PIX 525 产品要点和应用环境
Cisco PIX 525防火墙应用环境
Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分,能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全(IPsec)虚拟专网(VPN)能力使特别适合于保护企业总部的边界。
强壮的安全特性
Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件,包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等。
而Cisco Secure PIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过Cisco Secure PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。
另外,实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性。而专用的Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。
与IPsec互操作的安全VPN
从传统上来说,防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前,越来越多的客户正在寻求除了提供访问控制以外,还能提供VPN服务的防火墙。利用VPN,远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网,同时,使用Internet访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大型的Modem池和访问服务器来处理远程的拨号用户,而这些都是需要花费大量资金并且让管理员头痛的事情。现在,只需要向ISP进行本地呼叫,用户就可以通过Internet安全的访问专用的企业Intranet。
PIX 525实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密,Cisco的IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法以及AES算法。
极端的可靠性
PIX防火墙提供了空前的可靠性,其平均无故障时间(MTBF)超过60000小时。即使是达到了这样高的水平,那些Internet、Intranet或Extranet连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。Cisco已经创建了配合PIX 525-UR使用的故障切换捆绑程序,能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙。
令人惊奇的灵活性
Cisco Secure PIX 525防火墙支持各种网络接口卡(NIC)。标准NIC包括单端口或4端口10/100快速以太网、千兆位以太网、4/16令牌环和双连接多模FDDI卡。
另外,PIX 525还提供多种电源选件,用户可以选择交流或48V直流电源。每一种选件都配有为第二个"故障切换"PIX系统准备的成对儿产品,从而实现最高的冗余和高可用性。
主要特性和优点
- Cisco端到端解决方案的组成部分 - 允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。
- 最低的拥有成本 - 安装、配置简单,网络中断时间更少。另外,允许透明地支持Internet多媒体应用,不再需要实际调整和重新配置每一台客户工作站或PC机。
- 非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险,提供了突出的性能。
- 基于标准的虚拟专网 - 使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。
- 自适应安全算法 - 为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源。
- 静态故障切换/热备用 - 提供高可用性,使网络可靠性最大。
- 网络地址转换(NAT)-- 节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到。
- 截断通过代理 - 提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本。
- 多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。
- 支持多达38万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。
- 防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。
- 支持各种应用 - 全面降低防火墙对网络用户的影响。
- Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。
- 支持多媒体应用 - 降低了支持这些协议所需要的管理时间和成本。无需特殊的客户机配置。
- 设置简单 - 只需6条命令就能实现一般的安全策略。
- 紧凑设计 - 可以更加容易地部署在桌面或更小的办公设置中。
- URL过滤 - 当与Websense企业软件配合使用时,可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。
- 邮件保护 - 不再需要外部邮件在外围网络中转发,也防止了外部邮件转发过程中的拒绝服务攻击。
PIX525的主要特性和优点 | |
性能综述 | |
明文吞吐量 | 370Mbps |
168位 3DES IPSec VPN吞吐量 | 145Mbps |
并发VPN隧道 | 2000 |
并发连接 | 380,000 7500/sec |
PIX 535 产品要点和应用环境
Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分,PIX 535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全(IPSec)虚拟专网(VPN)功能与千兆位以太网吞吐量灵活地结合在一起。
PIX 535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统(OS)紧密集成在一起,该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法(ASA)的一种保护机制,它可以提供面向静态连接的防火墙功能,能够进行50万个同时连接,并同时防止常见的拒绝服务(DoS)攻击。
另外,PIX 535还是一种能够通过公网安全传输数据的全功能VPN网关,它支持使用56位数据加密标准(DES)或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡(VAC)选件的支持,能够提供495 Mbps的吞吐量和2000个IPSec隧道。
高可用性通过部署一个冗余的热备用单元来实现,该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下,也能够维护对话,并且保证切换过程对网络用户而言是透明地完成。另外,PIX 535还允许您向交流或直流型号添加可选的冗余、热插拔电源,使其成为一种真正的容错安全设备。
PIX535有限软件版本
包含有限软件许可的PIX 535配有512MB的RAM,支持多达6个千兆位以太网或10/100快速以太网接口以及一个VAC。
PIX535无限软件版本
