PIX 525 產品要點和應用環境
Cisco PIX 525防火牆應用環境
Cisco Secure PIX 525防火牆是世界領先的Cisco Secure PIX防火牆系列的組成部分,能夠為當今的網路客戶提供無與倫比的安全性、可靠性和效能。它所提供的完全防火牆保護以及IP安全(IPsec)虛擬專網(VPN)能力使特別適合於保護企業總部的邊界。
強壯的安全特性
Internet的發展為企業、政府和專用網路帶來了更大的安全風險。現有的解決方案如運行在應用程式層的基於代理的防火牆具有很多限制條件,包括效能低、需要昂貴的通用平台、使用開放系統如UNIX時本身具有安全風險等。
而Cisco Secure PIX防火牆能夠提供空前的安全保護能力,它的保護機制的核心是能夠提供面向靜態串連防火牆功能的自適應安全演算法(ASA)。靜態安全性雖然比較簡單,但與包過濾相比,功能卻更加強勁;另外,與應用程式層代理防火牆相比,其效能更高,擴充性更強。ASA可以跟蹤源和目的地址、傳輸控制通訊協定(TCP)序號、連接埠號碼和每個資料包的附加TCP標誌。只有存在已確定串連關係的正確的串連時,訪問才被允許通過Cisco Secure PIX防火牆。這樣做,內部和外部的授權使用者就可以透明地訪問企業資源,而同時保護了內部網路不會受到非授權訪問的侵襲。
另外,即時嵌入式系統還能進一步提高Cisco Secure PIX防火牆系列的安全性。雖然UNIX伺服器是廣泛採用公開原始碼的理想開放開發平台,但通用的作業系統並不能提供最佳的效能和安全性。而專用的Cisco Secure PIX防火牆是為了實現安全、高效能的保護而專門設計。
與IPsec互操作的安全VPN
從傳統上來說,防火牆通過維護所串連網段之間所有串連的靜態控制實現了邊界安全性。目前,越來越多的客戶正在尋求除了提供存取控制以外,還能提供VPN服務的防火牆。利用VPN,遠端使用者或分布在各地的分公司能夠以更低的成本安全地訪問企業網,同時,使用Internet訪問可以大大降低與以前的專線或其它專用網路相關的電信費用。公司就不需要維護大型的Modem池和訪問伺服器來處理遠端撥號使用者,而這些都是需要花費大量資金並且讓管理員頭痛的事情。現在,只需要向ISP進行本地呼叫,使用者就可以通過Internet安全的訪問專用的企業Intranet。
PIX 525實現了在Internet或所有IP網路上的安全保密通訊。它整合了VPN的主要功能 - 隧道、資料加密、安全性和防火牆,能夠提供一種安全、可擴充的平台來更好、更經濟高效地使用公用資料服務來實現遠端存取、遠程辦公和外部網串連。525可以同時串連高達4個VPN層,為使用者提供完整的IPsec標準實施方法,其中IPsec保證了保密性、完整性和認證能力。對於安全資料加密,Cisco的IPsec實現方法全部支援56位元據加密標準(DES)和168位三重DES演算法以及AES演算法。
極端的可靠性
PIX防火牆提供了空前的可靠性,其平均無故障時間(MTBF)超過60000小時。即使是達到了這樣高的水平,那些Internet、Intranet或Extranet串連是企業生命線的企業還是認識到了防火牆冗餘是一項關鍵因素。防火牆的每一分鐘停止運行都意味著收入、機會或關鍵資訊的損失。Cisco已經建立了配合PIX 525-UR使用的故障切換捆綁程式,能夠簡單、便宜地滿足上述要求。該程式包為企業提供了特別設計在故障切換模式下啟動並執行第二個防火牆。
令人驚奇的靈活性
Cisco Secure PIX 525防火牆支援各種網路介面卡(NIC)。標準NIC包括單連接埠或4連接埠10/100快速乙太網路、千兆位乙太網路、4/16令牌環和雙串連多模FDDI卡。
另外,PIX 525還提供多種電源選件,使用者可以選擇交流或48V直流電源。每一種選件都配有為第二個"故障切換"PIX系統準備的成對兒產品,從而實現最高的冗餘和高可用性。
主要特性和優點
- Cisco端到端解決方案的組成部分 - 允許各公司將經濟高效、無縫的網路基礎設施擴充到分公司。
