思科PIX501防火墻測試報告

2019-11-04 23:38:56

字體：大中小

來源：轉載

供稿：網友

　　　日前，筆者有幸對思科PIX 501進行了實際測試。在拿到思科PIX 501時，我們立即被它的小巧吸引住了，用尺子一量，它的大小為16.20cm(長)×14.10cm(寬)×2.70cm(高)，比手掌大不了多少。在贊嘆之余，一個疑問也浮上了我們的心頭：這么小的個頭，PIX 501能有多大能量？
　　
　　　　功能：麻雀雖小，五臟俱全
　　
　　　　從外觀上看，PIX 501的前面板設有電源、VPN通道以及各個端口的狀態指示燈，后面板設有一個RS-232控制臺端口、一個集成化10Base-T外接端口和四個10/100M內接端口，如下圖所示。其中，四端口10/100M交換機為中小企業的多臺計算機共享一個寬帶連接提供了簡便方法。通過一系列的功能測試，PIX 501向我們展示了其出色功能。
　　　思科PIX501防火墻測試報告

　　　思科各種類型防火墻在性能表現上會有所差別，但在軟件功能上則完全一樣。換句話說，PIX501所使用的軟件與思科高端防火墻是相同的，用戶購買了PIX 501就擁有了思科高端防火墻的強大功能。
　　
　　　　治理性 PIX 501給我們的第一個印象是易于治理。PIX設備治理器（PDM)提供了一個直觀的、基于GUI的界面，方便配置和監控PIX 501，并且不需要我們在治理端計算機上安裝任何軟件。PDM與防火墻之間的通信采用SSL方式，即在瀏覽器中使用HTTPS訪問防火墻，加強了通信的安全性。圖形化的PDM簡化了防火墻的配置，同時還可以將CPU、內存利用率、建立連接數、端口及VPN等信息，以曲線形式直觀地展現給我們。我們可以利用PIX 501所提供的命令行界面，通過多種方式對PIX 501進行遠程配置、監控和診斷。PIX501具有中心發布功能，可以自動將對多個防火墻進行遠程更新。通過Cisco VPN/安全治理解決方案中提供的Cisco安全策略治理器3.0或防火墻治理中心，我們可以對多臺PIX 501防火墻進行遠程治理。
　　
　　　　安全性 PIX 501防火墻是一種針對特定需求而設計的安全設備，具有狀態監測、虛擬專用網（VPN）和入侵檢測等多項安全功能。PIX 501狀態監測技術可以跟蹤所有經過授權的用戶的網絡請求，防止未經授權的網絡訪問。PIX 501防火墻帶有簡單的IDS功能，也可以與思科IDS聯動，表現出靈活的訪問控制能力。它具有per-user ACL功能，通過與RADIUS或TACACS認證的結合實現針對每個用戶的訪問控制。我們還可以對經過防火墻的網絡流量實施定制的策略。PIX 501集成一個加密鎖插槽，我們可以利用一個標準的筆記本加密電纜鎖確保PIX 501的物理安全。
　　
　　　　支持VPN PIX 501支持IKE和ipSec VPN標準，確保數據的完整性，提供通過互聯網對遠程網絡進行身份認證的功能，支持56位DES和168位3DES數據加密，以確保數據的安全性。通過PDM中的VPN Wizard，我們可以對PIX VPN進行配置。
　　
　　　　支持DHCP 作為DHCP服務器端，PIX 501可以為防火墻內部網絡上的設備提供IP地址；作為DHCP客戶端，PIX 501能夠自動從電信服務供給商那里獲取防火墻對外接口的IP地址，同時可以將獲得的動態IP進行地址轉換，這一功能方便了使用寬帶上網的用戶，也有助于分支機構之間實現VPN功能。PIX 501支持PPPoE，這一點非常適用于以ADSL方式上網的中小型企業用戶。PIX 501支持多播，用戶可以通過PIX 501進行視頻轉播。PIX 501支持IP電話，事實上，我們的一些功能測試都是通過IP電話進行的。
　　
　　　　思科為PIX 501提供了強大的在線支持，網站提供了詳盡文檔。此外，PIX 501可以與領先的第三方解決方案集成，支持多種Cisco AVVID合作伙伴解決方案（語音、視頻和綜合數據架構），這些方案可以提供URL、內容過濾和病毒檢測等功能。
　　
　　　　性能：指標過硬，攻擊知難而退
　　
　　　　在測試中，我們使用的測試儀器是思博倫通信公司的SmartBits 6000B。控制臺使用一臺配置為PIII 1GHz/128M內存/20G硬盤的惠普臺式機。在測試防火墻性能時，使用SmartBits 6000B的10/100M Ethernet SmartMetrics模塊的兩個10/100Base-TX端口，將其分別與防火墻的內外網口直連，如圖一所示。測試防火墻防攻擊能力時，使用SmartBits 6000B的10/100M Ethernet SmartMetrics模塊的4個10/100Base-TX端口，分別連接到港灣Hammer24交換機上（該交換機經過我們測試能夠達到線速），防火墻的內外網口也連接到交換機上，如圖二所示。測試軟件為SmartFlow 1.50和WebSuite Firewall 1.10。
　　　思科PIX501防火墻測試報告

　　圖1
　　　

　　圖2
　　　　思科PIX 501測試環境
　　
　　　　整體性能 PIX 501的性能表現給我們留下了兩點深刻印象：一是高性能，在64字節情況下PIX 501雙向吞吐量能夠達到近60％確實給了我們一個不小的震動，這樣的吞吐量能力完全能夠勝任中小企業用戶的帶寬需求。同時，3500個并發連接數對于應付中小企業的Web請求也綽綽有余；二是穩定性，對于承擔眾多網絡應用的防火墻來說，每次測試得到的結果上下有10％的波動都是屬于正常的情況，而我們發現PIX 501的性能表現十分穩定，三次測試結果上下浮動不超過2%，有些項目三次測試結果甚至完全一樣。
　　
　　　　防攻擊能力 PIX 501表現出了非同一般的防攻擊能力。事實上，在我們測試過的所有的防火墻中，包括百兆和千兆的防火墻，PIX501的防攻擊能力是非常出色的。在我們進行的7項抗DoS攻擊測試中，PIX501都能做到很好防護，同時背景流都能正常建立。其中有六種攻擊（Smurf、Land-based、Ping Sweep、Ping Flood、Ping of Death和TearDrop），防火墻沒有漏過一個攻擊包，在測試SynFlood攻擊時，我們把初始半開連接閾限值設為1（最小值只能設為1），結果是只有一個攻擊包透過防火墻，這已經使SynFlood攻擊徹底失去了意義。PIX 501近乎完美的表現使我們深深感受到了這個小巧身材里所蘊含的巨大能量。
　　思科PIX501防火墻測試報告

　　
　　測試點評：
　　
　　　　對于中小企業用戶和大型用戶的分支機構來說，在選擇防火墻時應該權衡好性能和功能之間的平衡。由于這部分用戶的網絡流量不大，在保證足夠的性能指標的前提下，防火墻產品應該提供盡量豐富的功能。從這一點出發，目前的百兆、千兆防火墻并不能完全適合中小企業和大型用戶分支機構的需求。通過測試，我們發現思科PIX 501具有即插即用的特點，并且將安全功能、聯網功能和遠程治理功能集成在一起，可以說是一款專門為中小企業用戶和大型用戶的分支機構量身設計的防火墻解決方案。

上一篇：cisco6509 CatOS轉為Native IOS過程實錄

下一篇：用戶需求驅動 ——思科商業市場布新局