ASA与PIX的区别

很多年来,Cisco PIX一直都是Cisco确定的防火墙。但是在2005年5月,Cisco推出了一个新的产品——适应性安全产品(ASA,Adaptive Security Appliance)。不过,PIX还依旧可用。我已听到很多人在多次询问这两个产品线之间的差异到底是什么。让我们来看一看。 
Cisco PIX是什么? 
Cisco PIX是一种专用的硬件防火墙。所有版本的Cisco PIX都有500系列的产品号码。最常见的家用和小型网络用产品是PIX 501;而许多中型企业则使用PIX 515作为企业防火墙。 
PIX防火墙使用PIX操作系统。虽然PIX操作系统和Cisco IOS看起来非常的接近,但是对那些非常熟悉IOS的用户来说,还是有足够的差异性弄得他们头昏脑胀。 
PIX系列的防火墙使用PDM(PIX设备管理器,PIX Device Manager)作为图形接口。该图形界面系统是一个通过网页浏览器下载的Java程序。 
一般情况下,一台PIX防火墙有个外向接口,用来连到一台Internet路由器中,这台路由器再连到Internet上。同时,PIX也有一个内向接口,用来连到一台局域网交换机上,该交换机连入内部网络。 
Cisco ASA是什么? 
而ASA是Cisco系列中全新的防火墙和反恶意软件安全用具。(不要把这个产品和用于静态数据包过滤的PIX搞混了) 
ASA系列产品都是5500系列。企业版包括4种:Firewall,IPS,Anti-X,以及VPN.而对小型和中型公司来说,还有商业版本。 
总体来说,Cisco一共有5种型号。所有型号均使用ASA 7.2.2版本的软件,接口也非常近似Cisco PIX.Cisco PIX和ASA在性能方面有很大的差异,但是,即使是ASA最低的型号,其所提供的性能也比基础的PIX高得多。 
和PIX类似,ASA也提供诸如入侵防护系统(IPS,intrusion prevention system),以及VPN集中器。实际上,ASA可以取代三种独立设备——Cisco PIX防火墙,Cisco VPN 3000系列集中器,以及Cisco IPS 4000系列传感器。 
现在,我们已经看过了两种安全工具各自的基本情况,下面我们来看看他们互相比较的结果。 
PIX对ASA 
虽然PIX是一款非常优秀的防火墙,但是安全方面的情况却在日新月异。仅仅使用一台静态数据包过滤防火墙来对你的网络进行保护已远远不够了。对网络而言,新的威胁层出不穷——包括病毒,蠕虫,多余软件(比如P2P软件,游戏,即时通讯软件),网络欺诈,以及应用程序层面的攻击等等。 
如果一台设备可以应付多种威胁,我们就称其提供了“anti-X”能力,或者说它提供了“多重威胁(multi-threat)”防护。但PIX恰恰无法提供这种层次的防护。 
绝大多数公司不希望采用安装一台PIX进行静态防火墙过滤,同时再使用一些其他的工具来防护其他威胁的办法。他们更希望采用一台“集所有功能于一身”的设备——或是采用一台UTM(统一威胁管理)设备。 
而ASA恰好针对这些不同类型的攻击提供了防护。它甚至比一台UTM设备更厉害——不过,要成为一台真正的UTM,它还需要装一个CSC-SSM模块(CSC-SSM,内容安全以及控制安全服务,Content Security and Control Security Service)才行。该模块在ASA中提供anti-X功能。如果没有CSC-SSM,那ASA的功能看起来会更像一台PIX. 
那么,到底哪一个才适合你的企业呢?正如我们通常所说的,这要看你企业的需求而定。不过,我还是倾向于优先选择ASA,而后才是PIX.首先,一台ASA的价格要比同样功能的PIX要低。除去成本的原因不谈,至少从逻辑上来说,选择ASA就意味着选择了更新更好的技术。 
对于那些已经在使用Cisco PIX的人来说,Cisco已经提供了一个迁移指南,以解决如何从Cisco PIX迁移到ASA上的问题。就我观点而言,我觉得这起码预示了一点,就是Cisco终止PIX的日子正离我们越来越近。虽然Cisco公司尚未明确宣布这一点,但是我认为这只是一个时间问题罢了。  
 
