思科公司PIX防火墻產品一覽

PIX 501 產品要點和應用環境

應用環境

Cisco PIX 501防火墻可以通過一個可靠的、即插即用的安全設備為小型辦公室和遠程辦工人員提供企業級的安全性。Cisco PIX 501防火墻是市場領先的Cisco PIX防火墻系列的一部分，可以通過一個緊湊的、整合的解決方案提供強大的安全功能、小型辦公室聯網功能和強大的遠程治理功能，尤其適用于保障高速的、"永續運行的"寬帶環境的安全。

通過提供各種與Cisco高端千兆PIX防火墻相同的安全功能，PIX 501可以通過便于使用和部署的解決方案提供所有寬帶用戶非常需要的豐富的保護功能。

簡便的、高速的小型辦公室聯網

Cisco PIX 501防火墻可以通過其集成化的、高性能四端口10/100Mbps交換機為多個計算機共享一個寬帶連接提供一種方便的方法。而且，Cisco PIX防火墻可以提供網絡地址解析（NAT）和端口地址解析（PAT）等功能，因而可以隱藏您的網絡設備的實際網絡地址。用戶還可以利用PIX中內置的動態主機配置協議（DHCP）服務器獲得即插即用的聯網功能，DHCP服務器在啟動以后可以自動為其管轄的計算機分配網絡地址。Cisco PIX 501防火墻可以提供與大多數寬帶聯網環境無縫集成所必須的各種功能。

強大的遠程治理功能

PIX 501是一個可靠的、便于維護的平臺，可以提供多種配置、監控和診斷方式。PIX治理解決方案的范圍非常廣泛――從一個集成化的、基于Web的治理工具到集中的、基于策略的工具，以及對各種遠程監控協議的支持，例如簡單網絡治理協議（SNMP）和系統日志。

PIX設備治理器（PDM）可以為治理員提供一個直觀的、基于Web的界面，從而使他們可以方便地配置和監控一臺PIX 501，而不需要在治理員的計算機上安裝任何軟件（除了一個標準的Web瀏覽器以外）。

PIX 506E 產品要點和應用環境

Cisco PIX 506E防火墻應用環境

Cisco PIX 506E防火墻是應用極為廣泛的Cisco PIX 506防火墻的增強版本，可以通過一個可靠的、強大的安全設備為遠程辦公室和分支機構提供企業級的安全性。Cisco PIX 506E防火墻是市場領先的Cisco PIX防火墻系列的一部分，可以通過一個經濟有效的、高性能的解決方案提供豐富的安全功能和強大的遠程治理功能，尤其適用于為遠程/分支機構保障互聯網連接。PIX 506E還提供了更很高的3DES VPN性能。

針對遠程辦公室/分支機構環境的企業級安全性

Cisco PIX 506E防火墻是一種針對特定需求而設計的安全設備，可以在單獨的一個設備中提供豐富的安全服務，包括狀態監測防火墻、虛擬專用網（VPN）和入侵防范等。利用思科最新的自適應安全算法（ASA）和PIX操作系統，PIX 506E可以確保其后的所有用戶的安全，并可以幫助他們防范互聯網的潛在威脅。它的功能強大的狀態監測技術可以跟蹤所有經過授權的用戶的網絡請求，防止未經授權的網絡訪問。利用PIX 506E靈活的訪問控制功能，治理員還可以對經過防火墻的網絡流量實施定制的策略。PIX 506E與您的后端企業數據庫無縫集成，因此可以通過直接使用TACACS/RADIUS或間接使用Cisco安全訪問控制服務器（ACS）對外部對網絡資源的訪問進行嚴格的驗證。

Cisco PIX 506E防火墻還可以利用其基于標準的互聯網密鑰交換（IKE）/IP安全（IPSec）VPN功能，確保遠程辦公機構通過互聯網與企業網絡之間進行的所有網絡通信的安全。通過利用56位數據加密標準（DES）或者可選的高級168位三重DES（3DES）加密對數據進行加密，當您的敏感企業數據安全地在互聯網中傳輸時，別人將無法窺探到它們。

PIX 506E的集成化的入侵防范功能可以防止您的網絡受到各種常見的攻擊。通過查找超過55種不同的攻擊"簽名"，PIX可以嚴格檢測各種攻擊，并可以實時地阻截它們或者向您發出通知。

強大的遠程治理功能

Cisco PIX 506E是一個可靠的、便于維護的平臺，可以提供多種配置、監控和診斷方式。PIX治理解決方案的范圍非常廣泛――從一個集成化的、基于Web的治理工具到集中的、基于策略的工具，以及對各種遠程監控協議的支持，例如簡單網絡治理協議（SNMP）和系統日志。

PIX設備治理器（PDM）可以為治理員提供一個直觀的、基于Web的界面，從而使他們可以方便地配置和監控一臺PIX 506E，而不需要在治理員的計算機上安裝任何軟件（除了一個標準的Web瀏覽器以外）。治理員可以利用PIX 506E所提供的命令行界面（CLI），通過多種方式（包括遠程登陸、安全解釋程序（SSH），以及通過控制端口實現的帶外接入）對PIX 506E進行遠程配置、監控和診斷。

PIX 515E 產品要點和應用環境

Cisco PIX 515E防火墻應用環境

Cisco PIX 515E是被廣泛采用的Cisco PIX 515平臺的增強版本，它可以提供業界領先的狀態防火墻和IP安全（IPSec）虛擬專用網服務。Cisco PIX 515E針對中小型企業和企業遠程辦公機構而設計，具有更強的處理能力和集成化的、基于硬件的IPSec加速功能。

提供更加強大的性能，滿足高吞吐量的安全需求

Cisco PIX 515E多功能的單機架單元（1RU）機箱可以支持六個接口，使之成為那些需要一個具有DMZ支持的、成本低廉的安全解決方案的企業的理想選擇。作為全球領先的Cisco PIX 防火墻系列的一部分，它可以為今天的網絡用戶提供無以倫比的安全性、可靠性和性能。

Cisco PIX 515E是一個針對特定需求而設計的防火墻設備，可以提供前所未有的安全性。它可以與Cisco PIX操作系統（OS）緊密集成，該操作系統是一個專用的、強化的系統，可以消除在通用的操作環境中經常出現的安全漏洞和性能損耗。

該系統的核心是一種基于自適應安全算法（ASA）的保護機制，可以提供針對狀態的、面向連接的防火墻功能，同時阻截常見的拒絕服務（DoS）攻擊。

Cisco PIX 515E還是一個全功能的VPN網關，可以在公共網絡上安全地傳輸數據。它可以通過56位數據加密標準（DES）或者168位三重DES（3DES）支持站點間和遠程接入VPN應用。根據所選擇的Cisco PIX 515E型號的不同，VPN功能可以作為Cisco PIX OS的一項服務提供，也可以通過一個集成的、基于硬件的VPN加速卡（VAC）提供，這種加速卡最多可以提供130Mbps的吞吐量和2000個IPSec隧道。

通過部署一個冗余的熱備份單元可以實現對高可用性的支持。這種故障恢復方式可以通過自動的狀態同步保持并發的連接。這確保了即使在系統發生故障的情況下，進程也會得以保持，而整個切換過程對于網絡用戶來說是完全透明的。

該防火墻目前有多種型號，分別可以提供不同等級的接口密度、故障恢復功能和VPN吞吐量。

有限制的PIX515型號

Cisco PIX 515E"有限制"（PIX 515E-R）型號可以為那些尋求具有最低限度接口密度和VPN吞吐量的、強大的Cisco PIX防火墻的企業提供出色的價值。它具有32MB的RAM，最多可以支持三個10/100快速以太網接口。

