Cisco IOS Firewall Feature Set

[an error occurred while processing this directive]

Cisco IOS Firewall Feature Set

Информация предоставлена "Р-Альфа"

Продукция компании Cisco Systems используется примерно на 80% хостов в Интернет. Операционная система Cisco - IOS содержит в своем составе различные механизмы защиты, включая средства разграничения доступа, расширенные списки межсетевого доступа, средства организации виртуальных корпоративных сетей и т.д.

Firewall Feature Set (FFS) представляет из себя набор дополнительных сервисов, которые позволяют существенно приблизить возможности операционной системы IOS к возможностям межсетевого экрана без приобретения дорогостоящего дополнительного оборудования или программного обеспечения.

Основными преимуществами такого решения являются:

Гибкость - одновременно решаются вопросы маршрутизации, обеспечения защищенного доступа в Интернет. В описаниии правил доступа используется информация о пользователях, адресах, типах приложений, как для входящих, так и выходящих соединений;
Защита инвестиций - дополнительные возможности по защите в маршрутизаторе позволяет сэкономить средства на обучении работе с иной аппаратной платформой;
Легкость управления - использование возможностей удаленного администрирования позволяет управлять системой со своего рабочего места через сеть;
Совместимость с другими продуктами и решениями компании Cisco Systems

Ниже приведено краткое описание основных функциональных возможностей FFS:

Контроль состояния соединения Контроль состояния и контекста всех соединений через роутерПротокольно-зависимая фильтрация Учет в правилах фильтрации команд служебных протоколов прикладного уровня, обнаружение атак на уровне протоколов, динамическое открытие необходимых для работы приложений портовTCP/UDP приложения Telnet, FTP, HTTP, SNMPFTP протокол Активный и пассивный режимМультимедиа приложения Контроль потоков служебной информации для правильного открытия необходимых портов для аудио/видео соединений (включает H.323 приложения, CU-SeeME, RealAudio, VDOLive, Streamworks и др.)Контроль SMTP приложений Обнаружение неверных SMTP команд, что позволяет избежать необходимости установки почтовых серверов в демилитаризованной зонеПоддержка RCP сервисов Контроль запросов portmapper на открытие соединений для работы RCP приложенийПоддержка R-команд Проверка ответов сервера с запросами на установление дополнительных соединенийПоддержка приложений Oracle Контроль сообщений о перенаправлении соединений от серверной части Oracle в приложениях клиент-сервер; открытие портов для работы клиентов с сервером Приложения по поддержке видеоконференций на основе H.323 Проверка контрольных сообщений Q.931 и H.245, которые служат для открытия дополнительных UDP соединений для передачи видео и аудио данныхЗащита от популярных видов атак Защита от syn атак, сканирования портов, защита от атак с исчерпыванием ресурсов маршрутизатора.Контроль порядковых номеров Проверка порядковых номеров (sequence number) в TCP соединениях для гарантии того, что они находятся в ожидаемом диапазонеСтатистика соединений Статистика соединений, включающая время, адреса источника/назначения, порты и полное число переданных байтРекомендуемые настройки по умолчанию Настройки при загрузке, вкл/выкл source routing, разр/запр proxy arp, разрешение всех/только требуемых приложений, шифрование паролей на роутере с помощью MD5, списки доступа и пароли к виртуальным терминалам, разр/запр аутентификации роутеров в поддерживавемых протоколах маршрутизацииРасширенная статистика по TCP/UDP соединениям Статистика доступа пользователей (порты и адреса источника/назначения)Установка уровня защиты Можно настроить правила фильтрации или полного запрета Java апплетов, не находящихся внутри архивов или сжатых файловРасширенные возможности Сообщения в случае атак типа "отказ в обслуживании" или иных заранее описанных событий через syslog механизм на заданный хостСовместимость с остальными возможностями Cisco IOS Совместимость со списками доступа, трансляцией адресов, рефлексивными списками доступа, технологией шифрования, используемой в CiscoПоддержка в ConfigMaker Программа под Windows95/NT, облегчающая настройку сетевых параметров, адресации и параметров FFS

Основанный на контексте контроль доступа

Поддерживаемые приложения

Обнаружение и предотвращение атак типа "отказ в обслуживании"

Блокировка Java апплетов

Оповещение об атаках в реальном времени

Сетевое управление

Основанный на контексте контроль доступа
Поддерживаемые приложения
Обнаружение и предотвращение атак типа "отказ в обслуживании"
Блокировка Java апплетов
Оповещение об атаках в реальном времени
Сетевое управление

Принцип действия контекстного контроля доступа

Контекстный контроль доступа (ККД) - это механизм контроля доступа на уровне приложений для IP трафика. Он распостраняется на стандартные TCP/UDP приложения, мультимедиа (включая H.323 приложения, CU-SeeME, VDOLive, Streamworks и др.), протокол Oracle БД. ККД отслеживает состояние соединения, его статус.

Обычные и расширенные списки доступа, реализованные в IOS, тоже контролируют статус состояния. Однако при их использовании рассматривается только информация из заголовка пакета. ККД же использует всю информацию в пакете и использует ее для создания временых списков доступа для обратного трафика от этого приложения. После окончания соединения эти списки доступа уничтожаются. ККД является более строгим механизмом защиты, чем обычные списки доступа, поскольку он учитывает тип приложения и особенности его поведения

В настоящее время FFS существует только для маршрутизаторов 2500 и 1600 серий, наиболее распостраненных в Интернет. [an error occurred while processing this directive]