Cisco PIX 535防火牆
Cisco Secure PIX防火牆535提供的承載級的性能可以滿足大型企業網路和服務提供商的需要。作為世界領先的Cisco Secure PIX防火牆系列的組成部分,PIX 535能夠為當今的網路客戶提供無與倫比的安全性、可靠性和性能。該防火牆將靜態防火牆和IP安全(IPSec)虛擬專網(VPN)功能與千兆位乙太網吞吐量靈活地結合在一起。
PIX 535是一種能夠提供空前保護能力的通用防火牆設備。它與PIX作業系統(OS)緊密集成在一起,該作業系統是一種消除了安全漏洞和性能退化開銷的專用固化系統。PIX535防火牆的核心是基於自適應安全算法(ASA)的一種保護機制,它可以提供面向靜態連線的防火牆功能,能夠進行50萬個同時連線,並同時防止常見的拒絕服務(DoS)攻擊。
另外,PIX 535還是一種能夠通過公網安全傳輸數據的全功能VPN網關,它支持使用56位數據加密標準(DES)或168位3DES對VPN套用進行站點到站點和遠程訪問。PIX 535的集成VPN功能可以得到VPN加速卡(VAC)選件的支持,能夠提供100 Mbps的吞吐量和2000個IPSec隧道。
高可用性通過部署一個冗餘的熱備用單元來實現,該故障切換選件通過自動靜態同步維護了同時連線。這保證了即使是在系統故障情況下,也能夠維護對話,並且保證切換過程對網路用戶而言是透明地完成。另外,PIX 535還允許您向交流或直流型號添加可選的冗餘、熱插拔電源,使其成為一種真正的容錯安全設備。
有限軟體許可
包含有限軟體許可的PIX 535配有512MB的RAM,支持多達6個千兆位乙太網或10/100快速乙太網接口以及一個VAC。
無限軟體許可
包含無限軟體許可的PIX 535配有1GB的RAM,支持多達8個千兆位乙太網或10/100快速乙太網接口以及一個VAC。另外,PIX 535-UR還添加了與熱備用PIX共享狀態信息以實現完全防火牆冗餘的能力。
故障切換軟體許可
包含故障切換軟體許可的PIX 535工作在熱備用模式。作為維護當前對話的完整的冗餘系統,它能夠以很低的價格提供非常高的可用性。
性能總結
純文本吞吐量:1.0Gbps
同時連線:50萬
每秒連線數:7000
168位3DES IPsec VPN吞吐量:100 Mbps
同時VPN隧道:2000
技術規格
處理器:1.0 GHz Intel Pentium III
隨機讀寫記憶體:512 MB或1 GB SDRAM(暫存型PC 133)
快閃記憶體:16 MB
高速快取:256 KB Level 2,1 GHz
系統匯流排:雙64位,66MHz PCI;單32位,33MHz PCI
擴展
PCI匯流排:9個PCI插槽(4個64位/66MHz,5個32位/33MHz)
隨機讀寫記憶體:6個DIMM插槽,支持多達6GB的PC133 DRAM(PIX作業系統最大支持1GB)
接口
控制台連線埠:RS-232(RJ-45)9600波特率
故障切換連線埠:RS-232(DB-15)115Kbps(需要Cisco專用電纜)
Cisco PIX 506E防火牆
Cisco PIX 506E防火牆是套用極為廣泛的Cisco PIX 506防火牆的增強版本,可以通過一個可靠的、強大的安全設備為遠程辦公室和分支機構提供企業級的安全性。Cisco PIX 506E防火牆是市場領先的Cisco PIX防火牆系列的一部分,可以通過一個經濟有效的、高性能的解決方案提供豐富的安全功能和強大的遠程管理功能,尤其適用於為遠程/分支機構保障網際網路連線。PIX 506E還提供了更高的3DES VPN性能,在使用某些套用時,性能比PIX 506高出70%。
針對遠程辦公室/分支機構環境的企業級安全性
