Сергей Петренко - Политики безопасности компании при работе в Интернет

Высокая скорость работы межсетевого экрана PIX Firewall обеспечивается за счет cut-through proxy. В отличие от обычных proxy-серверов, которые анализируют каждый пакет на уровне приложений согласно семиуровневой модели OSI (что отнимает много времени и ресурсов процессора), PIX запрашивает у сервера TACACS+ или RADIUS информацию для аутентификации. Когда пользователь ввел свое имя и PIX проверил права доступа, образуется прямое соединение между сторонами и контролируется только состояние сессии. Таким образом, производительность PIX благодаря сквозным proxy много выше, чем у обычных proxy-серверов.

Еще одним фактором, который замедляет работу обычного proxy-сервера является то, что для каждой TCP-сессии последний должен запустить отдельный процесс. Если работают 300 пользователей, должно быть запущено 300 процессов, а эта процедура занимает значительные ресурсы процессора. PIX может поддерживать более 500 тыс. сессий одновременно.

Для обеспечения аутентификации пользователей межсетевой экран Cisco PIX Firewall использует механизм cut-through proxy. Данный механизм позволяет обеспечить:

• высокую пропускную способность;

• аутентификацию и авторизацию пользователей на прикладном уровне;

• возможность использования как TACACS+, так и RADIUS-сервера безопасности;

Механизм cut-through межсетевого экрана PIX Firewall начинает свою работу на прикладном уровне как proxy-сервер. Но как только пользователь аутентифицирован с помощью стандартной базы данных, построенной либо на TACACS+, либо на RADIUS, и проведена проверка политики, межсетевой экран PIX Firewall возвращает поток данных на сетевой уровень. Этот механизм обеспечивает значительное увеличение производительности без уменьшения уровня безопасности. Для гарантирования такой возможности не требуется никакого дополнительного программного обеспечения на машине клиента.

Механизм cut-through proxy работает следующим образом:

• пользователь выполняет попытку доступа к ресурсам, как будто он не находится за межсетевым экраном PIX Firewall;

• межсетевой экран PIX Firewall прерывает запрос на соединение и удостоверяется, что это новое соединение (оно отсутствует в списке уже установленных соединений);

• межсетевой экран PIX Firewall посылает запрос пользователю на ввод имени пользователя и пароля. Полученные имя и пароль межсетевой экран PIX Firewall передает серверу безопасности для проверки пользовательских привилегий. Поддерживается работа как с TACACS+, так и с RADIUS-серверами. Межсетевой экран PIX Firewall аутентифицирует следующие виды трафика: Telnet, FTP и HTTP;

• в случае успешной аутентификации межсетевой экран PIX Firewall инициирует соединение с запрашиваемым ресурсом;

Имена интерфейсов и уровни безопасности. Каждый интерфейс должен иметь имя и уровень безопасности. Уровни безопасности определяют доступ между системами, расположенными за различными интерфейсами. В компании используется следующая схема наименования и распределения уровней безопасности (см. табл. 4.5). Таблица 4.5. Наименование и распределение уровней безопасности

Конфигурирование уровней безопасности и имен на каждом интерфейсе:

Интерфейс State используется только для обеспечения режима failover. Команды настройки маршрутизации здесь не показаны. Пароли:

Конфигурирование NAT. Внутренние межсетевые экраны не используют трансляцию адресов, но таблица трансляции адресов NAT все же требуется для организации доступа в подсети с разными уровнями безопасности. Команда global не используется, так как реальной трансляции не происходит. Для разрешения доступа через интерфейс с низким уровнем безопасности со стороны интерфейсов с более высоким уровнем безопасности используется команда nat. Эта команда применяется только на тех интерфейсах, компьютерам которых требуется доступ к компьютерам, находящимся за интерфейсами с меньшим уровнем безопасности: