PIX 525 產品要點和應用環境

Cisco PIX 525防火墻應用環境

Cisco Secure PIX 525防火墻是世界領先的Cisco Secure PIX防火墻系列的組成部分，能夠為當今的網絡客戶提供無與倫比的安全性、可靠性和性能。它所提供的完全防火墻保護以及IP安全（IPsec）虛擬專網（VPN）能力使特別適合于保護企業總部的邊界。

強壯的安全特性

Internet的發展為企業、政府和專用網絡帶來了更大的安全風險。現有的解決方案如運行在應用層的基于代理的防火墻具有很多限制條件，包括性能低、需要昂貴的通用平臺、使用開放系統如UNIX時本身具有安全風險等。

而Cisco Secure PIX防火墻能夠提供空前的安全保護能力，它的保護機制的核心是能夠提供面向靜態連接防火墻功能的自適應安全算法（ASA）。靜態安全性雖然比較簡單，但與包過濾相比，功能卻更加強勁；另外，與應用層代理防火墻相比，其性能更高，擴展性更強。ASA可以跟蹤源和目的地址、傳輸控制協議（TCP）序列號、端口號和每個數據包的附加TCP標志。只有存在已確定連接關系的正確的連接時，訪問才被允許通過Cisco Secure PIX防火墻。這樣做，內部和外部的授權用戶就可以透明地訪問企業資源，而同時保護了內部網絡不會受到非授權訪問的侵襲。

另外，實時嵌入式系統還能進一步提高Cisco Secure PIX防火墻系列的安全性。雖然UNIX服務器是廣泛采用公開源代碼的理想開放開發平臺，但通用的操作系統并不能提供最佳的性能和安全性。而專用的Cisco Secure PIX防火墻是為了實現安全、高性能的保護而專門設計。

與IPsec互操作的安全VPN

從傳統上來說，防火墻通過維護所連接網段之間所有連接的靜態控制實現了邊界安全性。目前，越來越多的客戶正在尋求除了提供訪問控制以外，還能提供VPN服務的防火墻。利用VPN，遠程用戶或分布在各地的分支機構能夠以更低的成本安全地訪問企業網，同時，使用Internet訪問可以大大降低與以前的專線或其它專用網絡相關的電信費用。公司就不需要維護大型的Modem池和訪問服務器來處理遠程的撥號用戶，而這些都是需要花費大量資金并且讓管理員頭痛的事情?，F在，只需要向ISP進行本地呼叫，用戶就可以通過Internet安全的訪問專用的企業Intranet。

PIX 525實現了在Internet或所有IP網絡上的安全保密通信。它集成了VPN的主要功能 - 隧道、數據加密、安全性和防火墻，能夠提供一種安全、可擴展的平臺來更好、更經濟高效地使用公共數據服務來實現遠程訪問、遠程辦公和外部網連接。525可以同時連接高達4個VPN層，為用戶提供完整的IPsec標準實施方法，其中IPsec保證了保密性、完整性和認證能力。對于安全數據加密，Cisco的IPsec實現方法全部支持56位數據加密標準（DES）和168位三重DES算法以及AES算法。

極端的可靠性

PIX防火墻提供了空前的可靠性，其平均無故障時間（MTBF）超過60000小時。即使是達到了這樣高的水平，那些Internet、Intranet或Extranet連接是企業生命線的企業還是認識到了防火墻冗余是一項關鍵因素。防火墻的每一分鐘停止運行都意味著收入、機會或關鍵信息的損失。Cisco已經創建了配合PIX 525-UR使用的故障切換捆綁程序，能夠簡單、便宜地滿足上述要求。該程序包為企業提供了特別設計在故障切換模式下運行的第二個防火墻。

令人驚奇的靈活性

Cisco Secure PIX 525防火墻支持各種網絡接口卡（NIC）。標準NIC包括單端口或4端口10/100快速以太網、千兆位以太網、4/16令牌環和雙連接多模FDDI卡。

另外，PIX 525還提供多種電源選件，用戶可以選擇交流或48V直流電源。每一種選件都配有為第二個"故障切換"PIX系統準備的成對兒產品，從而實現最高的冗余和高可用性。

主要特性和優點

PIX 535 產品要點和應用環境

Cisco Secure PIX防火墻535提供的承載級的性能可以滿足大型企業網絡和服務提供商的需要。作為世界領先的Cisco Secure PIX防火墻系列的組成部分，PIX 535能夠為當今的網絡客戶提供無與倫比的安全性、可靠性和性能。該防火墻將靜態防火墻和IP安全（IPSec）虛擬專網（VPN）功能與千兆位以太網吞吐量靈活地結合在一起。

PIX 535是一種能夠提供空前保護能力的通用防火墻設備。它與PIX操作系統（OS）緊密集成在一起，該操作系統是一種消除了安全漏洞和性能退化開銷的專用固化系統。PIX535防火墻的核心是基于自適應安全算法（ASA）的一種保護機制，它可以提供面向靜態連接的防火墻功能，能夠進行50萬個同時連接，并同時防止常見的拒絕服務（DoS）攻擊。

另外，PIX 535還是一種能夠通過公網安全傳輸數據的全功能VPN網關，它支持使用56位數據加密標準（DES）或168位3DES對VPN應用進行站點到站點和遠程訪問。PIX 535的集成VPN功能可以得到VPN加速卡（VAC）選件的支持，能夠提供495 Mbps的吞吐量和2000個IPSec隧道。

高可用性通過部署一個冗余的熱備用單元來實現，該故障切換選件通過自動靜態同步維護了同時連接。這保證了即使是在系統故障情況下，也能夠維護對話，并且保證切換過程對網絡用戶而言是透明地完成。另外，PIX 535還允許您向交流或直流型號添加可選的冗余、熱插拔電源，使其成為一種真正的容錯安全設備。

PIX535有限軟件版本

包含有限軟件許可的PIX 535配有512MB的RAM，支持多達6個千兆位以太網或10/100快速以太網接口以及一個VAC。

PIX535無限軟件版本

包含無限軟件許可的PIX 535配有1GB的RAM，支持多達8個千兆位以太網或10/100快速以太網接口以及一個VAC。另外，PIX 535-UR還添加了與熱備用PIX共享狀態信息以實現完全防火墻冗余的能力。

技術規格

擴展

Cisco Catalyst?6503/6506/6509高端防火墻是一種高速的、集成化的防火墻，可以提供業界最快的防火墻數據傳輸速率：5Gb的吞吐量，100000CPS，以及一百萬個并發連接。在一個設備中最多可以安裝四個FWSM防火墻模塊，因而每個設備最高可以提供高達20Gb的吞吐量。作為世界領先的Cisco PIX防火墻系列的一部分，6503/6506/6509高端防火墻可以為大型企業和服務供應商提供無以倫比的安全性、可靠性和性能。

6503/6506/6509高端防火墻（FWSM）采用了Cisco PIX技術，并且運行Cisco PIX操作系統（OS）--一個實時的、牢固的嵌入式系統，可以消除安全漏洞，防止各種可能導致性能降低的損耗。這個系統的核心是一種基于自適應安全算法（ASA）的保護機制，它可以提供面向連接的全狀態防火墻功能。利用ASA，FWSM可以根據源地址和目的地地址，隨機的TCP序列號，端口號，以及其他TCP標志，為一個會話流創建一個連接表條目。FWSM可以通過對這些連接表條目實施安全策略，控制所有輸入和輸出的流量。

6503/6506/6509高端防火墻是由FWSM防火墻服務模塊安裝在Cisco Catalyst 6500系列交換機或者Cisco 7600互聯網路由器的內部而成，Cat6K的任何端口都可以充當防火墻端口，并且在網絡基礎設施中集成了狀態防火墻安全。對于那些機架空間非常有限的系統來說，這種功能非常重要。Cisco Catalyst 6500 真正成為了那些需要各種智能化服務（例如防火墻接入、入侵檢測、虛擬專用網（VPN））和多層LAN、WAN和MAN交換功能的客戶的首選IP服務交換機。

6503/6506/6509高端防火墻（FWSM）可以支持5Gb的吞吐量，因而可以提供無以倫比的性能，讓用戶無須對系統進行徹底的升級，就可以滿足未來的要求。在Catalyst 6500中最多可以添加到四個FWSM，以滿足用戶不斷發展的需求。

FWSM防火墻模塊建立在Cisco PIX技術的基礎之上，并使用了同一個經過時間檢驗的Cisco PIX操作系統--一個安全的、實時的操作系統。FWSM可以利用行之有效的Cisco PIX技術檢測分組，從而可以在同一個平臺上提供性能和安全的獨特組合。

FWSM可以提供所有防火墻中最佳的性能價格比。由于FWSM防火墻模塊是基于Cisco PIX防火墻的，所以培訓和管理成本都很低，而且由于它是集成在Cat6K設備內部的，所以大大減少了需要管理的設備的數量。

Cisco PIX 設備管理器的直觀的圖形化用戶界面（GUI）可以用于管理和配置FWSM。

6503/6506/6509高端防火墻部署在企業園區的數據中心的網絡拓撲中。

今天的企業不僅僅需要周邊安全，還需要連接業務伙伴和提供園區安全區域，為企業中的各個部門提供安全服務。6503/6506/6509高端防火墻可以通過讓用戶和管理員以不同的策略在企業中設立安全域，提供一種靈活、經濟、基于性能的解決方案。圖2顯示了一個利用狀態過濾來建立不同的、基于VLAN的安全域的園區部署。

利用6503/6506/6509高端防火墻，用戶可以為不同的VLAN制定相應的策略。

數據中心也需要用狀態防火墻安全解決方案來保護數據，并以盡可能低的成本提供千兆位的性能。 6503/6506/6509高端防火墻可以通過在防火墻中提供最佳的性能價格比，最大限度地提高資本投資效率，讓客戶可以放棄過去那些需要另購防火墻負載均衡設備的、價格昂貴的防火墻產品。

思科IOS路由器防火墻產品及特性

思科公司的IOS路由器均提供強大的安全功能，在集成化要求很高的情況下，采用思科全系列路由器并配備安全功能的IOS軟件也是一個靈活的選擇。

Cisco IOS防火墻軟件薈萃了多種多樣功能強大的安全性功能，包括：