思科防火墙销售指南之产品篇

思科公司PIX防火墙产品一览

PIX 501 产品要点和应用环境

应用环境

Cisco PIX 501防火墙可以通过一个可靠的、即插即用的安全设备为小型办公室和远程办工人员提供企业级的安全性。Cisco PIX 501防火墙是市场领先的Cisco PIX防火墙系列的一部分，可以通过一个紧凑的、整合的解决方案提供强大的安全功能、小型办公室联网功能和强大的远程治理功能，尤其适用于保障高速的、"永续运行的"宽带环境的安全。

通过提供各种与Cisco高端千兆PIX防火墙相同的安全功能，PIX 501可以通过便于使用和部署的解决方案提供所有宽带用户非常需要的丰富的保护功能。

简便的、高速的小型办公室联网

Cisco PIX 501防火墙可以通过其集成化的、高性能四端口10/100Mbps交换机为多个计算机共享一个宽带连接提供一种方便的方法。而且，Cisco PIX防火墙可以提供网络地址解析（NAT）和端口地址解析（PAT）等功能，因而可以隐藏您的网络设备的实际网络地址。用户还可以利用PIX中内置的动态主机配置协议（DHCP）服务器获得即插即用的联网功能，DHCP服务器在启动以后可以自动为其管辖的计算机分配网络地址。Cisco PIX 501防火墙可以提供与大多数宽带联网环境无缝集成所必须的各种功能。

强大的远程治理功能

PIX 501是一个可靠的、便于维护的平台，可以提供多种配置、监控和诊断方式。PIX治理解决方案的范围非常广泛――从一个集成化的、基于Web的治理工具到集中的、基于策略的工具，以及对各种远程监控协议的支持，例如简单网络治理协议（SNMP）和系统日志。

PIX设备治理器（PDM）可以为治理员提供一个直观的、基于Web的界面，从而使他们可以方便地配置和监控一台PIX 501，而不需要在治理员的计算机上安装任何软件（除了一个标准的Web浏览器以外）。

PIX 506E 产品要点和应用环境

Cisco PIX 506E防火墙应用环境

Cisco PIX 506E防火墙是应用极为广泛的Cisco PIX 506防火墙的增强版本，可以通过一个可靠的、强大的安全设备为远程办公室和分支机构提供企业级的安全性。Cisco PIX 506E防火墙是市场领先的Cisco PIX防火墙系列的一部分，可以通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的远程治理功能，尤其适用于为远程/分支机构保障互联网连接。PIX 506E还提供了更很高的3DES VPN性能。

针对远程办公室/分支机构环境的企业级安全性

Cisco PIX 506E防火墙是一种针对特定需求而设计的安全设备，可以在单独的一个设备中提供丰富的安全服务，包括状态监测防火墙、虚拟专用网（VPN）和入侵防范等。利用思科最新的自适应安全算法（ASA）和PIX操作系统，PIX 506E可以确保其后的所有用户的安全，并可以帮助他们防范互联网的潜在威胁。它的功能强大的状态监测技术可以跟踪所有经过授权的用户的网络请求，防止未经授权的网络访问。利用PIX 506E灵活的访问控制功能，治理员还可以对经过防火墙的网络流量实施定制的策略。PIX 506E与您的后端企业数据库无缝集成，因此可以通过直接使用TACACS/RADIUS或间接使用Cisco安全访问控制服务器（ACS）对外部对网络资源的访问进行严格的验证。

Cisco PIX 506E防火墙还可以利用其基于标准的互联网密钥交换（IKE）/IP安全（IPSec）VPN功能，确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全。通过利用56位数据加密标准（DES）或者可选的高级168位三重DES（3DES）加密对数据进行加密，当您的敏感企业数据安全地在互联网中传输时，别人将无法窥探到它们。

PIX 506E的集成化的入侵防范功能可以防止您的网络受到各种常见的攻击。通过查找超过55种不同的攻击"签名"，PIX可以严格检测各种攻击，并可以实时地阻截它们或者向您发出通知。

强大的远程治理功能

Cisco PIX 506E是一个可靠的、便于维护的平台，可以提供多种配置、监控和诊断方式。PIX治理解决方案的范围非常广泛――从一个集成化的、基于Web的治理工具到集中的、基于策略的工具，以及对各种远程监控协议的支持，例如简单网络治理协议（SNMP）和系统日志。

PIX设备治理器（PDM）可以为治理员提供一个直观的、基于Web的界面，从而使他们可以方便地配置和监控一台PIX 506E，而不需要在治理员的计算机上安装任何软件（除了一个标准的Web浏览器以外）。治理员可以利用PIX 506E所提供的命令行界面（CLI），通过多种方式（包括远程登陆、安全解释程序（SSH），以及通过控制端口实现的带外接入）对PIX 506E进行远程配置、监控和诊断。