ASA和PIX完全对比

(1)ASA全新硬件设计,同等档次下,实际性能比PIX高。所使用的软件版本区别不大,配置命 令一样。

(2)ASA共有四个版本,即anti-x,vpn,ips,firewall,Cisco ASA 5500系列自适应安全设备本身是一个模块化平台,可以提供IPS/Antix/VPN功能,这三个版本是为了您不同的需求量身定制的。因此,当您的企业 需要应用安全和入侵防御服务,保护业务关键服务和基础设施免遭蠕虫、黑客和其他威胁的影响,建议配置IPS版。当你想帮助客户端系统抵御病毒、间谍软件和 泄密等恶意的网站威胁和基于内容的威胁时,建议配置AntiX版。当您的目的是使远程用户可安全访问内部网络系统和服务,支持用于大型企业部署的VPN集 群时,建议配置VPN版本。同时,这三个版本都具备firewall功能和IP sec VPN功能。

(3) 同时,ASA系列本身是一个"ALL IN ONE"的设备。其中5510/5520/5540只具备一个插槽,5550无额外插槽。ASA最基本的功能就是Firewall功能,vpn功能。注 意,缺省状态下有2个SSL VPN license,如需更多则需要购买license。ASA本身有两种功能性模块,就是AIP 和 CSC。因为5510/20/40系列本身只有一个插槽,因此我们只能插入AIP模块或者CSC模块。但本身ASA内置就已经具备了IPS功能和防病毒功 能,只不过他们是soft实现的。因此,这四个功能是可以集成到一台ASA上的。

(4) ASA的四种版本是思科专门为满足不同需求定制的。ASA硬件设计是一致的,都采用了AIM框架(Adaptive Identification and Mitigation Services Architecture ),核心是采用了模块化设计。所以防火墙是核心功能,而IPS、Anti-X模块化设计,卡上有相对独立的CUP和内存,所以多功能集成但性能不会下降。 可以根据需要自己选择功能卡。

思科ASA 高级检测和防御(AIP)模块简介
为Cisco ASA 5500 系列自适应安全设备开发的思科®高级检测和防御安全服务模块(AIP-SSM)能够主动提供全特性入侵防御服务,在网络受到影响之前就及 时阻止恶意流量,包括蠕虫和网络病毒。

AIP-SSM入侵防御服务
利用Cisco IPS Sensor Software 5.x,Cisco AIP-SSM 能够将线内防御服务与创新技术结合在一起,提高准确性。客户可以放心地使用入侵防御系统(IPS)解决方案提供的有效保护,而无需担心合法流量会被丢弃。 如果部署在Cisco ASA 5500 系列设备内,AIP-SSM 将能够与其它网络安全资源配合在一起,对网络提供主动、全面的保护。

由 于Cisco AIP-SSM 采用了以下技术,因而能使用户更加放心地抵御各种威胁:

准确的在线防御技术--既能积 极预防各种威胁,又不会丢弃合法流量。这种独特的技术能够对数据进行智能、自动、关联分析,以保证客户能充分发挥入侵防御解决方案的优势。 
多种 威胁识别--通过L2到L7的详细流量检测,防止用户违背网络策略、盗用各种漏洞并执行异常操作。 
独特网络协作--通过网络协作提高可扩展性和 永续性,包括有效的流量捕获技术、负载均衡功能以及对加密流量的可视性。 
强大的管理、事件关联和支持服务--提供完整的解决方案,包括配置、管 理、数据关联和高级支持服务。对于网络级入侵防御解决方案,思科安全监控、分析和响应系统(Cisco Security MARS)能够发现、隔离和准确删除恶意组件。利用思科意外控制系统(ICS),由于网络能够快速适应和提供分布式响应,因而能有效防止新的蠕虫和病毒发 作。

如果结合在一起,这些组件能够提供全面的线内防御解决方案,使客户能够放心地检测和阻止各种恶意流量,以保证业务 连续性不受影响。

Cisco ASA 内容安全和控制(CSC)安全服务模块简介

Cisco ASA 5500系列内容安全和控制安全服务模块(CSC-SSM)能够在互联网边缘提供业内领先的威胁防御和内容控制,通过业内领先厂商提供的易于管理的全面解 决方案,提供全面的防病毒、防间谍软件、文件级病毒、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。CSC-SSM 增强了Cisco ASA 5500 系列的安全功能,使客户能够进一步加强对业务通信内容的保护和控制。借助思科屡获大奖的Cisco ASA 5500 系列设备的功能和部署,服务模块能够进一步提高用户选择灵活性。

主要业务因素
通过以下组件,Cisco ASA 5500 系列CSC-SSM 能够帮助企业更加有效地保护其网络,提高网络可用性和员工生产率:

