令人惊异的灵活性Cisco Secure PIX 525防火墙支持各种网络接口卡(NIC)。标准NIC包括单端口或4端口10/100快速以太网、千兆位以太网、4/16令牌环和双连接多模FDDI卡。另外,PIX 525还提供多种电源选件,用户可以选择交流或48V直流电源。每一种选件都配有为第二个"故障切换"PIX系统预备的成对儿产品,从而实现最高的冗余和高可用性。主要特性和优点
Cisco端到端解决方案的组成部分 - 答应各公司将经济高效、无缝的网络基础设施扩展到分支机构。
最低的拥有成本 - 安装、配置简单,网络中断时间更少。另外,答应透明地支持Internet多媒体应用,不再需要实际调整和重新配置每一台客户工作站或PC机。
非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险,提供了突出的性能。
基于标准的虚拟专网 - 使治理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。
自适应安全算法 - 为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源。
静态故障切换/热备用 - 提供高可用性,使网络可靠性最大。
网络地址转换(NAT)-- 节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到。
截断通过代理 - 提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本。
多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。
支持多达38万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。
防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。
支持各种应用 - 全面降低防火墙对网络用户的影响。
java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。
支持多媒体应用 - 降低了支持这些协议所需要的治理时间和成本。无需非凡的客户机配置。
设置简单 - 只需6条命令就能实现一般的安全策略。
紧凑设计 - 可以更加轻易地部署在桌面或更小的办公设置中。
URL过滤 - 当与Websense企业软件配合使用时,可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。
邮件保护 - 不再需要外部邮件在外围网络中转发,也防止了外部邮件转发过程中的拒绝服务攻击。
PIX525的主要特性和优点
性能综述
明文吞吐量
370Mbps
168位 3DES IPSec VPN吞吐量
145Mbps
并发VPN隧道
2000
并发连接
380,000 7500/sec
PIX 535 产品要点和应用环境Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分,PIX 535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全(IPSec)虚拟专网(VPN)功能与千兆位以太网吞吐量灵活地结合在一起。PIX 535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统(OS)紧密集成在一起,该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法(ASA)的一种保护机制,它可以提供面向静态连接的防火墙功能,能够进行50万个同时连接,并同时防止常见的拒绝服务(DoS)攻击。另外,PIX 535还是一种能够通过公网安全传输数据的全功能VPN网关,它支持使用56位数据加密标准(DES)或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡(VAC)选件的支持,能够提供495 Mbps的吞吐量和2000个IPSec隧道。
高可用性通过部署一个冗余的热备用单元来实现,该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下,也能够维护对话,并且保证切换过程对网络用户而言是透明地完成。另外,PIX 535还答应您向交流或直流型号添加可选的冗余、热插拔电源,使其成为一种真正的容错安全设备。PIX535有限软件版本包含有限软件许可的PIX 535配有512MB的RAM,支持多达6个千兆位以太网或10/100快速以太网接口以及一个VAC。PIX535无限软件版本包含无限软件许可的PIX 535配有1GB的RAM,支持多达8个千兆位以太网或10/100快速以太网接口以及一个VAC。另外,PIX 535-UR还添加了与热备用PIX共享状态信息以实现完全防火墙冗余的能力。
PIX535的性能总结
性能综述
明文吞吐量
1.675Mbps
168位 3DES IPSec VPN吞吐量
495Mbps
并发VPN隧道
2000
并发连接
500,000 9400/sec
技术规格处理器:1.0 GHz Intel Pentium III
随机读写内存:512 MB或1 GB SDRAM(寄存型PC 133)
闪存:16 MB
高速缓存:256 KB Level 2,1 GHz
系统总线:双64位,66MHz PCI;单32位,33MHz PCI
扩展PCI总线:9个PCI插槽(4个64位/66MHz,5个32位/33MHz)
随机读写内存:6个DIMM插槽,支持多达6GB的PC133 DRAM(PIX操作系统最大支持1GB)
接口控制台端口:RS-232(RJ-45)9600波特率
故障切换端口:RS-232(DB-15)115Kbps(需要Cisco专用电缆)