Cisco PIX 506E防火牆是一種針對特定需求而設計的安全設備,可以在單獨的一個設備中提供豐富的安全服務,包括狀態監測防火牆、虛擬專用網(VPN)和入侵防範等。利用思科最新的自適應安全算法(ASA)和PIX作業系統,PIX 506E可以確保其後的所有用戶的安全,並可以幫助他們防範網際網路的潛在威脅。它的功能強大的狀態監測技術可以跟蹤所有經過授權的用戶的網路請求,防止未經授權的網路訪問。利用PIX 506E靈活的訪問控制功能,管理員還可以對經過防火牆的網路流量實施定製的策略。PIX 506E與您的後端企業資料庫無縫集成,因此可以通過直接使用TACACS/RADIUS或間接使用Cisco安全訪問控制伺服器(ACS)對外部對網路資源的訪問進行嚴格的驗證。
Cisco PIX 506E防火牆還可以利用其基於標準的網際網路密鑰交換(IKE)/IP安全(IPSec)VPN功能,確保遠程辦公機構通過網際網路與企業網路之間進行的所有網路通信的安全。通過利用56位數據加密標準(DES)或者可選的高級168位三重DES(3DES)加密對數據進行加密,當您的敏感企業數據安全地在網際網路中傳輸時,別人將無法窺探到它們。
PIX 506E的集成化的入侵防範功能可以防止您的網路受到各種常見的攻擊。通過查找超過55種不同的攻擊"簽名",PIX可以嚴格檢測各種攻擊,並可以實時地阻截它們或者向您發出通知。
強大的遠程管理功能
Cisco PIX 506E是一個可靠的、便於維護的平台,可以提供多種配置、監控和診斷方式。PIX管理解決方案的範圍非常廣泛――從一個集成化的、基於Web的管理工具到集中的、基於策略的工具,以及對各種遠程監控協定的支持,例如簡單網路管理協定(SNMP)和系統日誌。
PIX 設備管理器(PDM)可以為管理員提供一個直觀的、基於Web的界面,從而使他們可以方便地配置和監控一台PIX 506E,而不需要在管理員的計算機上安裝任何軟體(除了一個標準的Web瀏覽器以外)。管理員可以利用PIX 506E所提供的命令行界面(CLI),通過多種方式(包括遠程登入、安全解釋程式(SSH),以及通過控制連線埠實現的帶外接入)對PIX 506E進行遠程配置、監控和診斷。
管理員還可以通過Cisco VPN/安全管理解決方案(VMS)中提供的Cisco安全策略管理器(CSPM)方便地對很多PX 506E防火牆進行遠程管理。CSPM 3.0是一種可擴展的、下一代的PIX防火牆集中管理解決方案,具有多種功能,包括基於任務的接口、互動式網路拓撲圖、策略嚮導、策略輸出功能等等。
表1 產品的主要特性和優點
主要特性 優點
企業級安全性
真正的安全設備 採用一種專用的、強化的作業系統,可以消除通用作業系統所具有的各種安全風險
思科的品質和沒有可動組件的設計提供了一個高度可靠的安全平台。
狀態監測防火牆 提供邊界網路安全,以防止未經授權的網路訪問。
使用最新的自適應安全算法(ASA),提供強大的狀態監測防火牆服務。
為超過100個預先定製的套用、服務和協定提供靈活的訪問控制功能,並能夠自行定義套用和服務。
包括多種能夠感知套用的“補丁”,從而確保多種先進的網路協定(例如H.323、ISP、skinny、RTSP等)的安全。
包括針對Java applet和ActiveX控制的內容過濾。
VPN 支持IKE和IPSec VPN標準
確保數據的安全性/完整性,強大的、通過網際網路對遠程網路和遠程用戶進行身份認證的功能
支持56位DES和168位3DES數據加密,以確保數據的安全性
入侵檢測 提供對超過55種常見網路攻擊的防範,這些攻擊的範圍非常廣泛――從變形分組攻擊到拒絕服務(DoS)攻擊。
與Cisco網路入侵解決方案相集成
檢測系統(IDS)檢測器可以通過防火牆動態阻塞/避免存在威脅的網路節點。
AAA支持 通過TACACS+和RADIUS支持,與常見的身份認證、授權和記帳服務集成
與Cisco安全訪問控制伺服器(ACS)緊密集成
X.509認證和CRL支持 通過由Blatimore、Entrus、微軟和VeriSign提供的領先X.509解決方案支持基於SCEP的註冊
與領先的第三方解決方案集成 支持多種Cisco AVVID(語音、視頻和綜合數據架構)合作夥伴解決方案,這些方案可以提供URL過濾、內容過濾、病毒檢測、可擴展遠程管理等功能。
