很多年來(lái)，Cisco PIX一直都是Cisco確定的防火墻。但是在2005年5月，Cisco推出了一個(gè)新的產(chǎn)品——適應(yīng)性安全產(chǎn)品（ASA，Adaptive Security Appliance）。不過(guò)，PIX還依舊可用。我已聽(tīng)到很多人在多次詢(xún)問(wèn)這兩個(gè)產(chǎn)品線之間的差異到底是什么。讓我們來(lái)看一看。

Cisco PIX是什么？

Cisco PIX是一種專(zhuān)用的硬件防火墻。 所有版本的Cisco PIX都有500系列的產(chǎn)品號(hào)碼。最常見(jiàn)的家用和小型網(wǎng)絡(luò)用產(chǎn)品是PIX 501；而許多中型企業(yè)則使用PIX 515作為企業(yè)防火墻。

PIX防火墻使用PIX操作系統(tǒng)。雖然PIX操作系統(tǒng)和Cisco IOS看起來(lái)非常的接近，但是對(duì)那些非常熟悉IOS的用戶(hù)來(lái)說(shuō)，還是有足夠的差異性弄得他們頭昏腦脹。

PIX系列的防火墻使用PDM（PIX設(shè)備管理器，PIX Device Manager）作為圖形接口。該圖形界面系統(tǒng)是一個(gè)通過(guò)網(wǎng)頁(yè)瀏覽器下載的Java程序。

一般情況下，一臺(tái)PIX防火墻有個(gè)外向接口，用來(lái)連到一臺(tái)Internet路由器中，這臺(tái)路由器再連到Internet上。同時(shí)，PIX也有一個(gè)內(nèi)向接口，用來(lái)連到一臺(tái)局域網(wǎng)交換機(jī)上，該交換機(jī)連入內(nèi)部網(wǎng)絡(luò)。

Cisco ASA是什么？

而ASA是Cisco系列中全新的防火墻和反惡意軟件安全用具。（不要把這個(gè)產(chǎn)品和用于靜態(tài)數(shù)據(jù)包過(guò)濾的PIX搞混了）

ASA系列產(chǎn)品都是5500系列。企業(yè)版包括4種：Firewall，IPS，Anti-X，以及VPN。而對(duì)小型和中型公司來(lái)說(shuō)，還有商業(yè)版本。

總體來(lái)說(shuō)，Cisco一共有5種型號(hào)。所有型號(hào)均使用ASA 7.2.2版本的軟件，接口也非常近似Cisco PIX。Cisco PIX和ASA在性能方面有很大的差異，但是，即使是ASA最低的型號(hào)，其所提供的性能也比基礎(chǔ)的PIX高得多。

和PIX類(lèi)似，ASA也提供諸如入侵防護(hù)系統(tǒng)（IPS，intrusion prevention system），以及VPN集中器。實(shí)際上，ASA可以取代三種獨(dú)立設(shè)備——Cisco PIX防火墻，Cisco VPN 3000系列集中器，以及Cisco IPS 4000系列傳感器。

現(xiàn)在，我們已經(jīng)看過(guò)了兩種安全工具各自的基本情況，下面我們來(lái)看看他們互相比較的結(jié)果。

PIX對(duì)ASA

雖然PIX是一款非常優(yōu)秀的防火墻，但是安全方面的情況卻在日新月異。僅僅使用一臺(tái)靜態(tài)數(shù)據(jù)包過(guò)濾防火墻來(lái)對(duì)你的網(wǎng)絡(luò)進(jìn)行保護(hù)已遠(yuǎn)遠(yuǎn)不夠了。對(duì)網(wǎng)絡(luò)而言，新的威脅層出不窮——包括病毒，蠕蟲(chóng)，多余軟件（比如P2P軟件，游戲，即時(shí)通訊軟件），網(wǎng)絡(luò)欺詐，以及應(yīng)用程序?qū)用娴墓舻鹊取?/p>

如果一臺(tái)設(shè)備可以應(yīng)付多種威脅，我們就稱(chēng)其提供了“anti-X”能力，或者說(shuō)它提供了“多重威脅（multi-threat）”防護(hù)。但PIX恰恰無(wú)法提供這種層次的防護(hù)。
絕大多數(shù)公司不希望采用安裝一臺(tái)PIX進(jìn)行靜態(tài)防火墻過(guò)濾，同時(shí)再使用一些其他的工具來(lái)防護(hù)其他威脅的辦法。他們更希望采用一臺(tái)“集所有功能于一身”的設(shè)備——或是采用一臺(tái)UTM（統(tǒng)一威脅管理）設(shè)備。

而ASA恰好針對(duì)這些不同類(lèi)型的攻擊提供了防護(hù)。它甚至比一臺(tái)UTM設(shè)備更厲害——不過(guò)，要成為一臺(tái)真正的UTM，它還需要裝一個(gè)CSC-SSM模塊（CSC-SSM，內(nèi)容安全以及控制安全服務(wù)，Content Security and Control Security Service）才行。該模塊在ASA中提供anti-X功能。如果沒(méi)有CSC-SSM，那ASA的功能看起來(lái)會(huì)更像一臺(tái)PIX。

那么，到底哪一個(gè)才適合你的企業(yè)呢？正如我們通常所說(shuō)的，這要看你企業(yè)的需求而定。不過(guò)，我還是傾向于優(yōu)先選擇ASA，而后才是PIX。首先，一臺(tái)ASA的價(jià)格要比同樣功能的PIX要低。除去成本的原因不談，至少?gòu)倪壿嬌蟻?lái)說(shuō)，選擇ASA就意味著選擇了更新更好的技術(shù)。

對(duì)于那些已經(jīng)在使用Cisco PIX的人來(lái)說(shuō)，Cisco已經(jīng)提供了一個(gè)遷移指南，以解決如何從Cisco PIX遷移到ASA上的問(wèn)題。就我觀點(diǎn)而言，我覺(jué)得這起碼預(yù)示了一點(diǎn)，就是Cisco終止PIX的日子正離我們?cè)絹?lái)越近。雖然Cisco公司尚未明確宣布這一點(diǎn)，但是我認(rèn)為這只是一個(gè)時(shí)間問(wèn)題罷了。

要記住，面對(duì)Internet上五花八門(mén)的不同威脅，我們無(wú)法再簡(jiǎn)單地像以往那樣有了一套防火墻就萬(wàn)事大吉了；對(duì)完整的防護(hù)措施而言，一個(gè)多重防護(hù)的方法必不可少。雖然ASA的確是很好的一個(gè)選擇，但是這也并不意味著它是你的唯一選項(xiàng)。許多生產(chǎn)商都提供了很好的產(chǎn)品，在你最終選擇ASA之前，建議你不妨對(duì)它們多了解了解。