思科公司PIX防火墙产品一览
思科公司防火墙系列产品特性一览表
PIX 501
PIX 506E
PIX 515E-UR
PIX 525-UR, 支持千兆
PIX 535-UR, 支持千兆
FWSM高端防火墙模块
市场
小型办公室
家庭办公室
远程办公室
中小型分支机构
大型企业
大型企业+服务供给商
大型企业+服务供给商
许可用户个数
10或者50
无限
无限
无限
无限
无限
VPN对等端最大数量
10
25
2000
2000
2000
N/A
RAM(MB)
16
32
64
256
1GB
2GB
最大接口数 (物理+逻辑)
1个10BT+4个FE
2个10BaseT
8
10
24
4096
物理接口个数
2个10BaseT 4端口交换机
2个10BaseT
2个10/100+4个10/100
2个10/100+6个FE/GE
2个10/100+8个FE/GE
4096
双向吞吐量(Mbps)
60
100
188
360
1.7GHz
5.5G
3DES (VAC/VAC+)(Mbps)
3
16
130
145
425
N/A
AES-128吞吐量 (Mbps)
4.5
30
130
135
495
N/A
AES-256吞吐量 (Mbps)
3.4
25
130
135
425
N/A
最大连接数
7,500
25,000
130,000
380,000
500,000
1,000,000
每秒支持的最大连接数
380
700
5,000
7,500
9,400
100,000
是否支持OSPF
是
是
是
是
是
是
支持基于Web的设备治理方式
是
是
是
是
是
是
是否支持简单VPN (easy VPN)
是
是
是
是
是
是
支持虚拟防火墙
否
否
是,7.0版本
是,7.0版本
是,7.0版本
是,2.2版本, 支持256个
支持透明防火墙
是,7.0版本
是,7.0版本
是,7.0版本
是,7.0版本
是,7.0版本
是,2.2版本
支持虚拟防火墙资源限制
否
否
是,7.0版本
是,7.0版本
是,7.0版本
是,2.2版本
支持802.1q Trunk
否
否
是
是
是
是
支持FailOver
否
否
是
是
是
是
思科全系列防火墙具体功能特性列表
产品型号
Cisco PIX 501
Cisco PIX 506E
Cisco PIX 515E
Cisco PIX 525
Cisco PIX 535
Cisco FWSM 高端防火墙
总结
自动升级支持
有
有
有
有
有
有
Easy VPN支持(即向VPN客户全面、自动推出策略)
有
有
有
有
有
有
Stub组播路由支持
有
有
有
有
有
有
集成化入侵检则功能
有
有
有
有
有
有
ip语音防火墙支持
有
有
有
有
有
有
PPTP支持
有
有
有
有
有
有
免费软件VPN客户机
有
有
有
有
有
有
免费软件VPN客户机,带集成化个人防火墙
有
有
有
有
有
有
运行模式-路由/交换网桥
有
有
有
有
有
有
第2层(L2)透明模式防火墙
有(7.0)
有(7.0)
有(7.0)
有(7.0)
有(7.0)
有
虚拟防火墙支持
有(7.0)
有(7.0)
有(7.0)
有(7.0)
有(7.0)
有
业界认证
ISCA Firewall
有
有
有
有
有
有
ICSA IPsec
有
有
有
有
有
有
通用标准(EAL4)
无(但正在开发)
无(但正在开发)
无(但正在开发)
无(但正在开发)
无(但正在开发)
无(但正在开发)
FIPS-140 Level 2
无(但正在开发)
无(但正在开发)
无(但正在开发)
无(但正在开发)
无(但正在开发)
无(但正在开发)
硬件信息
外部接口类型
10/100Base-T
10/100Base-T
10/100Base-T
10/100Base-T, GE
10/100Base-T,GE
10/100Base-T,GE, POS, E1, 广域网接口
硬件结构
CPU+ASIC+PCI总线结构
CPU+ASIC+PCI总线结构
CPU+ASIC+PCI总线结构
CPU+ASIC+PCI总线结构
CPU+ASIC+PCI总线结构
NP(Network PRocesspr) 结构
防火墙
防火墙类型
状态检测
状态检测
状态检测
状态检测
状态检测
状态检测
防火墙算法
专用ASA自适应安全算法
专用ASA自适应安全算法
专用ASA自适应安全算法
专用ASA自适应安全算法
专用ASA自适应安全算法
专用ASA自适应安全算法
所支持的预定义服务数(如FTP,SMTP,HTTP等)
108
108
108
108
108
108
容灾容错
有
有
有
有
有
有
对象组支持
有
有
有
有
有
有
支持与入侵检测系统的结合与互动
有
有
有
有
有
有
IP语音(VoIP)防火墙支持
SIP支持
有
有
有
有
有
有
H.323支持
有
有
有
有
有
有
SKINny支持
有
有
有
有
有
有
DHCP选项66和150(IP电话/软电话自动配置)
有
有
有
有
有
有
入侵保护
所支持的IDS特征数
59
59
59
59
59
59
对中心IDS控制台的报警通知
