进行准确的分析,采取措施降低损失或者追踪入侵者的来源等。因此,应急响应实际上将各个环节贯穿起来,使得不同的环节互相配合,共同实现安全网络的最终目标。而应急响应能否在攻击者成功达到目标之前有效地阻止攻击和快速响应,不但取决于安全产品本身采取了什么技术,更取决于使用和管理产品的人以及网络安全信息管理平台。优秀的信息管理分析工具,可以让安全管理人员对网络的安全状态了如指掌,快速行动,真正实现安全网络。下图为安全网络系统模型,可见安全信息管理具有非常重要的作用。
安全信息管理平台涵盖的范围非常广泛,包括风险管理,策略中心,配置管理,事件管理,响应管理、控制系统,知识和情报中心,专家系统等,每个部分都需要严密的设计,相互协作,真正实现一个高效率的,实用的,完整的安全信息集中管理平台。安全管理在安全网络建设的循环中,起到一个承前启后的作用,是实现安全网络的关键,如下图所示
在安全集中信息管理平台中,我们目前所面临的最大挑战之一是,帮助我们做出正确判断的依据被不断增加的、多个厂商的安全设备和多个系统所产生的大量安全信息所淹没。比如一次简单的Smurf攻击,网络入侵监测系统会报警,防火墙会报警,遭受攻击的主机会报警,相关的路由器甚至交换机都会报警,汇聚到安全管理平台就是多次报警,而其实攻击就只有一次。只有能够提供有效管理、隔离和优先处理代表着实际安全威胁的消息自动化处理系统,才可以保证安全响应的时实性,从而才可以在重大的安全灾难来临之前有准确的的应急响应措施。
目前行之有效的安全集中管理关键技术之一是一种称为安全信息管理(SIM)的软件技术,此技术可以搜集和分析网络所面临的各种安全事件数据,提供强大的智能分析和处理能力。
利用这种技术,可以有效地管理不断扩大的安全基础设施和有效监控处理数百万个事件消息。这种技术具有以下特点:
- 提供对于多厂商安全环境的、全面的事件监控
- 具有先进的虚拟化功能,实现迅速、直观的安全监控
- 具有风险评估能力,可以揭示网络中的任何特定资产的总体风险和网络的安全状态
- 对于所在级别的安全操作的全面报告和危害预测,提出智能化的建议
- 可以帮助大大提高生产率和降低生产成本
CiscoWorks SIMS 3.1集中安全信息管理平台
思科公司的CiscoWorks SIMS 3.1集中安全信息管理平台正是利用SIM技术,通过四个不同的阶段,搜集、分析、关联来自于整个网络系统的安全事件信息,进行规范化、汇总、关联和虚拟化。
规范化
在规范化阶段,CiscoWorks SIMS 3.1将收集所有的入侵检测系统、防火墙系统、操作系统、应用和防病毒系统的安全事件,并将其转换成一种通用的、便于理解的XML格式。
汇总
在汇总阶段,安全事件将进行汇总,清除过滤掉重复的安全事件数据——安全管理员最终只看到关键的攻击信息。
关联
利用统计关联技术,规范化安全事件,按照资产或者资产群组归入不同的安全事件类别。事件类别可能包括刺探攻击、病毒攻击和拒绝服务攻击等。对于每个资产,CiscoWorks SIMS 3.1可以通过事件的严重程度和资产的价值结合到一起,结合响应的安全威胁指数,以确定安全事件的总体潜在威胁。CiscoWorks SIMS 3.1能够发现那些被基于规则的关联系统所忽视的异常情况,提供完整的安全信息。
虚拟化
CiscoWorks SIMS 3.1提供在一个集中、实时的控制台中显示一个功能强大的、直观、友好、基于Java的图形化界面。
管理面板提供一个实时的网络安全趋势视图,而实时控制台可以利用实时的关联和分析功能,迅速地提供隔离安全攻击的建议和实施手段。
安全风险评估能力
在安全方面,风险评估有助于了解网络系统中的任何一个特定资产的总体风险。风险通常被定义为威胁、危险性和价值的组合,其中:
- 威胁是指任何针对一个系统或资产的异常流量或攻击。无论它是端口扫描攻击还是多次登陆失败,这些记录都将在计算总体风险时被考虑在内。
- 价值是衡量任何特定系统或资产的重要性等级。价值是一个由客户针对企业中的每个资产定义的变量。
- 危险性是衡量一个针对系统或者资产的攻击获得成功的可能性。
CiscoWorks SIMS 3.1可以结合上述所有因素,为网络中的每个资产计算出一个总体风险指数。还可以生成一份风险评估报告,提供每个资产的必要细节和它的相关风险。通过了解网络中某个特定资产的危险性,就可以采取相应的安全策略。
总之,随着网络建设的安全保障任务变得更加重要,越来越具有挑战性,集中的安全管理平台在其中的角色也越来越重要,各行业的用户也逐渐认同集中安全管理的必要性,纷纷准备实施。 集中的安全管理平台不仅可以帮助降低攻击风险,还有助于在发生攻击时加快响应速度,提高现有的安全团队的工作效率,实现最终的目标-安全的网络。
灵活的部署选项
CiscoWorks SIMS 3.1能够以下列方式订购:
- 1. 一个纯软件产品。这可以提供部署一个多层服务器架构的灵活性,适用于大型部署。
2. 一个装置产品。包括预装在Cisco 1160硬件平台上的CiscoWorks SIMS 3.1。它可以为客户提供更加方便的安装。
装置产品具有与纯软件启动包相同的功能。该装置包括一个用于监控最多30个设备的使用许可。
如果事件数量较少,用户可以购买附加的使用许可,以监控超过30个设备。装置所能支持的设备的实际数量将取决于多个因素,包括消息频率、保持规定和设备类型。装置具有多种工具,例如用以监控消息频率和软件性能的系统状况监视器。
|
|
|
|
| 纯软件产品 | 装置产品 |
| 分布式架构 | 单个服务器 |
| 全面可扩展性 | 部分可扩展性 |
| 1到4天安装服务 | 最短的安装时间 |
| 针对大中型部署 | 针对中小型部署 |