思科高端防火墙6503/6506/6509 产品要点和应用环境,解决方案应用Cisco Catalyst®6503/6506/6509高端防火墙是一种高速的、集成化的防火墙,可以提供业界最快的防火墙数据传输速率:5Gb的吞吐量,100000CPS,以及一百万个并发连接。在一个设备中最多可以安装四个FWSM防火墙模块,因而每个设备最高可以提供高达20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的一部分,6503/6506/6509高端防火墙可以为大型企业和服务供给商提供无以伦比的安全性、可靠性和性能。 6503/6506/6509高端防火墙(FWSM)采用了Cisco PIX技术,并且运行Cisco PIX操作系统(OS)--一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用ASA,FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。 FWSM集成防火墙模块 6503/6506/6509高端防火墙是由FWSM防火墙服务模块安装在Cisco Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部而成,Cat6K的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。Cisco Catalyst 6500 真正成为了那些需要各种智能化服务(例如防火墙接入、入侵检测、虚拟专用网(VPN))和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。
适应未来需要 6503/6506/6509高端防火墙(FWSM)可以支持5Gb的吞吐量,因而可以提供无以伦比的性能,让用户无须对系统进行彻底的升级,就可以满足未来的要求。在Catalyst 6500中最多可以添加到四个FWSM,以满足用户不断发展的需求。可靠性FWSM防火墙模块建立在Cisco PIX技术的基础之上,并使用了同一个经过时间检验的Cisco PIX操作系统--一个安全的、实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组,从而可以在同一个平台上提供性能和安全的独特组合。低廉的整体运营成本FWSM可以提供所有防火墙中最佳的性能价格比。由于FWSM防火墙模块是基于Cisco PIX防火墙的,所以培训和治理成本都很低,而且由于它是集成在Cat6K设备内部的,所以大大减少了需要治理的设备的数量。易用性Cisco PIX 设备治理器的直观的图形化用户界面(GUI)可以用于治理和配置FWSM。
FWSM 防火墙特性
主要特性
优点
性能
5 Gbps
一百万个并发连接
每秒建立和断开超过10万个连接
多种接口
最多可以支持100个防火墙VLAN--任何Cisco Catalyst 4000 VLAN都可以充当防火墙VLAN
支持802.1q 和ISL 协议
切入型代理
对每个VLAN实施安全策略
主要特性
优点
配置支持
控制台到命令行界面(CLI)
Telnet 到Cisco PIX防火墙的内部接口
基于IPSec的Telnet到Cisco PIX防火墙的外部接口
SSH到 CLI
SSL 到 Cisco PIX 设备治理器
AAA 支持
通过TACACS+和RADIUS支持,集成常见的身份认证、授权和记帐服务
NAT/PAT 支持
提供动态/静态的网络地址解析(NAT)和端口地址解析(PAT)
Cisco PIX 设备治理器(PDM)
简便、直观、基于Web的GUI可以支持远程防火墙治理
多种基于实时数据和历史数据的报告可以提供使用趋势、基本性能和安全事件等信息
安全网络治理
安全的、采用三重数据加密标准 (3DES)加密的网络治理接入
访问控制列表
最多支持128000条访问控制列表
URL 过滤
在服务器中设定策略,并利用Websense软件检查输出的URL请求
命令授权
对所有CLI设置优先级,创建与这些优先级对应的用户账号或者登录环境。
对象群组
能够组合网络对象(例如主机)和服务(例如FTP和http)
防范 DoS
DNS 保护
Flood Defender
Flood Guard
TCP 阻截
单播反向路径发送
FragGuard和虚拟重组
路由
静态路由· 动态;例如路由信息协议(RIP)和开放最短路径优先(OSPF)
高可用性
状态故障恢复--设备内部和设备之间
日志
全面的系统日志、FTP、URL和ACL日志
其他协议
H.323 V2
基于IP的NetBios
RAS 第二版本
RTSP
SIP
XDMCP
SKINny
6503/6506/6509高端防火墙应用环境6503/6506/6509高端防火墙部署在企业园区的数据中心的网络拓扑中。今天的企业不仅仅需要周边安全,还需要连接业务伙伴和提供园区安全区域,为企业中的各个部门提供安全服务。6503/6506/6509高端防火墙可以通过让用户和治理员以不同的策略在企业中设立安全域,提供一种灵活、经济、基于性能的解决方案。图2显示了一个利用状态过滤来建立不同的、基于VLAN的安全域的园区部署。利用6503/6506/6509高端防火墙,用户可以为不同的VLAN制定相应的策略。数据中心也需要用状态防火墙安全解决方案来保护数据,并以尽可能低的成本提供千兆位的性能。 6503/6506/6509高端防火墙可以通过在防火墙中提供最佳的性能价格比,最大限度地提高资本投资效率,让客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。 思科IOS路由器防火墙产品及特性 思科公司的IOS路由器均提供强大的安全功能,在集成化要求很高的情况下,采用思科全系列路由器并配备安全功能的IOS软件也是一个灵活的选择。
Cisco IOS防火墙软件荟萃了多种多样功能强大的安全性功能,包括:
基于上下文的访问控制(CBAC)
入侵检测
身份验证代理
拒绝服务检测与预防
动态端口映射
Java小应用封锁
VPN、IPSec加密和QoS支持:
实时告警
网络事务跟踪记录
事件记录
防火墙治理
与Cisco IOS软件的集成
基本和高级数据流过滤:
基于政策的多接口支持
网络地址转换
基于时间的访问列表
对等路由器身份验证