)Cisco PIX
Cisco PIX
Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分,PIX 535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全(IPSec)虚拟专网(VPN)功能与千兆位以太网吞吐量灵活地结合在一起。
PIX 535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统(OS)紧密集成在一起,该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法(ASA)的一种保护机制,它可以提供面向静态连接的防火墙功能,能够进行50万个同时连接,并同时防止常见的拒绝服务(DoS)攻击。
另外,PIX 535还是一种能够通过公网安全传输数据的全功能VPN网关,它支持使用56位数据加密标准(DES)或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡(VAC)选件的支持,能够提供100 Mbps的吞吐量和2000个IPSec隧道。
高可用性通过部署一个冗余的热备用单元来实现,该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下,也能够维护对话,并且保证切换过程对网络用户而言是透明地完成。另外,PIX 535还允许您向交流或直流型号添加可选的冗余、热插拔电源,使其成为一种真正的容错安全设备。
有限软件许可
包含有限软件许可的PIX 535配有512MB的RAM,支持多达6个千兆位以太网或10/100快速以太网接口以及一个VAC。
无限软件许可
包含无限软件许可的PIX 535配有1GB的RAM,支持多达8个千兆位以太网或10/100快速以太网接口以及一个VAC。另外,PIX 535-UR还添加了与热备用PIX共享状态信息以实现完全防火墙冗余的能力。
故障切换软件许可
包含故障切换软件许可的PIX 535工作在热备用模式。作为维护当前对话的完整的冗余系统,它能够以很低的价格提供非常高的可用性。
性能总结
纯文本吞吐量:1.0Gbps
同时连接:50万
每秒连接数:7000
168位3DES IPsec VPN吞吐量:100 Mbps
同时VPN隧道:2000
技术规格
处理器:1.0 GHz Intel Pentium III
随机读写内存:512 MB或1 GB SDRAM(寄存型PC 133)
闪存:16 MB
高速缓存:256 KB Level 2,1 GHz
系统总线:双64位,66MHz PCI;单32位,33MHz PCI
扩展
PCI总线:9个PCI插槽(4个64位/66MHz,5个32位/33MHz)
随机读写内存:6个DIMM插槽,支持多达6GB的PC133 DRAM(PIX操作系统最大支持1GB)
接口
控制台端口:RS-232(RJ-45)9600波特率
故障切换端口:RS-232(DB-15)115Kbps(需要Cisco专用电缆)
Cisco PIX 506E防火墙是应用极为广泛的Cisco PIX 506防火墙的增强版本,可以通过一个可靠的、强大的安全设备为远程办公室和分支机构提供企业级的安全性。Cisco PIX 506E防火墙是市场领先的Cisco PIX防火墙系列的一部分,可以通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的远程管理功能,尤其适用于为远程/分支机构保障互联网连接。PIX 506E还提供了更高的3DES VPN性能,在使用某些应用时,性能比PIX 506高出70%。
针对远程办公室/分支机构环境的企业级安全性
Cisco PIX 506E防火墙是一种针对特定需求而设计的安全设备,可以在单独的一个设备中提供丰富的安全服务,包括状态监测防火墙、虚拟专用网(VPN)和入侵防范等。利用思科最新的自适应安全算法(ASA)和PIX操作系统,PIX 506E可以确保其后的所有用户的安全,并可以帮助他们防范互联网的潜在威胁。它的功能强大的状态监测技术可以跟踪所有经过授权的用户的网络请求,防止未经授权的网络访问。利用PIX 506E灵活的访问控制功能,管理员还可以对经过防火墙的网络流量实施定制的策略。PIX 506E与您的后端企业数据库无缝集成,因此可以通过直接使用TACACS/RADIUS或间接使用Cisco安全访问控制服务器(ACS)对外部对网络资源的访问进行严格的验证。
Cisco PIX 506E防火墙还可以利用其基于标准的互联网密钥交换(IKE)/IP安全(IPSec)VPN功能,确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全。通过利用56位数据加密标准(DES)或者可选的高级168位三重DES(3DES)加密对数据进行加密,当您的敏感企业数据安全地在互联网中传输时,别人将无法窥探到它们。
PIX 506E的集成化的入侵防范功能可以防止您的网络受到各种常见的攻击。通过查找超过55种不同的攻击"签名",PIX可以严格检测各种攻击,并可以实时地阻截它们或者向您发出通知。
Cisco PIX
强大的远程管理功能
Cisco PIX 506E是一个可靠的、便于维护的平台,可以提供多种配置、监控和诊断方式。PIX管理解决方案的范围非常广泛――从一个集成化的、基于Web的管理工具到集中的、基于策略的工具,以及对各种远程监控协议的支持,例如简单网络管理协议(SNMP)和系统日志。
PIX 设备管理器(PDM)可以为管理员提供一个直观的、基于Web的界面,从而使他们可以方便地配置和监控一台PIX 506E,而不需要在管理员的计算机上安装任何软件(除了一个标准的Web浏览器以外)。管理员可以利用PIX 506E所提供的命令行界面(CLI),通过多种方式(包括远程登陆、安全解释程序(SSH),以及通过控制端口实现的带外接入)对PIX 506E进行远程配置、监控和诊断。
管理员还可以通过Cisco VPN/安全管理解决方案(VMS)中提供的Cisco安全策略管理器(CSPM)方便地对很多PX 506E防火墙进行远程管理。CSPM 3.0是一种可扩展的、下一代的PIX防火墙集中管理解决方案,具有多种功能,包括基于任务的接口、交互式网络拓扑图、策略向导、策略输出功能等等。
表1 产品的主要特性和优点
主要特性 优点
企业级安全性
真正的安全设备 采用一种专用的、强化的操作系统,可以消除通用操作系统所具有的各种安全风险
思科的品质和没有可动组件的设计提供了一个高度可靠的安全平台。
状态监测防火墙 提供边界网络安全,以防止未经授权的网络访问。
使用最新的自适应安全算法(ASA),提供强大的状态监测防火墙服务。
为超过100个预先定制的应用、服务和协议提供灵活的访问控制功能,并能够自行定义应用和服务。
包括多种能够感知应用的“补丁”,从而确保多种先进的网络协议(例如H.323、ISP、Skinny、RTSP等)的安全。
包括针对Java applet和ActiveX控制的内容过滤。
VPN 支持IKE和IPSec VPN标准
确保数据的安全性/完整性,强大的、通过互联网对远程网络和远程用户进行身份认证的功能
支持56位DES和168位3DES数据加密,以确保数据的安全性
入侵检测 提供对超过55种常见网络攻击的防范,这些攻击的范围非常广泛――从变形分组攻击到拒绝服务(DoS)攻击。
与Cisco网络入侵解决方案相集成
检测系统(IDS)检测器可以通过防火墙动态阻塞/避免存在威胁的网络节点。
AAA支持 通过TACACS+和RADIUS支持,与常见的身份认证、授权和记帐服务集成
与Cisco安全访问控制服务器(ACS)紧密集成
X.509认证和CRL支持 通过由Blatimore、Entrus、微软和VeriSign提供的领先X.509解决方案支持基于SCEP的注册
与领先的第三方解决方案集成 支持多种Cisco AVVID(语音、视频和综合数据架构)合作伙伴解决方案,这些方案可以提供URL过滤、内容过滤、病毒检测、可扩展远程管理等功能。
强大的小型办公室联网功能
DHCP客户端和服务器端 自动从电信服务供应商那里获取防火墙对外接口的IP地址
为防火墙内部网络上的设备提供IP地址
NAT/PAT支持 提供动态的/静态的网络地址转换(NAT)和端口地址转换(PAT)功能
让多个用户可以利用同一个公共IP地址,共享一个宽带连接
PPPoE(2002年第一季度推出) 确保与那些需要对PPPoE的支持的网络兼容
丰富的管理功能
PIX设备管理器(PDM) 直观的、基于Web的GUI可以实现对PIX防火墙的简便、安全的远程管理
提供各种含有大量信息的、实时的和历史数据报告,有助于深入了解使用趋势、性能和安全事件。
获得Cisco安全策略管理器(CSPM)的支持 利用CSPM强大的策略管理基础设施对企业中的所有Cisco PIX防火墙产品进行可扩展的、统一的管理
Cisco PIX CLI 让用户可以利用现有的PIX CLI技术,方便地进行安装和管理,而不需要再进行培训
可以通过多种方式访问,包括控制台端口、远程登陆和CLI
SNMP和系统日志支持 提供远程监控和日志功能,并能够与思科和第三方管理应用集成
表2 3DES和DES
性能综述
明文吞吐量 20Mbps
56位 DES IPSec VPN吞吐量 20Mbps
168位 3DES IPSec VPN吞吐量 16Mbps
并发VPN隧道 25*
*所支持的最大并发地点到地点或远程访问VPN/IKE安全关联(SA)数量
技术规格
处理器 300MHz Intel Celeron处理器
随机存储内存 32 MB SDRAM
闪存 8 MB
系统总线 单个32位、33MHz PIC总线
工作环境范围
工作环境
温度 23°到104°F(0°到40℃)