- 最低的擁有成本 - 安裝、配置簡單,網路停機時間更少。另外,允許透明地支援Internet多媒體應用,不再需要實際調整和重新設定每一台客戶工作站或PC機。
- 非UNIX的安全、即時和嵌入式系統 - 消除了通用作業系統所帶來的風險,提供了突出的效能。
- 基於標準的虛擬專網 - 使管理員可以降低通過Internet或其它公用IP網路將移動使用者和遠端站台與商業網路相連的成本。
- 自適應安全演算法 - 為所有的TCP/IP對話提供靜態安全性,以保護敏感的保密資源。
- 靜態故障切換/熱備用 - 提供高可用性,使網路可靠性最大。
- 網路位址轉譯(NAT)-- 節省寶貴的IP地址;擴充網路地址空間;隱藏IP地址,使之不被外部得到。
- 截斷通過代理 - 提供業界最高的認證效能;通過重新使用現有認證資料庫降低擁有成本。
- 多種網路介面卡 - 為Web和所有其它的公用訪問伺服器、與不同夥伴的多種外部網鏈路、得到保護的記錄和URL過濾伺服器提供強大的安全性。
- 支援多達38萬個同時串連 - 部署很少的防火牆就能極大地提高Proxy 伺服器的效能。
- 防止拒絕服務的攻擊 - 保護防火牆及其後面的伺服器和客戶機不受破壞性的駭客攻擊。
- 支援各種應用 - 全面降低防火牆對網路使用者的影響。
- Java Applet過濾 - 使防火牆可以在每個客戶機或每個IP地址上終止具有潛在危險的Java應用。
- 支援多媒體應用 - 降低了支援這些協議所需要的行政時間和成本。無需特殊的客戶機配置。
- 設定簡單 - 只需6條命令就能實現一般的安全性原則。
- 緊湊設計 - 可以更加容易地部署在案頭或更小的辦公設定中。
- URL過濾 - 當與Websense企業軟體配合使用時,可以提供控制哪些Web網站的使用者可以出於計費的目的來訪問和維護審計跟蹤資料的能力。對PIX防火牆效能的影響最小。
- 郵件保護 - 不再需要外部郵件在周邊網路中轉寄,也防止了外部郵件轉寄過程中的拒絕服務的攻擊。
| PIX525的主要特性和優點 |
| 效能綜述 |
| 明文輸送量 |
370Mbps |
| 168位 3DES IPSec VPN輸送量 |
145Mbps |
| 並發VPN隧道 |
2000 |
| 並發串連 |
380,000 7500/sec |
PIX 535 產品要點和應用環境
Cisco Secure PIX防火牆535提供的承載級的效能可以滿足大型商業網路和服務提供者的需要。作為世界領先的Cisco Secure PIX防火牆系列的組成部分,PIX 535能夠為當今的網路客戶提供無與倫比的安全性、可靠性和效能。該防火牆將靜態防火牆和IP安全(IPSec)虛擬專網(VPN)功能與千兆位乙太網路輸送量靈活地結合在一起。
PIX 535是一種能夠提供空前保護能力的通用防火牆裝置。它與PIX作業系統(OS)緊密整合在一起,該作業系統是一種消除了安全性漏洞和效能退化開銷的專用固化系統。PIX535防火牆的核心是基於自適應安全演算法(ASA)的一種保護機制,它可以提供面向靜態串連的防火牆功能,能夠進行50萬個同時串連,並同時防止常見的拒絕服務(DoS)攻擊。
另外,PIX 535還是一種能夠通過公網安全傳輸資料的全功能VPN網關,它支援使用56位元據加密標準(DES)或168位3DES對VPN應用進行網站到網站和遠端存取。PIX 535的整合VPN功能可以得到VPN加速卡(VAC)選件的支援,能夠提供495 Mbps的輸送量和2000個IPSec隧道。
高可用性通過部署一個冗餘的熱備用單元來實現,該故障切換選件通過自動靜態同步維護了同時串連。這保證了即使是在系統故障情況下,也能夠維護對話,並且保證切換過程對網路使用者而言是透明地完成。另外,PIX 535還允許您向交流或直流型號添加可選的冗餘、熱插拔電源,使其成為一種真正的容錯安全裝置。
PIX535有限軟體版本
