Основными преимуществами такого решения являются:
Ниже приведено краткое описание основных функциональных возможностей FFS:
Контроль состояния соединения | Контроль состояния и контекста всех соединений через роутер |
Протокольно-зависимая фильтрация | Учет в правилах фильтрации команд служебных протоколов прикладного уровня, обнаружение атак на уровне протоколов, динамическое открытие необходимых для работы приложений портов |
TCP/UDP приложения | Telnet, FTP, HTTP, SNMP |
FTP протокол | Активный и пассивный режим |
Мультимедиа приложения | Контроль потоков служебной информации для правильного открытия необходимых портов для аудио/видео соединений (включает H.323 приложения, CU-SeeME, RealAudio, VDOLive, Streamworks и др.) |
Контроль SMTP приложений | Обнаружение неверных SMTP команд, что позволяет избежать необходимости установки почтовых серверов в демилитаризованной зоне |
Поддержка RCP сервисов | Контроль запросов portmapper на открытие соединений для работы RCP приложений |
Поддержка R-команд | Проверка ответов сервера с запросами на установление дополнительных соединений |
Поддержка приложений Oracle | Контроль сообщений о перенаправлении соединений от серверной части Oracle в приложениях клиент-сервер; открытие портов для работы клиентов с сервером |
Приложения по поддержке видеоконференций на основе H.323 | Проверка контрольных сообщений Q.931 и H.245, которые служат для открытия дополнительных UDP соединений для передачи видео и аудио данных |
Защита от популярных видов атак | Защита от syn атак, сканирования портов, защита от атак с исчерпыванием ресурсов маршрутизатора. |
Контроль порядковых номеров | Проверка порядковых номеров (sequence number) в TCP соединениях для гарантии того, что они находятся в ожидаемом диапазоне |
Статистика соединений | Статистика соединений, включающая время, адреса источника/назначения, порты и полное число переданных байт |
Рекомендуемые настройки по умолчанию | Настройки при загрузке, вкл/выкл source routing, разр/запр proxy arp, разрешение всех/только требуемых приложений, шифрование паролей на роутере с помощью MD5, списки доступа и пароли к виртуальным терминалам, разр/запр аутентификации роутеров в поддерживавемых протоколах маршрутизации |
Расширенная статистика по TCP/UDP соединениям | Статистика доступа пользователей (порты и адреса источника/назначения) |
Установка уровня защиты | Можно настроить правила фильтрации или полного запрета Java апплетов, не находящихся внутри архивов или сжатых файлов |
Расширенные возможности | Сообщения в случае атак типа "отказ в обслуживании" или иных заранее описанных событий через syslog механизм на заданный хост |
Совместимость с остальными возможностями Cisco IOS | Совместимость со списками доступа, трансляцией адресов, рефлексивными списками доступа, технологией шифрования, используемой в Cisco |
Поддержка в ConfigMaker | Программа под Windows95/NT, облегчающая настройку сетевых параметров, адресации и параметров FFS |