_ RU.CISCO (2:5077/15.22) ___________________________________________ RU.CISCO _
From : Michael I. Shestyriov 2:5020/400 21 Jun 99 09:59:50
Subj : [Cisco] firewall feature set и ip access-list
________________________________________________________________________________
From: "Michael I. Shestyriov" <mix@turbo.nsk.su>
Hi!
Alex Tutubalin wrote:
> > Встречный вопрос, чем firewall на самой циске не устраивает? Типа
> > firewall
> > feature set...
>
> А кстати, кто-бы рассказал, чем firewall feature set круче чем обычные
> ip access-list трам-пам-пам
Как сам производитель утверждает, там те же PIX'овские алгоритмы
реализованы.
Дополнительные задачи, решаемые firewall'ом, которые не решаются
обычными
средствами защиты (ACL, NAT, encryption, RADIUS/Tacacs authentication/
authorization):
1. Context-based Access Control (CBAC)
Глядит в транспортный заголовок и далее и чего-то там себе решает,
пущать или не пущать. Отслеживает сразу же прямой и обратный трафик,
открывает/закрывает заслонки для прохождения дополнительного потока
данных,
характерного для протоколов с раздельными каналами управления и
передачи данных. Может отслеживать просто TCP/UDP, а может смотреть
и дальше, понимает все самые распространенные приложения:
FTP, TFTP, telnet, SMTP, HTTP на 80-м порту, RPC, H.323, доступ к базам
данных.
2. Java blocking
Hе пропускает ява-приложения.
3. Denial-of-service detection and prevention
Hе дает быстро-быстро открывать много-много сессий
4. Real-time alerts and audit trails
По syslog сваливается информация о б открытии и закрытии сессий, а также
взводятся алармы при обнаружении чего-то нехорошего.