Pour ceux que ça interesse, voilà la doc Technique du Firewall cisco PIX 501
Pare-feu Cisco PIX ® 501
Le pare-feu Cisco PIX 501 offre une sécurité de qualité entreprise aux petits
bureaux et aux télétravailleurs dans un équipement de sécurité « plug-and-play »
d’une grande fiabilité. Idéalement adapté à la protection des environnements haut
débit connectés en mode permanent, le pare-feu Cisco PIX 501 – qui fait partie de
la gamme des pare-feu Cisco PIX, leader de son marché – fournit une sécurité
robuste, des fonctionnalités de mise en réseau pour les petits bureaux ainsi que de
puissantes capacités d’administration à distance dans une solution compacte tout
en un.
Une solution de sécurité de qualité entreprise pour les
environnements de petits bureaux
Le pare-feu Cisco PIX 501 est un appareil conçu spécifiquement pour la
protection des réseaux et offre, dans une même unité, des services de sécurité
avancés : pare-feu à inspection d'état, mise en réseau privé virtuel (VPN) et
protection contre les intrusions. Avec son algorithme de pointe Cisco ASA
(Adaptive Security Algorithm) et son système d'exploitation PIX, le pare-feu PIX
501 s’interpose efficacement entre les utilisateurs qu’il protège et les nombreuses
menaces qui rôdent sur Internet. Sa technologie puissante – l’inspection d’état –
lui permet de conserver la trace de l’état des requêtes des utilisateurs autorisés et
d’interdire l’accès au réseau à tous ceux qui ne le sont pas. Grâce à la souplesse
des possibilités de contrôle d'accès du PIX 501, l’administrateur peut également
faire appliquer des politiques personnalisées sur le trafic réseau qui traverse le
pare-feu.
La prise en charge des normes d’échange de clé IKE (Internet Key Exchange) et
VPN Ipsec (IP security) permet aussi au pare-feu Cisco PIX 501 de protéger toutes
les communications de réseau qui transitent par Internet entre les bureaux distants et
les réseaux d’entreprise.
Avec le cryptage des données – DES (Data Encryption Standard) à 56 bits ou, en option, le système
évolué 3DES (Triple DES) à 168 bits – vous transmettez par Internet les informations confidentielles
de l’entreprise en toute sécurité et à l’abri des regards indiscrets.
Les fonctions intégrées de protection contre les intrusions dont dispose le pare-feu PIX 501
immunisent votre réseau contre de nombreuses formes d’agression courantes. Capable d’identifier une
soixantaine de « signatures » d’attaques différentes, PIX assure une surveillance vigilante contre les
agressions et peut, à votre convenance, les bloquer ou vous prévenir en temps réel.
Le PIX 501, qui regroupe la totalité des fonctions de sécurité offertes par les pare-feu haut de gamme
Cisco PIX Gigabit, vous fait bénéficier, dans une solution facile à utiliser et à déployer, de la
protection avancée que chaque utilisateur haut-débit recherche.
Une solution simple de réseau haut débit pour les petits bureaux
Le pare-feu Cisco PIX 501, avec son commutateur intégré hautes performances à quatre ports
10/100 Mbits/s, est un moyen pratique de permettre à plusieurs ordinateurs de partager une même
connexion à haut débit. De plus, les pare-feu Cisco PIX Firewalls offrent des fonctions de traduction
d’adresses NAT (Network Address Translation) et de port PAT (Port Address Translation) qui cachent
les véritables adresses des équipements de votre réseau. Le serveur DHCP (Dynamic Host
Configuration Protocol) intégré à PIX, qui assigne automatiquement une adresse réseau à un
ordinateur dès sa mise en route, offre à l’utilisateur la possibilité de se mettre en réseau en mode
« plug and play ». Le pare-feu Cisco PIX 501 dispose de toutes les fonctions nécessaires pour
s’intégrer harmonieusement dans la plupart des environnements de réseau haut débit.
Fonctions robustes d’administration à distance
Le PIX 501 est une plate-forme fiable et facile à gérer dont la configuration, la surveillance et le
dépannage peuvent être assurés de plusieurs manières. Les solutions de gestion de PIX vont de
l’utilitaire d’administration intégré par le Web jusqu’aux outils centralisés à base de politiques
capables de prendre en charge des protocoles de surveillance à distance comme SNMP (Simple
Network Management Protocol) et syslog.