有
有
有
有
有
有
FTP命令过滤
有
有
有
有
有
有
针对SYN攻击的保护
有
有
有
有
有
有
针对IP欺骗的保护
有
有
有
有
有
有
邮件防护
有
有
有
有
有
有
DNS防护
有
有
有
有
有
有
"防攻击类型 Ping-of-Death Ping-Flooding、 TearDrop UDP-Flooding SYN-Flooding KillWin WinNuke LAND IGMP2 IP碎片 源路由 端口扫描 IP-Spoofing "
有
有
有
有
有
有
虚拟专用网(VPN)
站点间VPN支持
有
有
有
有
有
有
所支持的隧道协议
IPsec, PPTP, IPsec/L2TP
IPsec, PPTP, IPsec/L2TP
IPsec, PPTP, IPsec/L2TP
IPsec, PPTP, IPsec/L2TP
IPsec, PPTP, IPsec/L2TP
IPsec, PPTP, IPsec/L2TP
所支持的加密算法
DES, 3DES, AES
DES, 3DES, AES
DES, 3DES, AES
DES, 3DES, AES
DES, 3DES, AES
DES, 3DES, AES
所支持的散列算法
md5, SHA-1
MD5, SHA-1
MD5, SHA-1
MD5, SHA-1
MD5, SHA-1
MD5, SHA-1
拆分隧道支持
有
有
有
有
有
有
NAT透明性支持
有
有
有
有
有
有
可作为VPN硬件客户端
有
有
有
有
有
有
冗余VPN头端支持
有
有
有
有
有
有
可作为远程VPN客户端的VPN头端
有
有
有
有
有
有
可动态地向远程VPN客户端推出VPN策略
有
有
有
有
有
有
支持X.509认证
Entrust, VeriSign, Microsoft, Baltimore, RSA Keon
Entrust, VeriSign, Microsoft, Baltimore, RSA Keon
Entrust, VeriSign, Microsoft, Baltimore, RSA Keon
Entrust, VeriSign, Microsoft, Baltimore, RSA Keon
Entrust, VeriSign, Microsoft, Baltimore, RSA Keon
Entrust, VeriSign, Microsoft, Baltimore, RSA Keon
基于SCEP的X.509认证注册支持
有
有
有
有
有
有
经由SCEP的CRL
有
有
有
有
有
有
QoS支持
有
有
有
有
有
有
动态路由支持
有
有
有
有
有
有
地址治理
DHCP服务器
有
有
有
有
有
有
DHCP客户机
有
有
有
有
有
有
DHCP中继
有
有
有
有
有
有
NAT/PAT支持
有
有
有
有
有
有
端口重定向
有
有
有
有
有
有
双向NAT
有
有
有
有
有
有
IP/MAC绑定功能
有
有
有
有
有
有
内容过滤
使用外部服务器的URL过滤(第三方)
有(Websense和N2H2集成)
有(Websense和N2H2集成)
有(Websense和N2H2集成)
有(Websense和N2H2集成)
有(Websense和N2H2集成)
有(Websense和N2H2集成)
java阻塞
有
有
有
有
有
有
ActiveX阻塞
有
有
有
有
有
有
用户验证
防火墙上本地定义的用户列表
有
有
有
有
有
有
经由RADIUS实现的用户列表
有
有
有
有
有
有
经由TACACS/TACACS+实现的用户列表
有
有
有
有
有
有
验证的服务
HTTP, FTP, Telnet, VPN(经由ACS)
HTTP, FTP, Telnet, VPN(经由ACS)
HTTP, FTP, Telnet, VPN(经由ACS)
HTTP, FTP, Telnet, VPN(经由ACS)
HTTP, FTP, Telnet, VPN(经由ACS)
HTTP, FTP, Telnet, VPN(经由ACS)
设备级治理
真正的即插即用(即工厂配置可用于大多数部署)
有
有
有
有
有
有
基于Web的安全治理
有
有
有
有
有
有
SSH支持
有
有
有
有
有
有
SNMP支持
有
有
有
有
有
有
经由图形进行的设备和性能监控
有
有
有
有
有
有
单独治理员帐户数
无限
无限
无限
无限
无限
无限
用于简化部署的全面VPN向导
有
有
有
有
有
有
用于简化部署的全面防火墙向导
有(包括ACL配置)
有(包括ACL配置)
有(包括ACL配置)
有(包括ACL配置)
有(包括ACL配置)
有(包括ACL配置)
治理员级别数
16,可定制
16,可定制
16,可定制
16,可定制
16,可定制
16,可定制
集中治理
应用名
CiscoWorks VMS, PIX MIC
CiscoWorks VMS, PIX MIC
CiscoWorks VMS, PIX MIC
CiscoWorks VMS, PIX MIC
CiscoWorks VMS, PIX MIC