無限制的PIX515型號

Cisco PIX 515E的"無限制"（PIX 515E-UR）型號可以通過集成化的、基于硬件的VPN加速支持狀態故障恢復、添加LAN接口和增加VPN吞吐量，從而拓展了這個系列的功能。它具有一個集成化的VAC，64MB的RAM，最多可以支持六個10/100快速以太網接口。Cisco PIX 515E-UR還可以與一個熱備份的Cisco PIX防火墻共享狀態信息，從而能夠實現完全的防火墻冗余。

PIX 525 產品要點和應用環境

Cisco PIX 525防火墻應用環境

Cisco Secure PIX 525防火墻是世界領先的Cisco Secure PIX防火墻系列的組成部分，能夠為當今的網絡客戶提供無與倫比的安全性、可靠性和性能。它所提供的完全防火墻保護以及IP安全（IPsec）虛擬專網（VPN）能力使非凡適合于保護企業總部的邊界。

強壯的安全特性

Internet的發展為企業、政府和專用網絡帶來了更大的安全風險。現有的解決方案如運行在應用層的基于代理的防火墻具有很多限制條件，包括性能低、需要昂貴的通用平臺、使用開放系統如UNIX時本身具有安全風險等。

而Cisco Secure PIX防火墻能夠提供空前的安全保護能力，它的保護機制的核心是能夠提供面向靜態連接防火墻功能的自適應安全算法（ASA）。靜態安全性雖然比較簡單，但與包過濾相比，功能卻更加強勁；另外，與應用層代理防火墻相比，其性能更高，擴展性更強。ASA可以跟蹤源和目的地址、傳輸控制協議（TCP）序列號、端口號和每個數據包的附加TCP標志。只有存在已確定連接關系的正確的連接時，訪問才被答應通過Cisco Secure PIX防火墻。這樣做，內部和外部的授權用戶就可以透明地訪問企業資源，而同時保護了內部網絡不會受到非授權訪問的侵襲。

另外，實時嵌入式系統還能進一步提高Cisco Secure PIX防火墻系列的安全性。雖然UNIX服務器是廣泛采用公開源代碼的理想開放開發平臺，但通用的操作系統并不能提供最佳的性能和安全性。而專用的Cisco Secure PIX防火墻是為了實現安全、高性能的保護而專門設計。

與IPsec互操作的安全VPN

從傳統上來說，防火墻通過維護所連接網段之間所有連接的靜態控制實現了邊界安全性。目前，越來越多的客戶正在尋求除了提供訪問控制以外，還能提供VPN服務的防火墻。利用VPN，遠程用戶或分布在各地的分支機構能夠以更低的成本安全地訪問企業網，同時，使用Internet訪問可以大大降低與以前的專線或其它專用網絡相關的電信費用。公司就不需要維護大型的Modem池和訪問服務器來處理遠程的撥號用戶，而這些都是需要花費大量資金并且讓治理員頭痛的事情。現在，只需要向ISP進行本地呼叫，用戶就可以通過Internet安全的訪問專用的企業Intranet。

PIX 525實現了在Internet或所有IP網絡上的安全保密通信。它集成了VPN的主要功能 - 隧道、數據加密、安全性和防火墻，能夠提供一種安全、可擴展的平臺來更好、更經濟高效地使用公共數據服務來實現遠程訪問、遠程辦公和外部網連接。525可以同時連接高達4個VPN層，為用戶提供完整的IPsec標準實施方法，其中IPsec保證了保密性、完整性和認證能力。對于安全數據加密，Cisco的IPsec實現方法全部支持56位數據加密標準（DES）和168位三重DES算法以及AES算法。

極端的可靠性

PIX防火墻提供了空前的可靠性，其平均無故障時間（MTBF）超過60000小時。即使是達到了這樣高的水平，那些Internet、Intranet或Extranet連接是企業生命線的企業還是熟悉到了防火墻冗余是一項要害因素。防火墻的每一分鐘停止運行都意味著收入、機會或要害信息的損失。Cisco已經創建了配合PIX 525-UR使用的故障切換捆綁程序，能夠簡單、便宜地滿足上述要求。該程序包為企業提供了非凡設計在故障切換模式下運行的第二個防火墻。