PIX 515E 产品要点和应用环境

Cisco PIX 515E防火墙应用环境

Cisco PIX 515E是被广泛采用的Cisco PIX 515平台的增强版本，它可以提供业界领先的状态防火墙和IP安全（IPSec）虚拟专用网服务。Cisco PIX 515E针对中小型企业和企业远程办公机构而设计，具有更强的处理能力和集成化的、基于硬件的IPSec加速功能。

提供更加强大的性能，满足高吞吐量的安全需求

Cisco PIX 515E多功能的单机架单元（1RU）机箱可以支持六个接口，使之成为那些需要一个具有DMZ支持的、成本低廉的安全解决方案的企业的理想选择。作为全球领先的Cisco PIX 防火墙系列的一部分，它可以为今天的网络用户提供无以伦比的安全性、可靠性和性能。

Cisco PIX 515E是一个针对特定需求而设计的防火墙设备，可以提供前所未有的安全性。它可以与Cisco PIX操作系统（OS）紧密集成，该操作系统是一个专用的、强化的系统，可以消除在通用的操作环境中经常出现的安全漏洞和性能损耗。

该系统的核心是一种基于自适应安全算法（ASA）的保护机制，可以提供针对状态的、面向连接的防火墙功能，同时阻截常见的拒绝服务（DoS）攻击。

Cisco PIX 515E还是一个全功能的VPN网关，可以在公共网络上安全地传输数据。它可以通过56位数据加密标准（DES）或者168位三重DES（3DES）支持站点间和远程接入VPN应用。根据所选择的Cisco PIX 515E型号的不同，VPN功能可以作为Cisco PIX OS的一项服务提供，也可以通过一个集成的、基于硬件的VPN加速卡（VAC）提供，这种加速卡最多可以提供130Mbps的吞吐量和2000个IPSec隧道。

通过部署一个冗余的热备份单元可以实现对高可用性的支持。这种故障恢复方式可以通过自动的状态同步保持并发的连接。这确保了即使在系统发生故障的情况下，进程也会得以保持，而整个切换过程对于网络用户来说是完全透明的。

该防火墙目前有多种型号，分别可以提供不同等级的接口密度、故障恢复功能和VPN吞吐量。

有限制的PIX515型号

Cisco PIX 515E"有限制"（PIX 515E-R）型号可以为那些寻求具有最低限度接口密度和VPN吞吐量的、强大的Cisco PIX防火墙的企业提供出色的价值。它具有32MB的RAM，最多可以支持三个10/100快速以太网接口。

无限制的PIX515型号

Cisco PIX 515E的"无限制"（PIX 515E-UR）型号可以通过集成化的、基于硬件的VPN加速支持状态故障恢复、添加LAN接口和增加VPN吞吐量，从而拓展了这个系列的功能。它具有一个集成化的VAC，64MB的RAM，最多可以支持六个10/100快速以太网接口。Cisco PIX 515E-UR还可以与一个热备份的Cisco PIX防火墙共享状态信息，从而能够实现完全的防火墙冗余。

PIX 525 产品要点和应用环境

Cisco PIX 525防火墙应用环境

Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使非凡适合于保护企业总部的边界。

强壮的安全特性

Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件，包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等。

而Cisco Secure PIX防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被答应通过Cisco Secure PIX防火墙。这样做，内部和外部的授权用户就可以透明地访问企业资源，而同时保护了内部网络不会受到非授权访问的侵袭。

另外，实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。而专用的Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。

与IPsec互操作的安全VPN

从传统上来说，防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前，越来越多的客户正在寻求除了提供访问控制以外，还能提供VPN服务的防火墙。利用VPN，远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网，同时，使用Internet访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大型的Modem池和访问服务器来处理远程的拨号用户，而这些都是需要花费大量资金并且让治理员头痛的事情。现在，只需要向ISP进行本地呼叫，用户就可以通过Internet安全的访问专用的企业Intranet。

PIX 525实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层，为用户提供完整的IPsec标准实施方法，其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密，Cisco的IPsec实现方法全部支持56位数据加密标准（DES）和168位三重DES算法以及AES算法。

极端的可靠性

PIX防火墙提供了空前的可靠性，其平均无故障时间（MTBF）超过60000小时。即使是达到了这样高的水平，那些Internet、Intranet或Extranet连接是企业生命线的企业还是熟悉到了防火墙冗余是一项要害因素。防火墙的每一分钟停止运行都意味着收入、机会或要害信息的损失。Cisco已经创建了配合PIX 525-UR使用的故障切换捆绑程序，能够简单、便宜地满足上述要求。该程序包为企业提供了非凡设计在故障切换模式下运行的第二个防火墙。