CiscoWorks VMS, PIX MIC
基于Web的安全治理
有
有
有
有
有
有
用于配置升级的推/拉自动升级模型
有
有
有
有
有
有
用于软件升级的推/拉自动升级模型
有
有
有
有
有
有
企业级、工作流驱动治理
有
有
有
有
有
有
PIX 501 产品要点和应用环境
应用环境
Cisco PIX 501防火墙可以通过一个可靠的、即插即用的安全设备为小型办公室和远程办工人员提供企业级的安全性。Cisco PIX 501防火墙是市场领先的Cisco PIX防火墙系列的一部分,可以通过一个紧凑的、整合的解决方案提供强大的安全功能、小型办公室联网功能和强大的远程治理功能,尤其适用于保障高速的、"永续运行的"宽带环境的安全。通过提供各种与Cisco高端千兆PIX防火墙相同的安全功能,PIX 501可以通过便于使用和部署的解决方案提供所有宽带用户非常需要的丰富的保护功能。简便的、高速的小型办公室联网
Cisco PIX 501防火墙可以通过其集成化的、高性能四端口10/100Mbps交换机为多个计算机共享一个宽带连接提供一种方便的方法。而且,Cisco PIX防火墙可以提供网络地址解析(NAT)和端口地址解析(PAT)等功能,因而可以隐藏您的网络设备的实际网络地址。用户还可以利用PIX中内置的动态主机配置协议(DHCP)服务器获得即插即用的联网功能,DHCP服务器在启动以后可以自动为其管辖的计算机分配网络地址。Cisco PIX 501防火墙可以提供与大多数宽带联网环境无缝集成所必须的各种功能。强大的远程治理功能
PIX 501是一个可靠的、便于维护的平台,可以提供多种配置、监控和诊断方式。PIX治理解决方案的范围非常广泛――从一个集成化的、基于Web的治理工具到集中的、基于策略的工具,以及对各种远程监控协议的支持,例如简单网络治理协议(SNMP)和系统日志。PIX设备治理器(PDM)可以为治理员提供一个直观的、基于Web的界面,从而使他们可以方便地配置和监控一台PIX 501,而不需要在治理员的计算机上安装任何软件(除了一个标准的Web浏览器以外)。PIX501的主要特性和优点
企业级安全性
真正的安全设备
采用一种专用的、强化的操作系统,可以消除通用操作系统所具有的各种安全风险
思科的品质和没有可动组件的设计提供了一个高度可靠的安全平台。
状态监测防火墙
提供周边网络安全,以防止未经授权的网络访问。
使用最新的自适应安全算法(ASA),提供强大的状态监测防火墙服务。
为超过105个预先定制的应用、服务和协议提供灵活的访问控制功能,并能够自行定义应用和服务。
包括多种能够感知应用的“补丁”,从而确保多种先进的网络协议(例如H.323、ISP、Skinny、RTSP等)的安全。
包括针对Java applet和ActiveX控制的内容过滤。
VPN
支持IKE和IPSec VPN标准
确保数据的安全性/完整性,强大的、通过互联网对远程网络进行身份认证的功能
支持56位DES和168位3DES数据加密,以确保数据的安全性
入侵检测
提供对超过55种常见网络攻击的防范,这些攻击的范围非常广泛――从变形分组攻击到拒绝服务(DoS)攻击。
与Cisco网络入侵解决方案相集成
检测系统(IDS)检测器可以通过防火墙动态阻塞/避免存在威胁的网络节点。
AAA支持
通过TACACS+和RADIUS支持,与常见的身份认证、授权和记帐服务集成
X.509认证和CRL支持
通过由Blatimore、Entrus、微软和VeriSign提供的领先X.509解决方案支持基于SCEP的注册
与领先的第三方解决方案集成
支持多种Cisco AVVID(语音、视频和综合数据架构)合作伙伴解决方案,这些方案可以提供URL过滤、内容过滤、病毒检测、可扩展远程治理等功能。
强大的小型办公室联网功能
集成的四端口
通过一个结构紧凑的平台,为小型办公室环境提供方便的、高速的联网环境
10/100交换机
自动MDIX支持,从而无须对连接到交换机的设备使用交叉电缆
DHCP客户端和服务器端
自动从电信服务供给商那里获取防火墙对外接口的IP地址
为防火墙内部网络上的设备提供IP地址
NAT/PAT支持
提供动态的/静态的网络地址转换(NAT)和端口地址转换(PAT)功能
让多个用户可以利用同一个公共IP地址,共享一个宽带连接
丰富的治理功能
PIX设备治理器(PDM)
直观的、基于Web的GUI可以实现对PIX防火墙的简便、安全的远程治理
提供各种含有大量信息的、实时的和历史数据报告,有助于深入了解使用趋势、性能和安全事件。
SNMP和系统日志支持
提供远程监控和日志功能,并能够与思科和第三方治理应用集成
性能综述
明文吞吐量
60Mbps
并发连接
7500 380/sec
56位 DES IPSec VPN吞吐量
6Mbps
168位 3DES IPSec VPN吞吐量
3Mbps
并发VPN隧道
10
PIX 506E 产品要点和应用环境
Cisco PIX 506E防火墙应用环境
