 |
||
|
  |
データシート |
![Cisco Secure PIX[R] Firewall バージョン6.0](/web/JP/product/hs/security/pix/prodlit/pix60_ds/pix60_ds_t.gif){kind=small}
- [目次]
- ◆[概要]
- ◆[PIX Device Manager]
- ◆[バージョン6.0の新規機能]
- ◆[技術仕様]
- ◆[発注情報]
| 概要 |
業界をリードするCisco Secure PIX® Firewallシリーズは、今日のネットワーク利用者に対し、比類のないセキュリティ、信頼性、およびパフォーマンスを提供します。これは、完全にステートフルのファイヤウォール保護、およびIPsec(IP Security)VPN(仮想プライベートネットワーク)機能を実現するハードウェアとソフトウェアの統合パッケージであり、外部の侵入から内部ネットワークを厳重に保護します。一般的に使われているプロキシサーバはCPUに負荷が集中して、通信におけるボトルネックになることがあります。これに対してSecure PIX Firewallは、UNIXで実装されておらず、安全かつリアルタイムな組み込みシステムを使用しています。従来の柔軟性とスケーラビリティに加え、幅広い種類のプラットフォームや機能を選択できることから、PIXは顧客のあらゆる要件を満たします。
Cisco Secure PIX Firewall専用オペレーティングシステムの最新リリースであるバージョン6.0は、新たに改善されたPIXの機能、パフォーマンス、およびセキュリティに加え、数々の新機能を提供します。
| PIX Device Manager |
Cisco VPN Client バージョン3.0(統合VPN Clientフレームワーク) 実装と運用の簡単なCisco VPN Clientを使用すると、顧客は安全なエンドツーエンドの暗号化トンネルを構築できます。クライアントは、展開する前に設定しておくことで導入が用意になり、初期ログイン時にユーザーが実行しなければならないことはほとんどありません。VPNのアクセスポリシーと構成はCisco Secure PIX Firewallからダウンロードされ、接続が確立された時点でクライアントに送られます。このように、高度なスケーラビリティの実現に加え、展開と管理を簡略化できます。Cisco VPN Clientは、Windows 95/98/Me/NT 4.0/2000に対応しています。 レイヤ2トンネリングプロトコルのサポート Cisco Secure PIX Firewallには、Windows 2000 OSに組み込まれたレイヤ2トンネリングプロトコル(L2TP)クライアントによって開始されたVPNトンネルを終端する機能があります。L2TPにより、リモートクライアントは公衆IPネットワークを使用して、企業の専用線ネットワークと安全に通信できるようになります。また、L2TPでは認証が可能なので、IPsecと併用することで、暗号化された安全なトンネルをクライアントに提供できます。 音声拡張
Skinnyプロトコルのサポート Cisco Secure PIX Firewallのアプリケーションの処理方法が拡張され、Cisco IP PhoneでのVoIP通話シグナリングに使用されるSCCP(Skinny Client Control Protocol)が新たにサポートされます。この機能は、メディアセッション、およびネットワークアドレス変換(NAT)組み込みのIPアドレスに対し、動的に「穴」を空けます。SCCPはIPテレフォニーをサポートし、H.323環境と共存可能です。アプリケーションレイヤでは、すべてのSCCPシグナリングとメディアパッケージがPIX Firewallを通過し、H.323端末と相互運用できることが保証されます。 SIP(Session Initiation Protocol)による拡張 IETF(Internet Engineering Task Force)の規定するSIP(Session Initiation Protocol)は、呼設定セッション、特に2者間音声会議(「通話」)を実現します。SIPはSDP(Session Description Protocol)と協調して動作し、呼設定に先がけて呼を定義します。SIPを使用することで、Cisco Secure PIX FirewallはVoIp(Voice-over-IP)、およびVoIpを使用するあらゆるプロキシサーバをサポートできます。本バージョンでの拡張機能は以下のとおりです。
