ASA與PIX的區別

標籤：style   io   ar   color   os   使用   sp   java   檔案   

很多年來，Cisco PIX一直都是Cisco確定的防火牆。但是在2005年5月，Cisco推出了一個新的產品——適應性安全產品（ASA，Adaptive Security Appliance）。不過，PIX還依舊可用。我已聽到很多人在多次詢問這兩個產品線之間的差異到底是什麼。讓我們來看一看。 
Cisco PIX是什嗎？ 
Cisco PIX是一種專用的硬體防火牆。所有版本的Cisco PIX都有500系列的產品號碼。最常見的家用和小型網路用產品是PIX 501；而許多中型企業則使用PIX 515作為企業防火牆。 
PIX防火牆使用PIX作業系統。雖然PIX作業系統和Cisco IOS看起來非常的接近，但是對那些非常熟悉IOS的使用者來說，還是有足夠的差異性弄得他們頭昏腦脹。 
PIX系列的防火牆使用PDM（PIX裝置管理員，PIX Device Manager）作為圖形介面。該圖形介面系統是一個通過網頁瀏覽器下載的Java程式。 
一般情況下，一台PIX防火牆有個外向介面，用來連到一台Internet路由器中，這台路由器再連到Internet上。同時，PIX也有一個內向介面，用來連到一台區域網路交換器上，該交換器連入內部網路。 
Cisco ASA是什嗎？ 
而ASA是Cisco系列中全新的防火牆和反惡意程式碼軟體安全用具。（不要把這個產品和用於待用資料包過濾的PIX搞混了） 
ASA系列產品都是5500系列。企業版包括4種：Firewall，IPS，Anti-X，以及VPN.而對小型和中型公司來說，還有商業版本。 
總體來說，Cisco一共有5種型號。所有型號均使用ASA 7.2.2版本的軟體，介面也非常近似Cisco PIX.Cisco PIX和ASA在效能方面有很大的差異，但是，即使是ASA最低的型號，其所提供的效能也比基礎的PIX高得多。 
和PIX類似，ASA也提供諸如入侵防護系統（IPS，intrusion prevention system），以及VPN集中器。實際上，ASA可以取代三種獨立裝置——Cisco PIX防火牆，Cisco VPN 3000系列集中器，以及Cisco IPS 4000系列感應器。 
現在，我們已經看過了兩種安全工具各自的基本情況，下面我們來看看他們互相比較的結果。 
PIX對ASA 
雖然PIX是一款非常優秀的防火牆，但是安全方面的情況卻在日新月異。僅僅使用一台待用資料包過濾防火牆來對你的網路進行保護已遠遠不夠了。對網路而言，新的威脅層出不窮——包括病毒，蠕蟲，多餘軟體（比如P2P軟體，遊戲，即時通訊軟體），網路欺詐，以及應用程式層面的攻擊等等。 
如果一台裝置可以應付多種威脅，我們就稱其提供了“anti-X”能力，或者說它提供了“多重威脅（multi-threat）”防護。但PIX恰恰無法提供這種層次的防護。 
絕大多數公司不希望採用安裝一台PIX進行靜態防火牆過濾，同時再使用一些其他的工具來防護其他威脅的辦法。他們更希望採用一台“集所有功能於一身”的裝置——或是採用一台UTM（統一威脅管理）裝置。 
而ASA恰好針對這些不同類型的攻擊提供了防護。它甚至比一台UTM裝置更厲害——不過，要成為一台真正的UTM，它還需要裝一個CSC-SSM模組（CSC-SSM，Alibaba Content Security Service以及控制安全服務，Content Security and Control Security Service）才行。該模組在ASA中提供anti-X功能。如果沒有CSC-SSM，那ASA的功能看起來會更像一台PIX. 
那麼，到底哪一個才適合你的企業呢？正如我們通常所說的，這要看你企業的需求而定。不過，我還是傾向於優先選擇ASA，而後才是PIX.首先，一台ASA的價格要比同樣功能的PIX要低。除去成本的原因不談，至少從邏輯上來說，選擇ASA就意味著選擇了更新更好的技術。 
對於那些已經在使用Cisco PIX的人來說，Cisco已經提供了一個遷移指南，以解決如何從Cisco PIX遷移到ASA上的問題。就我觀點而言，我覺得這起碼預示了一點，就是Cisco終止PIX的日子正離我們越來越近。雖然Cisco公司尚未明確宣布這一點，但是我認為這隻是一個時間問題罷了。  
 
ASA和PIX完全對比

(1)ASA全新硬體設計，同等檔次下，實際效能比PIX高。所使用的軟體版本區別不大，配置命 令一樣。

(2)ASA共有四個版本，即anti-x,vpn,ips,firewall,Cisco ASA 5500系列自適應安全裝置本身是一個模組化平台,可以提供IPS/Antix/VPN功能，這三個版本是為了您不同的需求量身定製的。因此，當您的企業 需要應用安全和入侵防禦服務，保護業務關鍵服務和基礎設施免遭蠕蟲、駭客和其他威脅的影響，建議配置IPS版。當你想協助用戶端系統抵禦病毒、間諜軟體和 泄密等惡意的網站威脅和基於內容的威脅時，建議配置AntiX版。當您的目的是使遠端使用者可安全訪問內部網路系統和服務，支援用於大型企業部署的VPN集 群時，建議配置VPN版本。同時，這三個版本都具備firewall功能和IP sec VPN功能。