Cisco PIX 506E防火墙是应用极为广泛的Cisco PIX 506防火墙的增强版本,可以通过一个可靠的、强大的安全设备为远程办公室和分支机构提供企业级的安全性。Cisco PIX 506E防火墙是市场领先的Cisco PIX防火墙系列的一部分,可以通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的远程治理功能,尤其适用于为远程/分支机构保障互联网连接。PIX 506E还提供了更很高的3DES VPN性能。针对远程办公室/分支机构环境的企业级安全性
Cisco PIX 506E防火墙是一种针对特定需求而设计的安全设备,可以在单独的一个设备中提供丰富的安全服务,包括状态监测防火墙、虚拟专用网(VPN)和入侵防范等。利用思科最新的自适应安全算法(ASA)和PIX操作系统,PIX 506E可以确保其后的所有用户的安全,并可以帮助他们防范互联网的潜在威胁。它的功能强大的状态监测技术可以跟踪所有经过授权的用户的网络请求,防止未经授权的网络访问。利用PIX 506E灵活的访问控制功能,治理员还可以对经过防火墙的网络流量实施定制的策略。PIX 506E与您的后端企业数据库无缝集成,因此可以通过直接使用TACACS/RADIUS或间接使用Cisco安全访问控制服务器(ACS)对外部对网络资源的访问进行严格的验证。Cisco PIX 506E防火墙还可以利用其基于标准的互联网密钥交换(IKE)/IP安全(IPSec)VPN功能,确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全。通过利用56位数据加密标准(DES)或者可选的高级168位三重DES(3DES)加密对数据进行加密,当您的敏感企业数据安全地在互联网中传输时,别人将无法窥探到它们。PIX 506E的集成化的入侵防范功能可以防止您的网络受到各种常见的攻击。通过查找超过55种不同的攻击"签名",PIX可以严格检测各种攻击,并可以实时地阻截它们或者向您发出通知。强大的远程治理功能
Cisco PIX 506E是一个可靠的、便于维护的平台,可以提供多种配置、监控和诊断方式。PIX治理解决方案的范围非常广泛――从一个集成化的、基于Web的治理工具到集中的、基于策略的工具,以及对各种远程监控协议的支持,例如简单网络治理协议(SNMP)和系统日志。PIX设备治理器(PDM)可以为治理员提供一个直观的、基于Web的界面,从而使他们可以方便地配置和监控一台PIX 506E,而不需要在治理员的计算机上安装任何软件(除了一个标准的Web浏览器以外)。治理员可以利用PIX 506E所提供的命令行界面(CLI),通过多种方式(包括远程登陆、安全解释程序(SSH),以及通过控制端口实现的带外接入)对PIX 506E进行远程配置、监控和诊断。PIX506E的主要特性和优点
企业级安全性
真正的安全设备
采用一种专用的、强化的操作系统,可以消除通用操作系统所具有的各种安全风险
思科的品质和没有可动组件的设计提供了一个高度可靠的安全平台。
状态监测防火墙
提供边界网络安全,以防止未经授权的网络访问。
使用最新的自适应安全算法(ASA),提供强大的状态监测防火墙服务。
为超过100个预先定制的应用、服务和协议提供灵活的访问控制功能,并能够自行定义应用和服务。
包括多种能够感知应用的“补丁”,从而确保多种先进的网络协议(例如H.323、ISP、Skinny、RTSP等)的安全。
包括针对Java applet和ActiveX控制的内容过滤。
VPN
支持IKE和IPSec VPN标准
确保数据的安全性/完整性,强大的、通过互联网对远程网络和远程用户进行身份认证的功能
支持56位DES和168位3DES数据加密,以确保数据的安全性
入侵检测
提供对超过55种常见网络攻击的防范,这些攻击的范围非常广泛――从变形分组攻击到拒绝服务(DoS)攻击。
与Cisco网络入侵解决方案相集成
检测系统(IDS)检测器可以通过防火墙动态阻塞/避免存在威胁的网络节点。
AAA支持
通过TACACS+和RADIUS支持,与常见的身份认证、授权和记帐服务集成
与Cisco安全访问控制服务器(ACS)紧密集成
X.509认证和CRL支持
通过由Blatimore、Entrus、微软和VeriSign提供的领先X.509解决方案支持基于SCEP的注册
与领先的第三方解决方案集成
支持多种Cisco AVVID(语音、视频和综合数据架构)合作伙伴解决方案,这些方案可以提供URL过滤、内容过滤、病毒检测、可扩展远程治理等功能。
性能综述
明文吞吐量
100Mbps
56位 DES IPSec VPN吞吐量
20Mbps
168位 3DES IPSec VPN吞吐量
16Mbps
并发连接
25,000 700/sec
并发VPN隧道
25
PIX 515E 产品要点和应用环境
Cisco PIX 515E防火墙应用环境
Cisco PIX 515E是被广泛采用的Cisco PIX 515平台的增强版本,它可以提供业界领先的状态防火墙和IP安全(IPSec)虚拟专用网服务。Cisco PIX 515E针对中小型企业和企业远程办公机构而设计,具有更强的处理能力和集成化的、基于硬件的IPSec加速功能。提供更加强大的性能,满足高吞吐量的安全需求