強大的小型辦公室聯網功能
DHCP客戶端和伺服器端 自動從電信服務供應商那裡獲取防火牆對外接口的IP位址
為防火牆內部網路上的設備提供IP位址
NAT/PAT支持 提供動態的/靜態的網路地址轉換(NAT)和連線埠地址轉換(PAT)功能
讓多個用戶可以利用同一個公共IP位址,共享一個寬頻連線
PPPoE(2002年第一季度推出) 確保與那些需要對PPPoE的支持的網路兼容
豐富的管理功能
PIX設備管理器(PDM) 直觀的、基於Web的GUI可以實現對PIX防火牆的簡便、安全的遠程管理
提供各種含有大量信息的、實時的和歷史數據報告,有助於深入了解使用趨勢、性能和安全事件。
獲得Cisco安全策略管理器(CSPM)的支持 利用CSPM強大的策略管理基礎設施對企業中的所有Cisco PIX防火牆產品進行可擴展的、統一的管理
Cisco PIX CLI 讓用戶可以利用現有的PIX CLI技術,方便地進行安裝和管理,而不需要再進行培訓
可以通過多種方式訪問,包括控制台連線埠、遠程登入和CLI
SNMP和系統日誌支持 提供遠程監控和日誌功能,並能夠與思科和第三方管理套用集成
表2 3DES和DES
性能綜述
明文吞吐量 20Mbps
56位 DES IPSec VPN吞吐量 20Mbps
168位 3DES IPSec VPN吞吐量 16Mbps
並發VPN隧道 25*
*所支持的最大並發地點到地點或遠程訪問VPN/IKE安全關聯(SA)數量
技術規格
處理器 300MHz Intel Celeron處理器
隨機存儲記憶體 32 MB SDRAM
快閃記憶體 8 MB
系統匯流排 單個32位、33MHz PIC匯流排
工作環境範圍
工作環境
溫度 23°到104°F(0°到40℃)
相對濕度 10%到90%,非冷凝
高度 0到6500英尺(2000米)
衝擊 1.88米/秒(74英寸/秒),正弦輸入
震動 0.41Grms2(3到500Hz)隨機輸入
非工作環境
溫度 -13°到158°F(-25°到70°C)
相對濕度 10%到95%,非冷凝
高度 0到15000英尺(4570米)
衝擊 60G,11m
震動 0.41Grms2(5到500Hz)隨機輸入
電源
自動切換
線電壓範圍 100V到240V RMS
電流 0.7-0.4安培
頻率 50-60Hz,單相
熱散機箱: 102.4BTU/小時,電源完全使用(30瓦)
熱散機箱加電源適配器: 204.6BTU/小時,電源完全使用(60伏)
尺寸和重量
尺寸(高×寬×厚) 1.72×8.5×11.8英寸(4.37×21.59×29.97厘米)
重量(單個電源) 6磅(2.71公斤)
接口
控制台連線埠 RS-232(RJ-45)9600波特
外接連線埠 集成化10Base T 連線埠,自協商/(半/全雙工),RJ-45
內接連線埠 集成化10BaseT連線埠、自協商(半/全雙工),RJ45
符合的規定和標準
產品具有CE標誌表示它符合89/366/EEC和73/23/EEC規定,其中包括下列安全和電磁兼容性(EMC)標準。
安全 UL1950, CAN/CSA-C22.2 No. 950,EN 60950, IEC
60825-1, IEC60825-2, EN60825-1, EN60825-2, 21CFR 1040
電磁兼容性(EMC) FCC Part 15 (CFR 47) Class A, ICES-003 Class A, EN55022 Class
A with UTP Class B with STP, CISPR22 Class A with UTP Class B
with STP, AS/NZS 3548 Class A with UTP Class B with STP, VCCI
Class A with UTP Class B with STP, EN55024, ETS 300 386-2,