令人惊异的灵活性

Cisco Secure PIX 525防火墙支持各种网络接口卡（NIC）。标准NIC包括单端口或4端口10/100快速以太网、千兆位以太网、4/16令牌环和双连接多模FDDI卡。

另外，PIX 525还提供多种电源选件，用户可以选择交流或48V直流电源。每一种选件都配有为第二个"故障切换"PIX系统预备的成对儿产品，从而实现最高的冗余和高可用性。

主要特性和优点

• Cisco端到端解决方案的组成部分 - 答应各公司将经济高效、无缝的网络基础设施扩展到分支机构。
  
• 最低的拥有成本 - 安装、配置简单，网络中断时间更少。另外，答应透明地支持Internet多媒体应用，不再需要实际调整和重新配置每一台客户工作站或PC机。
  
• 非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险，提供了突出的性能。
  
• 基于标准的虚拟专网 - 使治理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。
  
• 自适应安全算法 - 为所有的TCP/IP对话提供静态安全性，以保护敏感的保密资源。
  
• 静态故障切换/热备用 - 提供高可用性，使网络可靠性最大。
  
• 网络地址转换（NAT）-- 节省宝贵的IP地址；扩展网络地址空间；隐藏IP地址，使之不被外部得到。
  
• 截断通过代理 - 提供业界最高的认证性能；通过重新使用现有认证数据库降低拥有成本。
  
• 多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。
  
• 支持多达38万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。
  
• 防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。
  
• 支持各种应用 - 全面降低防火墙对网络用户的影响。
  
• Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。
  
• 支持多媒体应用 - 降低了支持这些协议所需要的治理时间和成本。无需非凡的客户机配置。
  
• 设置简单 - 只需6条命令就能实现一般的安全策略。
  
• 紧凑设计 - 可以更加轻易地部署在桌面或更小的办公设置中。
  
• URL过滤 - 当与Websense企业软件配合使用时，可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。
  
• 邮件保护 - 不再需要外部邮件在外围网络中转发，也防止了外部邮件转发过程中的拒绝服务攻击。

PIX 535 产品要点和应用环境

Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分，PIX 535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全（IPSec）虚拟专网（VPN）功能与千兆位以太网吞吐量灵活地结合在一起。

PIX 535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统（OS）紧密集成在一起，该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法（ASA）的一种保护机制，它可以提供面向静态连接的防火墙功能，能够进行50万个同时连接，并同时防止常见的拒绝服务（DoS）攻击。

另外，PIX 535还是一种能够通过公网安全传输数据的全功能VPN网关，它支持使用56位数据加密标准（DES）或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡（VAC）选件的支持，能够提供495 Mbps的吞吐量和2000个IPSec隧道。

高可用性通过部署一个冗余的热备用单元来实现，该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下，也能够维护对话，并且保证切换过程对网络用户而言是透明地完成。另外，PIX 535还答应您向交流或直流型号添加可选的冗余、热插拔电源，使其成为一种真正的容错安全设备。

PIX535有限软件版本

包含有限软件许可的PIX 535配有512MB的RAM，支持多达6个千兆位以太网或10/100快速以太网接口以及一个VAC。

PIX535无限软件版本

包含无限软件许可的PIX 535配有1GB的RAM，支持多达8个千兆位以太网或10/100快速以太网接口以及一个VAC。另外，PIX 535-UR还添加了与热备用PIX共享状态信息以实现完全防火墙冗余的能力。

技术规格

处理器：1.0 GHz Intel Pentium III
随机读写内存：512 MB或1 GB SDRAM（寄存型PC 133）
闪存：16 MB
高速缓存：256 KB Level 2，1 GHz
系统总线：双64位，66MHz PCI；单32位，33MHz PCI

环境

工作环境
温度：-25° -- 131°F（-5° -- 55°C）
相对湿度：5% -- 95%，不冷凝
高度：0到9843英尺（3000米）冲击：1.14 m/s（45 in/s），1/2正弦输入
震动：0.41 Grms2（3-500Hz）随机输入
噪声：最大65 dBa

非工作环境
温度：-13° -- 158°F（-25° -- 70°C）
相对湿度：5% -- 95%，不冷凝
高度：0到15000英尺（4570米）
冲击：30G
震动：0.41 Grms2（3-500Hz）随机输入

电源

输入（每个电源）
最大输入电压：100V - 240V交流或48V直流
额定输入电压：100V - 240V交流或48V直流
电流：4 - 2安培
频率：50 - 60Hz，单相
功率：220W（双热插拔）