Cisco PIX 515E多功能的单机架单元(1RU)机箱可以支持六个接口,使之成为那些需要一个具有DMZ支持的、成本低廉的安全解决方案的企业的理想选择。作为全球领先的Cisco PIX 防火墙系列的一部分,它可以为今天的网络用户提供无以伦比的安全性、可靠性和性能。Cisco PIX 515E是一个针对特定需求而设计的防火墙设备,可以提供前所未有的安全性。它可以与Cisco PIX操作系统(OS)紧密集成,该操作系统是一个专用的、强化的系统,可以消除在通用的操作环境中经常出现的安全漏洞和性能损耗。该系统的核心是一种基于自适应安全算法(ASA)的保护机制,可以提供针对状态的、面向连接的防火墙功能,同时阻截常见的拒绝服务(DoS)攻击。Cisco PIX 515E还是一个全功能的VPN网关,可以在公共网络上安全地传输数据。它可以通过56位数据加密标准(DES)或者168位三重DES(3DES)支持站点间和远程接入VPN应用。根据所选择的Cisco PIX 515E型号的不同,VPN功能可以作为Cisco PIX OS的一项服务提供,也可以通过一个集成的、基于硬件的VPN加速卡(VAC)提供,这种加速卡最多可以提供130Mbps的吞吐量和2000个IPSec隧道。通过部署一个冗余的热备份单元可以实现对高可用性的支持。这种故障恢复方式可以通过自动的状态同步保持并发的连接。这确保了即使在系统发生故障的情况下,进程也会得以保持,而整个切换过程对于网络用户来说是完全透明的。该防火墙目前有多种型号,分别可以提供不同等级的接口密度、故障恢复功能和VPN吞吐量。有限制的PIX515型号
Cisco PIX 515E"有限制"(PIX 515E-R)型号可以为那些寻求具有最低限度接口密度和VPN吞吐量的、强大的Cisco PIX防火墙的企业提供出色的价值。它具有32MB的RAM,最多可以支持三个10/100快速以太网接口。无限制的PIX515型号
Cisco PIX 515E的"无限制"(PIX 515E-UR)型号可以通过集成化的、基于硬件的VPN加速支持状态故障恢复、添加LAN接口和增加VPN吞吐量,从而拓展了这个系列的功能。它具有一个集成化的VAC,64MB的RAM,最多可以支持六个10/100快速以太网接口。Cisco PIX 515E-UR还可以与一个热备份的Cisco PIX防火墙共享状态信息,从而能够实现完全的防火墙冗余。PIX515E的主要特性和优点
性能综述
明文吞吐量
188Mbps
168位 3DES IPSec VPN吞吐量
130Mbps
并发VPN隧道
2000
并发连接
130,000 5000/sec
技术规格
处理器
433MHz Intel赛扬
随机存储内存
32MB,或者64MB SDRAM
闪存
16MB
缓存
128KB 二级缓存,频率433MHz
系统总线
单个32位、33MHz PIC总线
电源
输入(每个电源)
线电压范围
100V到240V 交流或者48V直流
额定线电压
100V到240V 交流或者48V直流
电流
~1.5A
频率
50-60Hz,单相
输出
稳定状态
50W
峰值
65W
最大散热量
410BTU/小时,完全使用(65W)
尺寸和重量
高度
1.72英寸(4.37厘米),1RU
宽度
16.82英寸(42.72厘米),可以安装于标准的19英寸机架
厚度
11.8英寸(29.97厘米)
重量(单个电源)
~11lbs(4.11公斤)
扩展
PCI总线
两个32位/33MHz PCI
随机存取存储器
两个168针DIMM 插槽(Cisco PIX OS最多可以支持64MB)
接口
集成化网络接口
两个10/100快速以太网(RJ-45)
控制台端口
RS-232(RJ-45)9600波特
故障恢复端口
RS-232(DB-15)115Kbps(需要Cisco指定的电缆)
PIX 525 产品要点和应用环境
Cisco PIX 525防火墙应用环境
Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分,能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全(IPsec)虚拟专网(VPN)能力使非凡适合于保护企业总部的边界。强壮的安全特性
Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件,包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等。而Cisco Secure PIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被答应通过Cisco Secure PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。另外,实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性。而专用的Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。与IPsec互操作的安全VPN