EN50082-1, EN61000-3-2, EN61000-3-3
Cisco PIX 525防火牆
Cisco Secure PIX 525防火牆是世界領先的Cisco Secure PIX防火牆系列的組成部分,能夠為當今的網路客戶提供無與倫比的安全性、可靠性和性能。它所提供的完全防火牆保護以及IP安全(IPsec)虛擬專網(VPN)能力使特別適合於保護企業總部的邊界。
強壯的安全特性
Internet的發展為企業、政府和專用網路帶來了更大的安全風險。現有的解決方案如運行在套用層的基於代理的防火牆具有很多限制條件,包括性能低、需要昂貴的通用平台、使用開放系統如UNIX時本身具有安全風險等。
而Cisco Secure PIX防火牆能夠提供空前的安全保護能力,它的保護機制的核心是能夠提供面向靜態連線防火牆功能的自適應安全算法(ASA)。靜態安全性雖然比較簡單,但與包過濾相比,功能卻更加強勁;另外,與套用層代理防火牆相比,其性能更高,擴展性更強。ASA可以跟蹤源和目的地址、傳輸控制協定(TCP)序列號、連線埠號和每個數據包的附加TCP標誌。只有存在已確定連線關係的正確的連線時,訪問才被允許通過Cisco Secure PIX防火牆。這樣做,內部和外部的授權用戶就可以透明地訪問企業資源,而同時保護了內部網路不會受到非授權訪問的侵襲。
另外,實時嵌入式系統還能進一步提高Cisco Secure PIX防火牆系列的安全性。雖然UNIX伺服器是廣泛採用公開原始碼的理想開放開發平台,但通用的作業系統並不能提供最佳的性能和安全性。而專用的 Cisco Secure PIX防火牆是為了實現安全、高性能的保護而專門設計。
與IPsec互操作的安全VPN
從傳統上來說,防火牆通過維護所連線網段之間所有連線的靜態控制實現了邊界安全性。目前,越來越多的客戶正在尋求除了提供訪問控制以外,還能提供VPN服務的防火牆。利用VPN,遠程用戶或分布在各地的分支機構能夠以更低的成本安全地訪問企業網,同時,使用Internet訪問可以大大降低與以前的專線或其它專用網路相關的電信費用。公司就不需要維護大型的Modem池和訪問伺服器來處理遠程的撥號用戶,而這些都是需要花費大量資金並且讓管理員頭痛的事情。現在,只需要向ISP進行本地呼叫,用戶就可以通過Internet安全的訪問專用的企業Intranet。
PIX 525實現了在Internet或所有IP網路上的安全保密通信。它集成了VPN的主要功能 - 隧道、數據加密、安全性和防火牆,能夠提供一種安全、可擴展的平台來更好、更經濟高效地使用公共數據服務來實現遠程訪問、遠程辦公和外部網連線。525可以同時連線高達4個VPN層,為用戶提供完整的IPsec標準實施方法,其中IPsec保證了保密性、完整性和認證能力。對於安全數據加密,Cisco的 IPsec實現方法全部支持56位數據加密標準(DES)和168位三重DES算法。
極端的可靠性
PIX 防火牆提供了空前的可靠性,其平均無故障時間(MTBF)超過60000小時。即使是達到了這樣高的水平,那些Internet、Intranet或 Extranet連線是企業生命線的企業還是認識到了防火牆冗餘是一項關鍵因素。防火牆的每一分鐘停止運行都意味著收入、機會或關鍵信息的損失。 Cisco已經創建了配合PIX 525-UR使用的故障切換捆綁程式,能夠簡單、便宜地滿足上述要求。該程式包為企業提供了特別設計在故障切換模式下運行的第二個防火牆,而其價格僅是標準PIX 525 UR捆綁件的一小部分。
令人驚奇的靈活性
Cisco Secure PIX 525防火牆支持各種網路接口卡(NIC)。標準NIC包括單連線埠或4連線埠10/100快速乙太網、千兆位乙太網、4/16令牌環和雙連線多模FDDI卡。
另外,PIX 525還提供多種電源選件,用戶可以選擇交流或48V直流電源。每一種選件都配有為第二個"故障切換"PIX系統準備的成對兒產品,從而實現最高的冗餘和高可用性。