令人驚異的靈活性

Cisco Secure PIX 525防火墻支持各種網絡接口卡（NIC）。標準NIC包括單端口或4端口10/100快速以太網、千兆位以太網、4/16令牌環和雙連接多模FDDI卡。

另外，PIX 525還提供多種電源選件，用戶可以選擇交流或48V直流電源。每一種選件都配有為第二個"故障切換"PIX系統預備的成對兒產品，從而實現最高的冗余和高可用性。

主要特性和優點

• Cisco端到端解決方案的組成部分 - 答應各公司將經濟高效、無縫的網絡基礎設施擴展到分支機構。
  
• 最低的擁有成本 - 安裝、配置簡單，網絡中斷時間更少。另外，答應透明地支持Internet多媒體應用，不再需要實際調整和重新配置每一臺客戶工作站或PC機。
  
• 非UNIX的安全、實時和嵌入式系統 - 消除了通用操作系統所帶來的風險，提供了突出的性能。
  
• 基于標準的虛擬專網 - 使治理員可以降低通過Internet或其它公共IP網絡將移動用戶和遠程站點與企業網絡相連的成本。
  
• 自適應安全算法 - 為所有的TCP/IP對話提供靜態安全性，以保護敏感的保密資源。
  
• 靜態故障切換/熱備用 - 提供高可用性，使網絡可靠性最大。
  
• 網絡地址轉換（NAT）-- 節省寶貴的IP地址；擴展網絡地址空間；隱藏IP地址，使之不被外部得到。
  
• 截斷通過代理 - 提供業界最高的認證性能；通過重新使用現有認證數據庫降低擁有成本。
  
• 多種網絡接口卡 - 為Web和所有其它的公共訪問服務器、與不同合作伙伴的多種外部網鏈路、得到保護的記錄和URL過濾服務器提供強大的安全性。
  
• 支持多達38萬個同時連接 - 部署很少的防火墻就能極大地提高代理服務器的性能。
  
• 防止拒絕服務攻擊 - 保護防火墻及其后面的服務器和客戶機不受破壞性的黑客攻擊。
  
• 支持各種應用 - 全面降低防火墻對網絡用戶的影響。
  
• Java Applet過濾 - 使防火墻可以在每個客戶機或每個IP地址上終止具有潛在危險的Java應用。
  
• 支持多媒體應用 - 降低了支持這些協議所需要的治理時間和成本。無需非凡的客戶機配置。
  
• 設置簡單 - 只需6條命令就能實現一般的安全策略。
  
• 緊湊設計 - 可以更加輕易地部署在桌面或更小的辦公設置中。
  
• URL過濾 - 當與Websense企業軟件配合使用時，可以提供控制哪些Web站點的用戶可以出于計費的目的來訪問和維護審計跟蹤數據的能力。對PIX防火墻性能的影響最小。
  
• 郵件保護 - 不再需要外部郵件在外圍網絡中轉發，也防止了外部郵件轉發過程中的拒絕服務攻擊。

PIX 535 產品要點和應用環境

Cisco Secure PIX防火墻535提供的承載級的性能可以滿足大型企業網絡和服務提供商的需要。作為世界領先的Cisco Secure PIX防火墻系列的組成部分，PIX 535能夠為當今的網絡客戶提供無與倫比的安全性、可靠性和性能。該防火墻將靜態防火墻和IP安全（IPSec）虛擬專網（VPN）功能與千兆位以太網吞吐量靈活地結合在一起。

PIX 535是一種能夠提供空前保護能力的通用防火墻設備。它與PIX操作系統（OS）緊密集成在一起，該操作系統是一種消除了安全漏洞和性能退化開銷的專用固化系統。PIX535防火墻的核心是基于自適應安全算法（ASA）的一種保護機制，它可以提供面向靜態連接的防火墻功能，能夠進行50萬個同時連接，并同時防止常見的拒絕服務（DoS）攻擊。