包含有限軟體許可的PIX 535配有512MB的RAM,支援多達6個千兆位乙太網路或10/100快速乙太網路介面以及一個VAC。
PIX535無限軟體版本
包含無限軟體許可的PIX 535配有1GB的RAM,支援多達8個千兆位乙太網路或10/100快速乙太網路介面以及一個VAC。另外,PIX 535-UR還添加了與熱備用PIX共用狀態資訊以實現完全防火牆冗餘的能力。
| PIX535的效能總結 |
| 效能綜述 |
| 明文輸送量 |
1.675Mbps |
| 168位 3DES IPSec VPN輸送量 |
495Mbps |
| 並發VPN隧道 |
2000 |
| 並發串連 |
500,000 9400/sec |
技術規格
處理器:1.0 GHz Intel Pentium III
隨機讀寫記憶體:512 MB或1 GB SDRAM(寄存型PC 133)
快閃記憶體:16 MB
快取:256 KB Level 2,1 GHz
系統匯流排:雙64位,66MHz PCI;單32位,33MHz PCI
擴充
介面
思科高端防火牆6503/6506/6509 產品要點和應用環境,解決方案應用
Cisco Catalyst?6503/6506/6509高端防火牆是一種高速的、整合化的防火牆,可以提供業界最快的防火牆資料轉送速率:5Gb的輸送量,100000CPS,以及一百萬個並發串連。在一個裝置中最多可以安裝四個FWSM防火牆模組,因而每個裝置最高可以提供高達20Gb的輸送量。作為世界領先的Cisco PIX防火牆系列的一部分,6503/6506/6509高端防火牆可以為大型企業和服務供應商提供無以倫比的安全性、可靠性和效能。
6503/6506/6509高端防火牆(FWSM)採用了Cisco PIX技術,並且運行Cisco PIX作業系統(OS)--一個即時的、牢固的嵌入式系統,可以消除安全性漏洞,防止各種可能導致效能降低的損耗。這個系統的核心是一種基於自適應安全演算法(ASA)的保護機制,它可以提供連線導向的全狀態防火牆功能。利用ASA,FWSM可以根據源地址和目的地地址,隨機的TCP序號,連接埠號碼,以及其他TCP標誌,為一個會話流建立一個串連表條目。FWSM可以通過對這些串連表條目實施安全性原則,控制所有輸入和輸出的流量。
FWSM整合防火牆模組
6503/6506/6509高端防火牆是由FWSM防火牆服務模組安裝在Cisco Catalyst 6500系列交換器或者Cisco 7600互連網路由器的內部而成,Cat6K的任何連接埠都可以充當防火牆連接埠,並且在網路基礎設施中整合了狀態防火牆安全。對於那些機架空間非常有限的系統來說,這種功能非常重要。Cisco Catalyst 6500 真正成為了那些需要各種智能化服務(例如防火牆接入、入侵檢測、虛擬私人網路(VPN))和多層LAN、WAN和MAN交換功能的客戶的首選IP服務交換器。
適應未來需要
6503/6506/6509高端防火牆(FWSM)可以支援5Gb的輸送量,因而可以提供無以倫比的效能,讓使用者無須對系統進行徹底的升級,就可以滿足未來的要求。在Catalyst 6500中最多可以添加到四個FWSM,以滿足使用者不斷髮展的需求。
可靠性
FWSM防火牆模組建立在Cisco PIX技術的基礎之上,並使用了同一個經過時間檢驗的Cisco PIX作業系統--一個安全的、即時的作業系統。FWSM可以利用行之有效Cisco PIX技術檢測分組,從而可以在同一個平台上提供效能和安全的獨特組合。
低廉的整體運營成本
FWSM可以提供所有防火牆中最佳的效能價格比。由於FWSM防火牆模組是基於Cisco PIX防火牆的,所以培訓和管理成本都很低,而且由於它是整合在Cat6K裝置內部的,所以大大減少了需要管理的裝置的數量。
易用性
Cisco PIX 裝置管理員的直觀的圖形化使用者介面(GUI)可以用於管理和配置FWSM。
| FWSM 防火牆特性 |
| 主要特性 |
優點 |
| 效能 |
5 Gbps |
| 一百萬個並發串連 |