从传统上来说,防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前,越来越多的客户正在寻求除了提供访问控制以外,还能提供VPN服务的防火墙。利用VPN,远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网,同时,使用Internet访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大型的Modem池和访问服务器来处理远程的拨号用户,而这些都是需要花费大量资金并且让治理员头痛的事情。现在,只需要向ISP进行本地呼叫,用户就可以通过Internet安全的访问专用的企业Intranet。PIX 525实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密,Cisco的IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法以及AES算法。极端的可靠性
PIX防火墙提供了空前的可靠性,其平均无故障时间(MTBF)超过60000小时。即使是达到了这样高的水平,那些Internet、Intranet或Extranet连接是企业生命线的企业还是熟悉到了防火墙冗余是一项要害因素。防火墙的每一分钟停止运行都意味着收入、机会或要害信息的损失。Cisco已经创建了配合PIX 525-UR使用的故障切换捆绑程序,能够简单、便宜地满足上述要求。该程序包为企业提供了非凡设计在故障切换模式下运行的第二个防火墙。令人惊异的灵活性
Cisco Secure PIX 525防火墙支持各种网络接口卡(NIC)。标准NIC包括单端口或4端口10/100快速以太网、千兆位以太网、4/16令牌环和双连接多模FDDI卡。另外,PIX 525还提供多种电源选件,用户可以选择交流或48V直流电源。每一种选件都配有为第二个"故障切换"PIX系统预备的成对儿产品,从而实现最高的冗余和高可用性。主要特性和优点
Cisco端到端解决方案的组成部分 - 答应各公司将经济高效、无缝的网络基础设施扩展到分支机构。
最低的拥有成本 - 安装、配置简单,网络中断时间更少。另外,答应透明地支持Internet多媒体应用,不再需要实际调整和重新配置每一台客户工作站或PC机。
非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险,提供了突出的性能。
基于标准的虚拟专网 - 使治理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。
自适应安全算法 - 为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源。
静态故障切换/热备用 - 提供高可用性,使网络可靠性最大。
网络地址转换(NAT)-- 节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到。
截断通过代理 - 提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本。
多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。
支持多达38万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。
防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。
支持各种应用 - 全面降低防火墙对网络用户的影响。
Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。
支持多媒体应用 - 降低了支持这些协议所需要的治理时间和成本。无需非凡的客户机配置。
设置简单 - 只需6条命令就能实现一般的安全策略。
紧凑设计 - 可以更加轻易地部署在桌面或更小的办公设置中。
URL过滤 - 当与Websense企业软件配合使用时,可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。
邮件保护 - 不再需要外部邮件在外围网络中转发,也防止了外部邮件转发过程中的拒绝服务攻击。
PIX525的主要特性和优点
性能综述
明文吞吐量
370Mbps
168位 3DES IPSec VPN吞吐量
145Mbps
并发VPN隧道
2000
并发连接
380,000 7500/sec
PIX 535 产品要点和应用环境
Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分,PIX 535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全(IPSec)虚拟专网(VPN)功能与千兆位以太网吞吐量灵活地结合在一起。PIX 535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统(OS)紧密集成在一起,该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法(ASA)的一种保护机制,它可以提供面向静态连接的防火墙功能,能够进行50万个同时连接,并同时防止常见的拒绝服务(DoS)攻击。另外,PIX 535还是一种能够通过公网安全传输数据的全功能VPN网关,它支持使用56位数据加密标准(DES)或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡(VAC)选件的支持,能够提供495 Mbps的吞吐量和2000个IPSec隧道。高可用性通过部署一个冗余的热备用单元来实现,该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下,也能够维护对话,并且保证切换过程对网络用户而言是透明地完成。另外,PIX 535还答应您向交流或直流型号添加可选的冗余、热插拔电源,使其成为一种真正的容错安全设备。
PIX535有限软件版本
包含有限软件许可的PIX 535配有512MB的RAM,支持多达6个千兆位以太网或10/100快速以太网接口以及一个VAC。PIX535无限软件版本
包含无限软件许可的PIX 535配有1GB的RAM,支持多达8个千兆位以太网或10/100快速以太网接口以及一个VAC。另外,PIX 535-UR还添加了与热备用PIX共享状态信息以实现完全防火墙冗余的能力。PIX535的性能总结
性能综述
明文吞吐量
1.675Mbps
168位 3DES IPSec VPN吞吐量
495Mbps
并发VPN隧道
2000
并发连接
500,000 9400/sec
技术规格
处理器:1.0 GHz Intel Pentium III
随机读写内存:512 MB或1 GB SDRAM(寄存型PC 133)
闪存:16 MB
高速缓存:256 KB Level 2,1 GHz
系统总线:双64位,66MHz PCI;单32位,33MHz PCI
环境
工作环境
温度:-25° -- 131°F(-5° -- 55°C)
相对湿度:5% -- 95%,不冷凝
高度:0到9843英尺(3000米)冲击:1.14 m/s(45 in/s),1/2正弦输入
震动:0.41 Grms2(3-500Hz)随机输入
噪声:最大65 dBa
非工作环境
温度:-13° -- 158°F(-25° -- 70°C)
相对湿度:5% -- 95%,不冷凝
高度:0到15000英尺(4570米)
冲击:30G
震动:0.41 Grms2(3-500Hz)随机输入
电源
输入(每个电源)
最大输入电压:100V - 240V交流或48V直流
额定输入电压:100V - 240V交流或48V直流
电流:4 - 2安培
频率:50 - 60Hz,单相
功率:220W(双热插拔)
输出
稳态功率:135W
最大峰值功率:220W
最大热耗:750 BTU/小时,满功率使用(220W)
外形尺寸和重量
高度:5.25英寸(8.89厘米),3机柜单元
宽度:17.5英寸(44.45厘米),标准19英寸机柜安装
长度:18.25英寸(46.36厘米)
重量(一个电源):约32磅(14.5公斤)
扩展
PCI总线:9个PCI插槽(4个64位/66MHz,5个32位/33MHz)
随机读写内存:6个DIMM插槽,支持多达6GB的PC133 DRAM(PIX操作系统最大支持1GB)
接口
控制台端口:RS-232(RJ-45)9600波特率
故障切换端口:RS-232(DB-15)115Kbps(需要Cisco专用电缆)
思科高端防火墙6503/6506/6509 产品要点和应用环境,解决方案应用
Cisco Catalyst®6503/6506/6509高端防火墙是一种高速的、集成化的防火墙,可以提供业界最快的防火墙数据传输速率:5Gb的吞吐量,100000CPS,以及一百万个并发连接。在一个设备中最多可以安装四个FWSM防火墙模块,因而每个设备最高可以提供高达20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的一部分,6503/6506/6509高端防火墙可以为大型企业和服务供给商提供无以伦比的安全性、可靠性和性能。 6503/6506/6509高端防火墙(FWSM)采用了Cisco PIX技术,并且运行Cisco PIX操作系统(OS)--一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用ASA,FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。
FWSM集成防火墙模块
6503/6506/6509高端防火墙是由FWSM防火墙服务模块安装在Cisco Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部而成,Cat6K的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。Cisco Catalyst 6500 真正成为了那些需要各种智能化服务(例如防火墙接入、入侵检测、虚拟专用网(VPN))和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。适应未来需要