相对湿度 10%到90%,非冷凝
高度 0到6500英尺(2000米)
冲击 1.88米/秒(74英寸/秒),正弦输入
震动 0.41Grms2(3到500Hz)随机输入
非工作环境
温度 -13°到158°F(-25°到70°C)
相对湿度 10%到95%,非冷凝
高度 0到15000英尺(4570米)
冲击 60G,11m
震动 0.41Grms2(5到500Hz)随机输入
电源
自动切换
线电压范围 100V到240V RMS
电流 0.7-0.4安培
频率 50-60Hz,单相
热散机箱: 102.4BTU/小时,电源完全使用(30瓦)
热散机箱加电源适配器: 204.6BTU/小时,电源完全使用(60伏)
尺寸和重量
尺寸(高×宽×厚) 1.72×8.5×11.8英寸(4.37×21.59×29.97厘米)
重量(单个电源) 6磅(2.71公斤)
接口
控制台端口 RS-232(RJ-45)9600波特
外接端口 集成化10Base T 端口,自协商/(半/全双工),RJ-45
内接端口 集成化10BaseT端口、自协商(半/全双工),RJ45
符合的规定和标准
产品具有CE标志表示它符合89/366/EEC和73/23/EEC规定,其中包括下列安全和电磁兼容性(EMC)标准。
安全 UL1950, CAN/CSA-C22.2 No. 950,EN 60950, IEC
60825-1, IEC60825-2, EN60825-1, EN60825-2, 21CFR 1040
电磁兼容性(EMC) FCC Part 15 (CFR 47) Class A, ICES-003 Class A, EN55022 Class
A with UTP Class B with STP, CISPR22 Class A with UTP Class B
with STP, AS/NZS 3548 Class A with UTP Class B with STP, VCCI
Class A with UTP Class B with STP, EN55024, ETS 300 386-2,
EN50082-1, EN61000-3-2, EN61000-3-3
Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分,能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全(IPsec)虚拟专网(VPN)能力使特别适合于保护企业总部的边界。
强壮的安全特性
Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件,包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等。
而Cisco Secure PIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过Cisco Secure PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。
另外,实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性。而专用的 Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。
与IPsec互操作的安全VPN
从传统上来说,防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前,越来越多的客户正在寻求除了提供访问控制以外,还能提供VPN服务的防火墙。利用VPN,远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网,同时,使用Internet访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大型的Modem池和访问服务器来处理远程的拨号用户,而这些都是需要花费大量资金并且让管理员头痛的事情。现在,只需要向ISP进行本地呼叫,用户就可以通过Internet安全的访问专用的企业Intranet。
PIX 525实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密,Cisco的 IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法。
极端的可靠性
PIX 防火墙提供了空前的可靠性,其平均无故障时间(MTBF)超过60000小时。即使是达到了这样高的水平,那些Internet、Intranet或 Extranet连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。 Cisco已经创建了配合PIX 525-UR使用的故障切换捆绑程序,能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙,而其价格仅是标准PIX 525 UR捆绑件的一小部分。