(3) 同時，ASA系列本身是一個"ALL IN ONE"的裝置。其中5510/5520/5540隻具備一個插槽,5550無額外插槽。ASA最基本的功能就是Firewall功能，vpn功能。注 意，預設狀態下有2個SSL VPN license，如需更多則需要購買license。ASA本身有兩種功能性模組，就是AIP 和 CSC。因為5510/20/40系列本身只有一個插槽，因此我們只能插入AIP模組或者CSC模組。但本身ASA內建就已經具備了IPS功能和防病毒功 能，只不過他們是soft實現的。因此，這四個功能是可以整合到一台ASA上的。

(4) ASA的四種版本是思科專門為滿足不同需求定製的。ASA硬體設計是一致的，都採用了AIM架構（Adaptive Identification and Mitigation Services Architecture ），核心是採用了模組化設計。所以防火牆是核心功能，而IPS、Anti-X模組化設計，卡上有相對獨立的CUP和記憶體，所以多功能整合但效能不會下降。 可以根據需要自己選擇功能卡。

思科ASA 進階檢測和防禦（AIP）模組簡介
為Cisco ASA 5500 系列自適應安全裝置開發的思科®進階檢測和防禦安全服務模組（AIP-SSM）能夠主動提供全特性入侵防禦服務，在網路受到影響之前就及 時阻止惡意流量，包括蠕蟲和網路病毒。

AIP-SSM入侵防禦服務
利用Cisco IPS Sensor Software 5.x，Cisco AIP-SSM 能夠將線內防禦服務與創新技術結合在一起，提高準確性。客戶可以放心地使用入侵防禦系統（IPS）解決方案提供的有效保護，而無需擔心合法流量會被丟棄。 如果部署在Cisco ASA 5500 系列裝置內，AIP-SSM 將能夠與其它網路安全資源配合在一起，對網路提供主動、全面的保護。 

由 於Cisco AIP-SSM 採用了以下技術，因而能使使用者更加放心地抵禦各種威脅： 

準確的線上防禦技術--既能積 極預防各種威脅，又不會丟棄合法流量。這種獨特的技術能夠對資料進行智能、自動、關聯分析，以保證客戶能充分發揮入侵防禦解決方案的優勢。 
多種 威脅識別--通過L2到L7的詳細流量檢測，防止使用者違背網路原則、盜用各種漏洞並執行異常操作。 
獨特網路協作--通過網路協作提高可擴充性和 永續性，包括有效流量捕獲技術、負載平衡功能以及對加密流量的可視性。 
強大的管理、事件關聯和支援服務--提供完整的解決方案，包括配置、管 理、資料關聯和進階支援服務。對於網路級入侵防禦解決方案，思科安全監控、分析和響應系統（Cisco Security MARS）能夠發現、隔離和準確刪除惡意組件。利用思科意外控制系統（ICS），由於網路能夠快速適應和提供分布式響應，因而能有效防止新的蠕蟲和病毒發 作。 

如果結合在一起，這些組件能夠提供全面的線內防禦解決方案，使客戶能夠放心地檢測和阻止各種惡意流量，以保證業務 連續性不受影響。

Cisco ASA Alibaba Content Security Service和控制（CSC）安全服務模組簡介

Cisco ASA 5500系列Alibaba Content Security Service和控制安全服務模組（CSC-SSM）能夠在互連網邊緣提供業內領先的威脅防禦和內容控制，通過業內領先廠商提供的易於管理的全面解 決方案，提供全面的防病毒、防間諜軟體、檔案級病毒、防垃圾郵件、防誘騙、URL阻擋和過濾以及內容過濾服務。CSC-SSM 增強了Cisco ASA 5500 系列的安全功能，使客戶能夠進一步加強對業務通訊內容的保護和控制。藉助思科屢獲大獎的Cisco ASA 5500 系列裝置的功能和部署，服務模組能夠進一步提高使用者選擇靈活性。

主要業務因素
通過以下組件，Cisco ASA 5500 系列CSC-SSM 能夠協助企業更加有效地保護其網路，提高網路可用性和員工生產率： 

全面安全防護 --CSC-SSM採用了Trend Micro 屢獲大獎的防病毒和防間諜軟體技術，幾乎能夠防止所有已知惡意代碼進入網路並傳播，從而防止關鍵業務應用和服務中斷，防止重要系統和人員停止工作，並減少 系統受感染之後需要進行的昂貴的清理負擔。 
進階內容過濾--將URL、內容過濾和防誘騙技術整合在一起，防止企業和個人的保密資訊被盜，減少因 違背網路使用原則而需要承擔的法律責任，另外，它還能協助企業遵從網路內容法律，例如健康保險便利及責任法案（HIPAA）、Sarbanes- Oxley（SOX）和資料保護法。 
整合式訊息安全性--將防垃圾郵件技術整合在一起，阻止大量不需要的電子郵件進入郵件伺服器，提高員工生產 率，防止寶貴的網路頻寬和儲存資源被浪費。 
定製和調試功能--使管理員能夠定製對垃圾郵件和內容功能的控制，以滿足特殊公司策略或網路環境的要 求。 
易於管理和自動更新功能--提供智能預設設定，以及與ASA-5500 Adaptive Security Device Manager（ASDM）整合在一起的直觀介面，以簡化初始配置、部署和後續運作。可自動更新所有CSC-SSM組件，包括掃描引擎和樣式檔案，保證網 絡只需少量管理就能隨時阻止最新威脅。 

總之,ASA系列產品主要是為了簡化網路設定,提高網路效能CISCO所推出的新產品,在將來替 代PIX和VPN集中器等產品,並對IPS和反病毒實現了模組化支援.在一個產品中實現多個功能,效能並不會下降

ASA與PIX的區別