主要特性和優點
Cisco端到端解決方案的組成部分 - 允許各公司將經濟高效、無縫的網路基礎設施擴展到分支機構。
最低的擁有成本 - 安裝、配置簡單,網路中斷時間更少。另外,允許透明地支持Internet多媒體套用,不再需要實際調整和重新配置每一台客戶工作站或PC機。
非UNIX的安全、實時和嵌入式系統 - 消除了通用作業系統所帶來的風險,提供了突出的性能。
基於標準的虛擬專網 - 使管理員可以降低通過Internet或其它公共IP網路將移動用戶和遠程站點與企業網路相連的成本。
自適應安全算法 - 為所有的TCP/IP對話提供靜態安全性,以保護敏感的保密資源。
靜態故障切換/熱備用 - 提供高可用性,使網路可靠性最大。
網路地址轉換(NAT)-- 節省寶貴的IP位址;擴展網路地址空間;隱藏IP位址,使之不被外部得到。
截斷通過代理 - 提供業界最高的認證性能;通過重新使用現有認證資料庫降低擁有成本。
多種網路接口卡 - 為Web和所有其它的公共訪問伺服器、與不同合作夥伴的多種外部網鏈路、得到保護的記錄和URL過濾伺服器提供強大的安全性。
支持多達28萬個同時連線 - 部署很少的防火牆就能極大地提高代理伺服器的性能。
防止拒絕服務攻擊 - 保護防火牆及其後面的伺服器和客戶機不受破壞性的黑客攻擊。
支持各種套用 - 全面降低防火牆對網路用戶的影響。
Java Applet過濾 - 使防火牆可以在每個客戶機或每個IP位址上終止具有潛在危險的Java套用。
支持多媒體套用 - 降低了支持這些協定所需要的管理時間和成本。無需特殊的客戶機配置。
設定簡單 - 只需6條命令就能實現一般的安全策略。
緊湊設計 - 可以更加容易地部署在桌面或更小的辦公設定中。
URL過濾 - 當與websense企業軟體配合使用時,可以提供控制哪些Web站點的用戶可以出於計費的目的來訪問和維護審計跟蹤數據的能力。對PIX防火牆性能的影響最小。
郵件保護 - 不再需要外部郵件在外圍網路中轉發,也防止了外部郵件轉發過程中的拒絕服務攻擊。
技術規範
硬體
處理器:600MHz Intel Pentium III
隨機讀寫記憶體:高達256 MB
快閃記憶體:16 MB
接口:雙集成10 Base-T快速乙太網,RJ45
PCI插槽:3個
控制台連線埠:RJ-45
設備更新處理:僅使用小型檔案傳輸協定(TFTP)
故障切換連線埠:DB-15(RS 232)
限制軟體
包含有限軟體許可證的PIX 525提供了入門級的企業安全和性能。525-R包括128MB的RAM,能夠使用多達6個10/100快速乙太網接口。
無限制軟體
包含有無限制許可證的PIX 525是為大型企業而設計,能夠提供所有PIX 525-R的功能。另外,525-UR還增加了靜態切換到備用PIX防火牆的能力,支持並又增加了兩個(總共8個)10/100快速乙太網連線埠。它具備足夠的能力來處理28萬同時連線,純文本吞吐量高達370 Mbps。
Cisco Secure PIX 525防火牆的定價和部件號
PIX-525-R-BUN PIX 525有限捆綁(機箱、有限軟體、2個10/100連線埠)
PIX-525-UR-BUN PIX 525無限捆綁(機箱、無限軟體、2個10/100連線埠)
PIX-525-FO-BUN PIX 525故障切換捆綁(機箱、故障切換軟體、2個10/100連線埠)
PIX-PL2 專用鏈路2 DES,僅適用於加密加速卡
PIX-1FE 1個10/100 Mbps乙太網接口,RJ45
PIX-4FE 4連線埠10/100 Mbps乙太網接口,RJ45
PIX-1GE 用於PIX防火牆的單千兆位乙太網接口
PIX-1TR 1個4/16 Mbps令牌環接口
PIX-FDDI 用於PIX防火牆的FDDI接口
PIX-VPN-DES 用於PIX防火牆的56位DES IPsec軟體許可證
PIX-VPN-3DES 用於PIX防火牆的168位3DES IPsec軟體許可證