令人惊奇的灵活性
Cisco Secure PIX 525防火墙支持各种网络接口卡(NIC)。标准NIC包括单端口或4端口10/100快速以太网、千兆位以太网、4/16令牌环和双连接多模FDDI卡。
另外,PIX 525还提供多种电源选件,用户可以选择交流或48V直流电源。每一种选件都配有为第二个"故障切换"PIX系统准备的成对儿产品,从而实现最高的冗余和高可用性。
主要特性和优点
Cisco端到端解决方案的组成部分 - 允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。
最低的拥有成本 - 安装、配置简单,网络中断时间更少。另外,允许透明地支持Internet多媒体应用,不再需要实际调整和重新配置每一台客户工作站或PC机。
非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险,提供了突出的性能。
基于标准的虚拟专网 - 使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。
自适应安全算法 - 为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源。
静态故障切换/热备用 - 提供高可用性,使网络可靠性最大。
网络地址转换(NAT)-- 节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到。
截断通过代理 - 提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本。
多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。
支持多达28万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。
防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。
支持各种应用 - 全面降低防火墙对网络用户的影响。
Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。
支持多媒体应用 - 降低了支持这些协议所需要的管理时间和成本。无需特殊的客户机配置。
设置简单 - 只需6条命令就能实现一般的安全策略。
紧凑设计 - 可以更加容易地部署在桌面或更小的办公设置中。
URL过滤 - 当与Websense企业软件配合使用时,可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。
邮件保护 - 不再需要外部邮件在外围网络中转发,也防止了外部邮件转发过程中的拒绝服务攻击。
技术规范
硬件
处理器:600MHz Intel Pentium III
随机读写内存:高达256 MB
闪存:16 MB
接口:双集成10 Base-T快速以太网,RJ45
PCI插槽:3个
控制台端口:RJ-45
设备更新处理:仅使用小型文件传输协议(TFTP)
故障切换端口:DB-15(RS 232)
限制软件
包含有限软件许可证的PIX 525提供了入门级的企业安全和性能。525-R包括128MB的RAM,能够使用多达6个10/100快速以太网接口。
无限制软件
包含有无限制许可证的PIX 525是为大型企业而设计,能够提供所有PIX 525-R的功能。另外,525-UR还增加了静态切换到备用PIX防火墙的能力,支持并又增加了两个(总共8个)10/100快速以太网端口。它具备足够的能力来处理28万同时连接,纯文本吞吐量高达370 Mbps。
Cisco Secure PIX 525防火墙的定价和部件号
PIX-525-R-BUN PIX 525有限捆绑(机箱、有限软件、2个10/100端口)
PIX-525-UR-BUN PIX 525无限捆绑(机箱、无限软件、2个10/100端口)
PIX-525-FO-BUN PIX 525故障切换捆绑(机箱、故障切换软件、2个10/100端口)
PIX-PL2 专用链路2 DES,仅适用于加密加速卡
PIX-1FE 1个10/100 Mbps以太网接口,RJ45
PIX-4FE 4端口10/100 Mbps以太网接口,RJ45
PIX-1GE 用于PIX防火墙的单千兆位以太网接口
PIX-1TR 1个4/16 Mbps令牌环接口
PIX-FDDI 用于PIX防火墙的FDDI接口
PIX-VPN-DES 用于PIX防火墙的56位DES IPsec软件许可证
PIX-VPN-3DES 用于PIX防火墙的168位3DES IPsec软件许可证