输出
稳态功率：135W
最大峰值功率：220W
最大热耗：750 BTU/小时，满功率使用（220W）

外形尺寸和重量

高度：5.25英寸（8.89厘米），3机柜单元
宽度：17.5英寸（44.45厘米），标准19英寸机柜安装
长度：18.25英寸（46.36厘米）
重量（一个电源）：约32磅（14.5公斤）

扩展

PCI总线：9个PCI插槽（4个64位/66MHz，5个32位/33MHz）
随机读写内存：6个DIMM插槽，支持多达6GB的PC133 DRAM（PIX操作系统最大支持1GB）

接口

控制台端口：RS-232（RJ-45）9600波特率
故障切换端口：RS-232（DB-15）115Kbps（需要Cisco专用电缆）

思科高端防火墙6503/6506/6509 产品要点和应用环境，解决方案应用

Cisco Catalyst®6503/6506/6509高端防火墙是一种高速的、集成化的防火墙，可以提供业界最快的防火墙数据传输速率：5Gb的吞吐量，100000CPS，以及一百万个并发连接。在一个设备中最多可以安装四个FWSM防火墙模块，因而每个设备最高可以提供高达20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的一部分，6503/6506/6509高端防火墙可以为大型企业和服务供给商提供无以伦比的安全性、可靠性和性能。

6503/6506/6509高端防火墙（FWSM）采用了Cisco PIX技术，并且运行Cisco PIX操作系统（OS）--一个实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（ASA）的保护机制，它可以提供面向连接的全状态防火墙功能。利用ASA，FWSM可以根据源地址和目的地地址，随机的TCP序列号，端口号，以及其他TCP标志，为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。

FWSM集成防火墙模块

6503/6506/6509高端防火墙是由FWSM防火墙服务模块安装在Cisco Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部而成，Cat6K的任何端口都可以充当防火墙端口，并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说，这种功能非常重要。Cisco Catalyst 6500 真正成为了那些需要各种智能化服务（例如防火墙接入、入侵检测、虚拟专用网（VPN））和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。

适应未来需要

6503/6506/6509高端防火墙（FWSM）可以支持5Gb的吞吐量，因而可以提供无以伦比的性能，让用户无须对系统进行彻底的升级，就可以满足未来的要求。在Catalyst 6500中最多可以添加到四个FWSM，以满足用户不断发展的需求。

可靠性

FWSM防火墙模块建立在Cisco PIX技术的基础之上，并使用了同一个经过时间检验的Cisco PIX操作系统--一个安全的、实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组，从而可以在同一个平台上提供性能和安全的独特组合。

低廉的整体运营成本

FWSM可以提供所有防火墙中最佳的性能价格比。由于FWSM防火墙模块是基于Cisco PIX防火墙的，所以培训和治理成本都很低，而且由于它是集成在Cat6K设备内部的，所以大大减少了需要治理的设备的数量。

易用性

Cisco PIX 设备治理器的直观的图形化用户界面（GUI）可以用于治理和配置FWSM。

6503/6506/6509高端防火墙应用环境

6503/6506/6509高端防火墙部署在企业园区的数据中心的网络拓扑中。

今天的企业不仅仅需要周边安全，还需要连接业务伙伴和提供园区安全区域，为企业中的各个部门提供安全服务。6503/6506/6509高端防火墙可以通过让用户和治理员以不同的策略在企业中设立安全域，提供一种灵活、经济、基于性能的解决方案。图2显示了一个利用状态过滤来建立不同的、基于VLAN的安全域的园区部署。

利用6503/6506/6509高端防火墙，用户可以为不同的VLAN制定相应的策略。

数据中心也需要用状态防火墙安全解决方案来保护数据，并以尽可能低的成本提供千兆位的性能。 6503/6506/6509高端防火墙可以通过在防火墙中提供最佳的性能价格比，最大限度地提高资本投资效率，让客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。

思科IOS路由器防火墙产品及特性

思科公司的IOS路由器均提供强大的安全功能，在集成化要求很高的情况下，采用思科全系列路由器并配备安全功能的IOS软件也是一个灵活的选择。

Cisco IOS防火墙软件荟萃了多种多样功能强大的安全性功能，包括：

• 基于上下文的访问控制(CBAC)
  
• 入侵检测
  
• 身份验证代理
  
• 拒绝服务检测与预防
  
• 动态端口映射
  
• Java小应用封锁
  
• VPN、IPSec加密和QoS支持：
  
• 实时告警
  
• 网络事务跟踪记录
  
• 事件记录
  
• 防火墙治理
  
• 与Cisco IOS软件的集成
  
• 基本和高级数据流过滤：
  
• 基于政策的多接口支持
  
• 网络地址转换
  
• 基于时间的访问列表
  
• 对等路由器身份验证