包含无限软件许可的PIX 535配有1GB的RAM,支持多达8个千兆位以太网或10/100快速以太网接口以及一个VAC。另外,PIX 535-UR还添加了与热备用PIX共享状态信息以实现完全防火墙冗余的能力。
PIX535的性能总结 | |
性能综述 | |
明文吞吐量 | 1.675Mbps |
168位 3DES IPSec VPN吞吐量 | 495Mbps |
并发VPN隧道 | 2000 |
并发连接 | 500,000 9400/sec |
技术规格
处理器:1.0 GHz Intel Pentium III
随机读写内存:512 MB或1 GB SDRAM(寄存型PC 133)
闪存:16 MB
高速缓存:256 KB Level 2,1 GHz
系统总线:双64位,66MHz PCI;单32位,33MHz PCI
扩展
PCI总线:9个PCI插槽(4个64位/66MHz,5个32位/33MHz)
随机读写内存:6个DIMM插槽,支持多达6GB的PC133 DRAM(PIX操作系统最大支持1GB)
接口
控制台端口:RS-232(RJ-45)9600波特率
故障切换端口:RS-232(DB-15)115Kbps(需要Cisco专用电缆)
思科高端防火墙6503/6506/6509 产品要点和应用环境,解决方案应用
Cisco Catalyst?6503/6506/6509高端防火墙是一种高速的、集成化的防火墙,可以提供业界最快的防火墙数据传输速率:5Gb的吞吐量,100000CPS,以及一百万个并发连接。在一个设备中最多可以安装四个FWSM防火墙模块,因而每个设备最高可以提供高达20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的一部分,6503/6506/6509高端防火墙可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。
6503/6506/6509高端防火墙(FWSM)采用了Cisco PIX技术,并且运行Cisco PIX操作系统(OS)--一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用ASA,FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。
FWSM集成防火墙模块
6503/6506/6509高端防火墙是由FWSM防火墙服务模块安装在Cisco Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部而成,Cat6K的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。Cisco Catalyst 6500 真正成为了那些需要各种智能化服务(例如防火墙接入、入侵检测、虚拟专用网(VPN))和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。
适应未来需要
6503/6506/6509高端防火墙(FWSM)可以支持5Gb的吞吐量,因而可以提供无以伦比的性能,让用户无须对系统进行彻底的升级,就可以满足未来的要求。在Catalyst 6500中最多可以添加到四个FWSM,以满足用户不断发展的需求。
可靠性
FWSM防火墙模块建立在Cisco PIX技术的基础之上,并使用了同一个经过时间检验的Cisco PIX操作系统--一个安全的、实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组,从而可以在同一个平台上提供性能和安全的独特组合。
低廉的整体运营成本
FWSM可以提供所有防火墙中最佳的性能价格比。由于FWSM防火墙模块是基于Cisco PIX防火墙的,所以培训和管理成本都很低,而且由于它是集成在Cat6K设备内部的,所以大大减少了需要管理的设备的数量。
易用性
Cisco PIX 设备管理器的直观的图形化用户界面(GUI)可以用于管理和配置FWSM。
FWSM 防火墙特性 | |
主要特性 | 优点 |
性能 | 5 Gbps |
一百万个并发连接 | |
每秒建立和断开超过10万个连接 | |
多种接口 | 最多可以支持100个防火墙VLAN--任何Cisco Catalyst 4000 VLAN都可以充当防火墙VLAN |
支持802.1q 和ISL 协议 | |
切入型代理 | 对每个VLAN实施安全策略 |
主要特性 | 优点 |
配置支持 | 控制台到命令行界面(CLI) |
Telnet 到Cisco PIX防火墙的内部接口 | |
基于IPSec的Telnet到Cisco PIX防火墙的外部接口 | |
SSH到 CLI | |
SSL 到 Cisco PIX 设备管理器 | |
AAA 支持 | 通过TACACS+和RADIUS支持,集成常见的身份认证、授权和记帐服务 |
NAT/PAT 支持 | 提供动态/静态的网络地址解析(NAT)和端口地址解析(PAT) |
Cisco PIX 设备管理器(PDM) | 简便、直观、基于Web的GUI可以支持远程防火墙管理 |
多种基于实时数据和历史数据的报告可以提供使用趋势、基本性能和安全事件等信息 | |
安全网络管理 | 安全的、采用三重数据加密标准 (3DES)加密的网络管理接入 |
访问控制列表 | 最多支持128000条访问控制列表 |
URL 过滤 | 在服务器中设定策略,并利用Websense软件检查输出的URL请求 |
命令授权 | 对所有CLI设置优先级,创建与这些优先级对应的用户账号或者登录环境。 |
对象群组 | 能够组合网络对象(例如主机)和服务(例如ftp和http) |
防范 DoS | DNS 保护 |
Flood Defender | |
Flood Guard | |
TCP 阻截 | |
单播反向路径发送 | |
FragGuard和虚拟重组 | |
路由 | 静态路由· 动态;例如路由信息协议(RIP)和开放最短路径优先(OSPF) |
高可用性 | 状态故障恢复--设备内部和设备之间 |
日志 | 全面的系统日志、FTP、URL和ACL日志 |
其他协议 | H.323 V2 |
基于IP的NetBios | |
RAS 第二版本 | |
RTSP | |
SIP | |
XDMCP | |
Skinny |
6503/6506/6509高端防火墙应用环境
6503/6506/6509高端防火墙部署在企业园区的数据中心的网络拓扑中。
今天的企业不仅仅需要周边安全,还需要连接业务伙伴和提供园区安全区域,为企业中的各个部门提供安全服务。6503/6506/6509高端防火墙可以通过让用户和管理员以不同的策略在企业中设立安全域,提供一种灵活、经济、基于性能的解决方案。图2显示了一个利用状态过滤来建立不同的、基于VLAN的安全域的园区部署。
利用6503/6506/6509高端防火墙,用户可以为不同的VLAN制定相应的策略。
数据中心也需要用状态防火墙安全解决方案来保护数据,并以尽可能低的成本提供千兆位的性能。 6503/6506/6509高端防火墙可以通过在防火墙中提供最佳的性能价格比,最大限度地提高资本投资效率,让客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。
思科IOS路由器防火墙产品及特性
思科公司的IOS路由器均提供强大的安全功能,在集成化要求很高的情况下,采用思科全系列路由器并配备安全功能的IOS软件也是一个灵活的选择。
Cisco IOS防火墙软件荟萃了多种多样功能强大的安全性功能,包括:
- 基于上下文的访问控制(CBAC)
- 入侵检测
- 身份验证代理
- 拒绝服务检测与预防
- 动态端口映射
- Java小应用封锁
- VPN、IPSec加密和QoS支持:
- 实时告警
- 网络事务跟踪记录
- 事件记录
- 防火墙管理
- 与Cisco IOS软件的集成
- 基本和高级数据流过滤:
- 基于政策的多接口支持
- 网络地址转换
- 基于时间的访问列表
- 对等路由器身份验证