另外，PIX 535還是一種能夠通過公網安全傳輸數據的全功能VPN網關，它支持使用56位數據加密標準（DES）或168位3DES對VPN應用進行站點到站點和遠程訪問。PIX 535的集成VPN功能可以得到VPN加速卡（VAC）選件的支持，能夠提供495 Mbps的吞吐量和2000個IPSec隧道。

高可用性通過部署一個冗余的熱備用單元來實現，該故障切換選件通過自動靜態同步維護了同時連接。這保證了即使是在系統故障情況下，也能夠維護對話，并且保證切換過程對網絡用戶而言是透明地完成。另外，PIX 535還答應您向交流或直流型號添加可選的冗余、熱插拔電源，使其成為一種真正的容錯安全設備。

PIX535有限軟件版本

包含有限軟件許可的PIX 535配有512MB的RAM，支持多達6個千兆位以太網或10/100快速以太網接口以及一個VAC。

PIX535無限軟件版本

包含無限軟件許可的PIX 535配有1GB的RAM，支持多達8個千兆位以太網或10/100快速以太網接口以及一個VAC。另外，PIX 535-UR還添加了與熱備用PIX共享狀態信息以實現完全防火墻冗余的能力。

技術規格

處理器：1.0 GHz Intel Pentium III
隨機讀寫內存：512 MB或1 GB SDRAM（寄存型PC 133）
閃存：16 MB
高速緩存：256 KB Level 2，1 GHz
系統總線：雙64位，66MHz PCI；單32位，33MHz PCI

環境

工作環境
溫度：-25° -- 131°F（-5° -- 55°C）
相對濕度：5% -- 95%，不冷凝
高度：0到9843英尺（3000米）沖擊：1.14 m/s（45 in/s），1/2正弦輸入
震動：0.41 Grms2（3-500Hz）隨機輸入
噪聲：最大65 dBa

非工作環境
溫度：-13° -- 158°F（-25° -- 70°C）
相對濕度：5% -- 95%，不冷凝
高度：0到15000英尺（4570米）
沖擊：30G
震動：0.41 Grms2（3-500Hz）隨機輸入

電源

輸入（每個電源）
最大輸入電壓：100V - 240V交流或48V直流
額定輸入電壓：100V - 240V交流或48V直流
電流：4 - 2安培
頻率：50 - 60Hz，單相
功率：220W（雙熱插拔）

輸出
穩態功率：135W
最大峰值功率：220W
最大熱耗：750 BTU/小時，滿功率使用（220W）

外形尺寸和重量

高度：5.25英寸（8.89厘米），3機柜單元
寬度：17.5英寸（44.45厘米），標準19英寸機柜安裝
長度：18.25英寸（46.36厘米）
重量（一個電源）：約32磅（14.5公斤）

擴展

PCI總線：9個PCI插槽（4個64位/66MHz，5個32位/33MHz）
隨機讀寫內存：6個DIMM插槽，支持多達6GB的PC133 DRAM（PIX操作系統最大支持1GB）

接口

控制臺端口：RS-232（RJ-45）9600波特率
故障切換端口：RS-232（DB-15）115Kbps（需要Cisco專用電纜）

思科高端防火墻6503/6506/6509 產品要點和應用環境，解決方案應用

Cisco Catalyst®6503/6506/6509高端防火墻是一種高速的、集成化的防火墻，可以提供業界最快的防火墻數據傳輸速率：5Gb的吞吐量，100000CPS，以及一百萬個并發連接。在一個設備中最多可以安裝四個FWSM防火墻模塊，因而每個設備最高可以提供高達20Gb的吞吐量。作為世界領先的Cisco PIX防火墻系列的一部分，6503/6506/6509高端防火墻可以為大型企業和服務供給商提供無以倫比的安全性、可靠性和性能。