Avec l’interface Web intuitive de PIX Device Manager (PDM), l’administrateur peut facilement
configurer et surveiller un pare-feu PIX 501 sans avoir besoin d’installer d’autres logiciels – si ce n’est
un navigateur Web standard – sur son ordinateur.
Il dispose également de plusieurs méthodes – Telnet, Secure Shell (SSH) et un accès hors bande par le
port console – pour configurer, surveiller et dépanner à distance le pare-feu PIX 501 avec les
instructions de son interface de commande en ligne (CLI).
Cisco VPN/Security Management Solution (VMS), permet de gérer efficacement et à distance un
grand nombre de pare-feu PIX 501. VMS est la suite d’outils de supervision, de configuration et de
dépistage de pannes, dédiée aux technologies de sécurité réseaux déployées dans l’entreprise. Ces
technologies incluent les réseaux privés virtuels d’entreprises ( VPN ), la sécurité périphérique fournie
par les pare-feu, ainsi que les technologies de détection d’intrusions de types réseau et host.
Tableau 1 Principales fonctions et avantages du produit
Principales fonctions Avantages
Une solution de sécurité de qualité entreprise
• Utilise un système d'exploitation propriétaire renforcé qui élimine les
risques de sécurité associés aux systèmes d'exploitation non
spécialisés.
Conçu pour la sécurité
des réseaux
• La qualité Cisco et l’absence de pièces mobiles garantissent une plateforme
de sécurité d’une grande fiabilité.
• Fournit une sécurité périmétrique pour empêcher tout accès non
autorisé au réseau.
• L’algorithme de pointe Cisco ASA (Adaptive Security Algorithm) fournit
des services robustes de pare-feu à inspection d'état.
• Offre des fonctionnalités souples pour le contrôle d'accès de 105
applications, services et protocoles prédéfinis avec la possibilité de
définir des applications et des services.
• Comprend de nombreuses « retouches » sensibles aux applications
qui protègent les protocoles de mise en réseau évolués comme H.323,
SIP, Skinny, RTSP, et bien d’autres encore.
Pare-feu à inspection
d'état
• Intègre le filtrage de contenu des applets Java et des contrôles
ActiveX.
• Prend en charge les normes IKE et VPN IPsec.
• Garantit l’intégrité et la confidentialité des données ainsi que
l’authentification forte sur les réseaux distants par Internet.
VPN
• Garantit la confidentialité des données grâce au cryptage DES 56 bits
et 3DES 168 bits.
• Offre une protection contre plus de 100 types différents d’attaques
réseau courantes qui vont des attaques par paquets mal formés aux
attaques par saturation.
• Intègre Cisco Network Intrusion.
Protection contre les
intrusions
• Dispose de fonctions de détection d’intrusion (IDS) qui permettent de
bloquer ou d’éviter de manière dynamique les noeuds de réseau hostiles
par l’intermédiaire du pare-feu.
Prise en charge AAA
• Intègre des services réputés d’authentification, d’autorisation et de
comptabilisation (AAA) grâce à la prise en charge de TACACS+ et de
RADIUS.
Certificat X.509 et prise
en charge CRL
• Prend en charge l’adhésion de type SCEP avec des solutions de
pointe X.509 élaborées par Baltimore, Entrust, Microsoft et VeriSign.
Intégration des
meilleures solutions des
constructeurs tiers
• Prend en charge la large gamme des solutions partenaires de Cisco
AVVID (Architecture for Voice, Video and Integrated Data) qui assurent
le filtrage URL, le filtrage de contenus, la protection anti-virus,
l’administration à distance évolutive, et bien plus encore.
Emplacement intégré
pour cadenas de
sécurité
• Permet de protéger physiquement le pare-feu PIX 501 à l’aide d’un
câble à cadenas standard pour ordinateur portable (cadenas non fourni).
Réseau de petit bureau robuste
• Offre un environnement de création de réseau haut débit pratique pour
les petits bureaux dans une unique plate-forme compacte.