6503/6506/6509高端防火墙(FWSM)可以支持5Gb的吞吐量,因而可以提供无以伦比的性能,让用户无须对系统进行彻底的升级,就可以满足未来的要求。在Catalyst 6500中最多可以添加到四个FWSM,以满足用户不断发展的需求。可靠性
FWSM防火墙模块建立在Cisco PIX技术的基础之上,并使用了同一个经过时间检验的Cisco PIX操作系统--一个安全的、实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组,从而可以在同一个平台上提供性能和安全的独特组合。低廉的整体运营成本
FWSM可以提供所有防火墙中最佳的性能价格比。由于FWSM防火墙模块是基于Cisco PIX防火墙的,所以培训和治理成本都很低,而且由于它是集成在Cat6K设备内部的,所以大大减少了需要治理的设备的数量。易用性
Cisco PIX 设备治理器的直观的图形化用户界面(GUI)可以用于治理和配置FWSM。FWSM 防火墙特性
主要特性
优点
性能
5 Gbps
一百万个并发连接
每秒建立和断开超过10万个连接
多种接口
最多可以支持100个防火墙VLAN--任何Cisco Catalyst 4000 VLAN都可以充当防火墙VLAN
支持802.1q 和ISL 协议
切入型代理
对每个VLAN实施安全策略
主要特性
优点
配置支持
控制台到命令行界面(CLI)
Telnet 到Cisco PIX防火墙的内部接口
基于IPSec的Telnet到Cisco PIX防火墙的外部接口
SSH到 CLI
SSL 到 Cisco PIX 设备治理器
AAA 支持
通过TACACS+和RADIUS支持,集成常见的身份认证、授权和记帐服务
NAT/PAT 支持
提供动态/静态的网络地址解析(NAT)和端口地址解析(PAT)
Cisco PIX 设备治理器(PDM)
简便、直观、基于Web的GUI可以支持远程防火墙治理
多种基于实时数据和历史数据的报告可以提供使用趋势、基本性能和安全事件等信息
安全网络治理
安全的、采用三重数据加密标准 (3DES)加密的网络治理接入
访问控制列表
最多支持128000条访问控制列表
URL 过滤
在服务器中设定策略,并利用Websense软件检查输出的URL请求
命令授权
对所有CLI设置优先级,创建与这些优先级对应的用户账号或者登录环境。
对象群组
能够组合网络对象(例如主机)和服务(例如ftp和http)
防范 DoS
DNS 保护
Flood Defender
Flood Guard
TCP 阻截
单播反向路径发送
FragGuard和虚拟重组
路由
静态路由· 动态;例如路由信息协议(RIP)和开放最短路径优先(OSPF)
高可用性
状态故障恢复--设备内部和设备之间
日志
全面的系统日志、FTP、URL和ACL日志
其他协议
H.323 V2
基于IP的NetBios
RAS 第二版本
RTSP
SIP
XDMCP
Skinny
6503/6506/6509高端防火墙应用环境
6503/6506/6509高端防火墙部署在企业园区的数据中心的网络拓扑中。今天的企业不仅仅需要周边安全,还需要连接业务伙伴和提供园区安全区域,为企业中的各个部门提供安全服务。6503/6506/6509高端防火墙可以通过让用户和治理员以不同的策略在企业中设立安全域,提供一种灵活、经济、基于性能的解决方案。图2显示了一个利用状态过滤来建立不同的、基于VLAN的安全域的园区部署。利用6503/6506/6509高端防火墙,用户可以为不同的VLAN制定相应的策略。数据中心也需要用状态防火墙安全解决方案来保护数据,并以尽可能低的成本提供千兆位的性能。 6503/6506/6509高端防火墙可以通过在防火墙中提供最佳的性能价格比,最大限度地提高资本投资效率,让客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。
思科IOS路由器防火墙产品及特性
思科公司的IOS路由器均提供强大的安全功能,在集成化要求很高的情况下,采用思科全系列路由器并配备安全功能的IOS软件也是一个灵活的选择。Cisco IOS防火墙软件荟萃了多种多样功能强大的安全性功能,包括:
基于上下文的访问控制(CBAC)
入侵检测
身份验证代理
拒绝服务检测与预防
动态端口映射
Java小应用封锁
VPN、IPSec加密和QoS支持:
实时告警
网络事务跟踪记录
事件记录
防火墙治理
与Cisco IOS软件的集成
基本和高级数据流过滤:
基于政策的多接口支持
网络地址转换
基于时间的访问列表
对等路由器身份验证
QQread.com
推出游戏功略 http://www.qqread.com/netgame/game/index.Html
魔兽世界
跑跑卡丁车
街头篮球
水浒Q传
龙与地下城OL
征服
轩辕剑5
FIFA07
热血江湖
大唐风云
梦幻西游
武林外传