| 每秒建立和斷開超過10萬個串連 |
| 多種介面 |
最多可以支援100個防火牆VLAN--任何Cisco Catalyst 4000 VLAN都可以充當防火牆VLAN |
| 支援802.1q 和ISL 協議 |
| 切入型代理 |
對每個VLAN實施安全性原則 |
| 主要特性 |
優點 |
| 配置支援 |
控制台到命令列介面(CLI) |
| Telnet 到Cisco PIX防火牆的內部介面 |
| 基於IPSec的Telnet到Cisco PIX防火牆的外部介面 |
| SSH到 CLI |
| SSL 到 Cisco PIX 裝置管理員 |
| AAA 支援 |
通過TACACS+和RADIUS支援,整合常見的身份認證、授權和記帳服務 |
| NAT/PAT 支援 |
提供動態/靜態網路位址解析(NAT)和連接埠位址解析(PAT) |
| Cisco PIX 裝置管理員(PDM) |
簡便、直觀、基於Web的GUI可以支援遠程防火牆管理 |
| 多種基於即時資料和曆史資料的報告可以提供使用趨勢、基本效能和安全事件等資訊 |
| 安全網路管理 |
安全的、採用三重資料加密標準 (3DES)加密的網路管理接入 |
| 存取控制清單 |
最多支援128000條存取控制清單 |
| URL 過濾 |
在伺服器中設定策略,並利用Websense軟體檢查輸出的URL請求 |
| 命令授權 |
對所有CLI設定優先權,建立與這些優先順序對應的使用者帳號或者登入環境。 |
| 對象群組 |
能夠組合網路對象(例如主機)和服務(例如ftp和http) |
| 防範 DoS |
DNS 保護 |
| Flood Defender |
| Flood Guard |
| TCP 阻截 |
| 單播反向路徑發送 |
| FragGuard和虛擬重組 |
| 路由 |
靜態路由· 動態;例如路由資訊協議(RIP)和先開啟最短的路徑(OSPF) |
| 高可用性 |
狀態故障恢複--裝置內部和裝置之間 |
| 日誌 |
全面的系統日誌、FTP、URL和ACL日誌 |
| 其他協議 |
H.323 V2 |
| 基於IP的NetBios |
| RAS 第二版本 |
| RTSP |
| SIP |
| XDMCP |
| Skinny |
6503/6506/6509高端防火牆應用環境
6503/6506/6509高端防火牆部署在企業園區的資料中心的網路拓撲中。
今天的企業不僅僅需要周邊安全,還需要串連業務夥伴和提供園區安全區域,為企業中的各個部門提供安全服務。6503/6506/6509高端防火牆可以通過讓使用者和管理員以不同的策略在企業中設立安全域,提供一種靈活、經濟、基於效能的解決方案。圖2顯示了一個利用狀態過濾來建立不同的、基於VLAN的安全域的園區部署。
利用6503/6506/6509高端防火牆,使用者可以為不同的VLAN制定相應的策略。
資料中心也需要用狀態防火牆安全解決方案來保護資料,並以儘可能低的成本提供千兆位的效能。 6503/6506/6509高端防火牆可以通過在防火牆中提供最佳的效能價格比,最大限度地提高資本投資效率,讓客戶可以放棄過去那些需要另購防火牆負載平衡裝置的、價格昂貴的防火牆產品。
思科IOS路由器防火牆產品及特性
思科公司的IOS路由器均提供強大的安全功能,在整合化要求很高的情況下,採用思科全系列路由器並配備安全功能的IOS軟體也是一個靈活的選擇。
Cisco IOS防火牆軟體薈萃了多種多樣功能強大的安全性功能,包括:
- 基於內容相關的存取控制(CBAC)
- 入侵檢測
- 身分識別驗證代理
- 拒絕服務檢測與預防
- 動態連接埠映射
- Java小應用封鎖
- VPN、IPSec加密和QoS支援:
- 即時警示
- 網路事務追蹤記錄
- 事件記錄
- 防火牆管理
- 與Cisco IOS軟體的整合
- 基本和進階資料流過濾:
- 基於政策的多介面支援
- 網路位址轉譯
- 基於時間的訪問列表
- 對等路由器身分識別驗證