6503/6506/6509高端防火墻（FWSM）采用了Cisco PIX技術，并且運行Cisco PIX操作系統（OS）--一個實時的、牢固的嵌入式系統，可以消除安全漏洞，防止各種可能導致性能降低的損耗。這個系統的核心是一種基于自適應安全算法（ASA）的保護機制，它可以提供面向連接的全狀態防火墻功能。利用ASA，FWSM可以根據源地址和目的地地址，隨機的TCP序列號，端口號，以及其他TCP標志，為一個會話流創建一個連接表條目。FWSM可以通過對這些連接表條目實施安全策略，控制所有輸入和輸出的流量。

FWSM集成防火墻模塊

6503/6506/6509高端防火墻是由FWSM防火墻服務模塊安裝在Cisco Catalyst 6500系列交換機或者Cisco 7600互聯網路由器的內部而成，Cat6K的任何端口都可以充當防火墻端口，并且在網絡基礎設施中集成了狀態防火墻安全。對于那些機架空間非常有限的系統來說，這種功能非常重要。Cisco Catalyst 6500 真正成為了那些需要各種智能化服務（例如防火墻接入、入侵檢測、虛擬專用網（VPN））和多層LAN、WAN和MAN交換功能的客戶的首選IP服務交換機。

適應未來需要

6503/6506/6509高端防火墻（FWSM）可以支持5Gb的吞吐量，因而可以提供無以倫比的性能，讓用戶無須對系統進行徹底的升級，就可以滿足未來的要求。在Catalyst 6500中最多可以添加到四個FWSM，以滿足用戶不斷發展的需求。

可靠性

FWSM防火墻模塊建立在Cisco PIX技術的基礎之上，并使用了同一個經過時間檢驗的Cisco PIX操作系統--一個安全的、實時的操作系統。FWSM可以利用行之有效的Cisco PIX技術檢測分組，從而可以在同一個平臺上提供性能和安全的獨特組合。

低廉的整體運營成本

FWSM可以提供所有防火墻中最佳的性能價格比。由于FWSM防火墻模塊是基于Cisco PIX防火墻的，所以培訓和治理成本都很低，而且由于它是集成在Cat6K設備內部的，所以大大減少了需要治理的設備的數量。

易用性

Cisco PIX 設備治理器的直觀的圖形化用戶界面（GUI）可以用于治理和配置FWSM。

6503/6506/6509高端防火墻應用環境

6503/6506/6509高端防火墻部署在企業園區的數據中心的網絡拓撲中。

今天的企業不僅僅需要周邊安全，還需要連接業務伙伴和提供園區安全區域，為企業中的各個部門提供安全服務。6503/6506/6509高端防火墻可以通過讓用戶和治理員以不同的策略在企業中設立安全域，提供一種靈活、經濟、基于性能的解決方案。圖2顯示了一個利用狀態過濾來建立不同的、基于VLAN的安全域的園區部署。

利用6503/6506/6509高端防火墻，用戶可以為不同的VLAN制定相應的策略。

數據中心也需要用狀態防火墻安全解決方案來保護數據，并以盡可能低的成本提供千兆位的性能。 6503/6506/6509高端防火墻可以通過在防火墻中提供最佳的性能價格比，最大限度地提高資本投資效率，讓客戶可以放棄過去那些需要另購防火墻負載均衡設備的、價格昂貴的防火墻產品。

思科IOS路由器防火墻產品及特性

思科公司的IOS路由器均提供強大的安全功能，在集成化要求很高的情況下，采用思科全系列路由器并配備安全功能的IOS軟件也是一個靈活的選擇。

Cisco IOS防火墻軟件薈萃了多種多樣功能強大的安全性功能，包括：

• 基于上下文的訪問控制(CBAC)
  
• 入侵檢測
  
• 身份驗證代理
  
• 拒絕服務檢測與預防
  
• 動態端口映射
  
• Java小應用封鎖
  
• VPN、IPSec加密和QoS支持：
  
• 實時告警
  
• 網絡事務跟蹤記錄
  
• 事件記錄
  
• 防火墻治理
  
• 與Cisco IOS軟件的集成
  
• 基本和高級數據流過濾：
  
• 基于政策的多接口支持
  
• 網絡地址轉換
  
• 基于時間的訪問列表
  
• 對等路由器身份驗證