- UDP(User Datagram Protocol)シグナリングおよびTCP(Transmission Control Protocol)シグナリングメッセージに対するアドレス変換
- 複数の通話区間(コールレグ)をサポート
- SIPプロキシのサポート
- 外線からの接続を新しいシグナリング接続によって終端、自動転送、保留、通話転送できるようにするための初期接続でのUDPサポート
| バージョン6.0の新規機能 |
動的な排除 この機能により、Cisco Secure PIX FirewallにCisco IDSセンサを組み合わせると、新規接続を遮断し、あらゆる既存接続からのパケットを禁止することで、攻撃ホストに動的に対処できます。Cisco Secure IDSデバイスは、トラフィックの送信元に悪意があると判断すると、PIX Firewallに対し、この送信元からのトラフィックを排除するよう指示します。排除(shun)コマンドは、攻撃を受けるインタフェースに対し、特定の期間に渡るブロック機能を適用します。Cisco Secure IDSマスタユニットによりこのブロック機能が解除されない限り、攻撃ホストのIPアドレスを含むパケットは破棄および記録されます。このIPソースアドレスからのあらゆるトラフィックは、PIX Firewall上の通過を禁止され、残りの接続はすべてタイムアウトされます。排除コマンドのブロック機能は、指定のホストアドレスによる接続が現在アクティブかどうかに関わらず適用されます。排除関連の統計は、showコマンド、syslogメッセージ、およびPIX Device Manager(PDM)によるモニタリングによって参照できます。 PATによるポートのリダイレクション Cisco Secure PIX Firewallバージョン6.0は、静的なPAT(Port Address Translation)機能を新たに提供します。これは、1つのグローバルアドレスを介して、複数の受信(インバウンド)TCPまたはUDPサービスを異なる内部ホストへ送信する機能です。このグローバルアドレスには、一意のアドレス、共有発信(アウトバウンド)PAT、または外部インタフェースとの共有アドレスのいずれかを使用できます。 HTTPセッションのステートフルな共有 Cisco Secure PIX Firewallは、冗長ホットスタンバイユニットの実装によって、高度な可用性を実現します。このフェイルオーバオプションは、ステートフルな自動同期により、複数の同時接続を維持します。この機能により、システム障害が発生した場合であってもセッションが維持され、経路切り替えがネットワークユーザーにとっては完全に透過的となることが保証されます。PIX Firewallバージョン6.0には、HTTP(ポート80)セッションを維持する機能が追加されました。 CPU稼働状態 本バージョンには、PIX上のCPU負荷を監視する機能が新たに加えられました。showコマンドとPDMモニタリングを使用すると、5秒間、1分間、および5分間のCPU稼働状態の統計を表示できます。 アクセス制御リストのsyslogメッセージにポート番号を表示 syslogメッセージには、アクセス制御リスト(ACL)によって拒否されたパケットに含まれるTCP/UDPポート番号が追加されるようになりました。 10種類のイーサネットインタフェース 組み込みシステムの利点を損なうことなく必要に応じたプラットフォームの拡張を可能にするため、Cisco Secure PIX Firewallシリーズは1ポートまたは4ポート10/100ファーストイーサネットNIC、およびギガビットイーサネットNICをサポートします。バージョン6.0のPIXソフトウェアを使用すると、制限なしのライセンスによるCisco Secure PIX Firewall 535では、最大10種類のイーサネットインタフェースをサポートできます。制限付きライセンス製品では、最大8種類のイーサネットインタフェースのサポートが可能です。
| 技術仕様 |
互換性 VPN Client:Cisco Secure VPN Clientバージョン1.1、またはCisco VPN 3000 Clientバージョン2.5以上いずれのクライアントもWindows 95、Windows 98、およびWindows NT 4.0に対応 システム要件 ハードウェアプラットフォーム: Cisco Secure PIX Firewall 506、515、520、525、または535
ランダムアクセスメモリ:32 MB
フラッシュメモリ:16 MB(PIX 506に8 MB必要)
| 発注情報 |
|
更新日:2001年6月5日 |