Читаем Политики безопасности компании при работе в Интернет полностью

В основе работы PIX лежит алгоритм адаптивной защиты (ASA), который обеспечивает защиту соединений с контролем состояния.

Межсетевой экран PIX Firewall обеспечивает высокий уровень безопасности при использовании ASA. Каждый раз при установлении соединения наружу или вовнутрь через PIX Firewall информация о соединении сохраняется в таблице, которая содержит адреса источника и получателя, номера портов, информацию о TCP-последовательностях и дополнительные флаги сессии, такие, как SYN, АСК, FIN. Эта информация о сессии составляет так называемый «объект-соединение». Весь трафик данного соединения сверяется с данным объектом. Этот объект существует до завершения соединения.

Для безопасности ASA использует и содержит адреса источника и получателя, номера портов, информацию о TCP-последовательностях и дополнительные флаги сессии, а также результат применения хеш-функции к заголовку IP-пакета. Это хеширование является своего рода подписью клиента, установившего соединение, – данный код однозначно идентифицирует клиента. Таким образом, для подмены клиента злоумышленникам необходимо получить не только IP-адрес машины, но и номера портов, дополнительные флаги сессии, а также номер ТСР-последовательности. Последнее – невозможно, так как межсетевой экран PIX Firewall создает случайные номера TCP-последовательности для каждой сессии. Межсетевой экран PIX Firewall поддерживает аутентификацию и авторизацию с использованием сквозного механизма cut-through proxy, а также учет с использованием системного журнала и PIX Device Manager.

Высокая скорость работы межсетевого экрана PIX Firewall обеспечивается за счет cut-through proxy. В отличие от обычных proxy-серверов, которые анализируют каждый пакет на уровне приложений согласно семиуровневой модели OSI (что отнимает много времени и ресурсов процессора), PIX запрашивает у сервера TACACS+ или RADIUS информацию для аутентификации. Когда пользователь ввел свое имя и PIX проверил права доступа, образуется прямое соединение между сторонами и контролируется только состояние сессии. Таким образом, производительность PIX благодаря сквозным proxy много выше, чем у обычных proxy-серверов.

Еще одним фактором, который замедляет работу обычного proxy-сервера является то, что для каждой TCP-сессии последний должен запустить отдельный процесс. Если работают 300 пользователей, должно быть запущено 300 процессов, а эта процедура занимает значительные ресурсы процессора. PIX может поддерживать более 500 тыс. сессий одновременно.

Для обеспечения аутентификации пользователей межсетевой экран Cisco PIX Firewall использует механизм cut-through proxy. Данный механизм позволяет обеспечить:

• высокую пропускную способность;

• аутентификацию и авторизацию пользователей на прикладном уровне;

• возможность использования как TACACS+, так и RADIUS-сервера безопасности;