Commutateur intégré à
4 ports 10/100
• Prend en charge Auto-MDIX qui rend inutiles les câbles croisés pour
connecter les équipements au commutateur.
• Obtient directement auprès du fournisseur de services une adresse IP
pour l’interface extérieure du pare-feu.
Client et serveur DHCP
• Fournit des adresses IP aux équipements du réseau protégé par le
pare-feu.
• Assure la traduction dynamique ou statique des adresses de réseau
(NAT) ou de ports (PAT).
Prise en charge
NAT/PAT
• Permet à plusieurs utilisateurs de partager une même connexion à
haut débit sur la même adresse IP publique.
Principales fonctions Avantages
PPPoE (à partir du
premier trimestre 2002)
• Garantit la compatibilité avec les réseaux qui exigent la prise en charge
du protocole PPP sur Ethernet (PPPoE).
Fonctionnalités évoluées d’administration
• L’interface graphique intuitive par le Web garantit la simplicité et la
sécurité de l’administration à distance des pare-feu PIX.
PDM (PIX Device
Manager)
• Offre une large gamme de rapports détaillés en temps réel ou
historiques qui fournissent des informations vitales sur les tendances
d’utilisation, les performances de base et les incidents de sécurité.
Supporté par Cisco
2000 VPN & Security
Management Solution
• Garantit une gestion évolutive et cohérente de l’ensemble de la gamme
des pare-feu Cisco PIX déployés dans toute l’entreprise grâce à une
infrastructure complète de gestion de sécurité réseau constituée la suite
d’applications Cisco Works 2000 VPN & Security Management solution
• Permet aux utilisateurs d’exploiter leur connaissance de l’interface de
commande en ligne de Cisco PIX pour simplifier l’installation et faciliter
l’administration sans formation supplémentaire.
Interface de commande
en ligne de Cisco PIX
• Accessible de nombreuses manières différentes : port console, Telnet,
SSH, etc.
Prise en charge SNMP
et syslog
• Offre des fonctionnalités de surveillance et d’ouverture de session à
distance en intégrant les applications de gestion Cisco et d’autres
constructeurs.
Résumé des performances
Débit en texte clair : 10 Mbits/s
Connexions simultanées : 3500
Débit DES 56 bits sous IPsec VPN : 6 Mbits/s
Débit 3DES 168 bits sous IPsec VPN : 3 Mbits/s
Nombre de VPN homologues simultanés : 5*
* Nombre maximum de SA (Security Associations) VPN/IKE
supportés.
Caractéristiques techniques
Processeur : AMD SC520 à 133 MHz
Mémoire RAM : 16 Mo de SDRAM
Mémoire Flash : 8 Mo
Bus système : Monobus 32 bits, PCI 33 MHz
Température et hygrométrie de service
En fonctionnement
Température : de 0 à 40° C
Hygrométrie relative : de 10 à 90 % sans condensation
Altitude : jusqu'à 2 000 m
Choc : 250 G, < 2 ms
Vibrations : de 3 à 500 Hz, aléatoire
Hors service
Température : de -20 à 65° C
Hygrométrie relative : de 10 à 90 % sans condensation
Altitude : jusqu'à 4 570 m
Choc : 65 G, 8 ms
Vibrations : de 3 à 500 Hz, aléatoire
Puissance
En entrée
Plage de tensions secteur : de 100 V à 240 V AC
Tension secteur nominale : de 100 V à 240 V AC
Intensité : 0,051 A à 115 V
Fréquence : 50-60 Hz, monophasé
Puissance : 5,9 W
En sortie
Tension secteur nominale : 3,3 V DC
Intensité : 1,5 A
En régime permanent : 5 W
Pic maximum : 5 W
Dissipation thermique maximum : 4,3 kcal/h,
utilisation à pleine puissance (5 W)
Caractéristiques matérielles
Dimensions et poids
Dimensions (H x L x P) : 2,54 x 15,875 x 13,97 cm
Poids : 0,340 kg
Interfaces
Port Console : RS-232 (RJ-45) 9600 bauds
Externe : port 10BaseT intégré, half-duplex, RJ45
Interne : auto-détection intégrée, commutateur auto-
MDIX 4 ports 10/100, RJ45