全面安全防护 --CSC-SSM采用了Trend Micro 屡获大奖的防病毒和防间谍软件技术,几乎能够防止所有已知恶意代码进入网络并传播,从而防止关键业务应用和服务中断,防止重要系统和人员停止工作,并减少 系统受感染之后需要进行的昂贵的清理负担。 
高级内容过滤--将URL、内容过滤和防诱骗技术集成在一起,防止企业和个人的保密信息被盗,减少因 违背网络使用策略而需要承担的法律责任,另外,它还能帮助企业遵从网络内容法律,例如健康保险便利及责任法案(HIPAA)、Sarbanes- Oxley(SOX)和数据保护法。 
集成式消息安全性--将防垃圾邮件技术集成在一起,阻止大量不需要的电子邮件进入邮件服务器,提高员工生产 率,防止宝贵的网络带宽和存储资源被浪费。 
定制和调试功能--使管理员能够定制对垃圾邮件和内容功能的控制,以满足特殊公司策略或网络环境的要 求。 
易于管理和自动更新功能--提供智能默认设置,以及与ASA-5500 Adaptive Security Device Manager(ASDM)集成在一起的直观界面,以简化初始配置、部署和后续运作。可自动更新所有CSC-SSM组件,包括扫描引擎和样式文件,保证网 络只需少量管理就能随时阻止最新威胁。

总之,ASA系列产品主要是为了简化网络配置,提高网络性能CISCO所推出的新产品,在将来替 代PIX和VPN集中器等产品,并对IPS和反病毒实现了模块化支持.在一个产品中实现多个功能,性能并不会下降

时间: 2024-11-10 12:24:31

ASA与PIX的区别的相关文章

ASA不同level接口的访问

不同Level接口的NAT访问 Problem Description You config policy nat in ASA but failed. your config: nat (vpnnetwork) 3 access-list CenteneWeb-acl global (inside) 3 172.21.106.21 interface vpnnetwork security level:60 interface inside security level:100 Trouble

Linux面试题目(一)

第一次发帖,整理了一下Linux题目,答案不是标准的,欢迎讨论,进入各自理想的公司! 1.简述Apache两种工作模式,以及它们之间的区别.答:(1)prefork MPM使用多个子进程,每个子进程只有一个线程来处理一个http请求,直到这个TCP连接被释放.root主进程在最初建立startserver个子进程后,等待1秒钟,创建2个进程,再等待1秒钟,再创建4个进程,直到满足最小空闲进程的数量,这就是预派生的由来.这种模式可以不必在请求到来时再产生新的进程,从而提高了访问效率. (2)wor

Linux系统资料

Linux的心得: 1)Linux由众多微内核组成,其源代码完全开源: 2)Linux继承了Unix的特性,具有非常强大的网络功能,其支持所有的因特网协议,包括TCP/IPv4. TCP/IPv6和链路层拓扑程序等,且可以利用Unix的网络特性开发出新的协议栈: 3)Linux系统工具链完整,简单操作就可以配置出合适的开发环境,可以简化开发过程,减少开发中仿真工具的障碍,使系统具有较强的移植性. Linux的发展史: Linux操作系统的诞生.发展和成长过程始终依赖着五个重要支柱:Unix操作系

[原创翻译]PIX/ASA的数据包捕获

使用指南 启用数据包捕获, 要在一个接口上附带接口选项关键字来捕获.捕获多个接口需要多个捕获语句.数据包必须通过以太网和访问列表过滤之后数据包才能存储在捕获缓冲区. 有用的捕获命令: no capture 命令并附带 access-list 或 interface 可选关键字将清除相应的捕获. no capture 而不带可选关键字将删除捕获. 如果指定 access-list 可选关键字,将从捕获中删除访问列表并保留捕获.如果指定 interface 关键字,将从指定的接口分离捕获并保留捕获.

PIX或者ASA防火墙开放内网连接外网VPN权限

声明 作者:昨夜星辰 博客:http://yestreenstars.blog.51cto.com/ 本文由本人创作,如需转载,请注明出处,谢谢合作! 目的 修改配置文件使内网能够使用PPTP或者L2TP连接VPN服务器. 环境 默认的PIX或者ASA防火墙都是禁止内网使用PPTP或者L2TP连接的,我们必须手动开启才能使用. 防火墙配置 进入全局配置模式(configure terminal): 依次输入policy-map global_policy.class inspection_def

ASA/PIX防火墙的NAT配置

1.配置一个公网地址池的NAT转换 nat (inside) 1 10.0.0.0 255.255.255.0 global (outside) 1 222.172.200.20-222.172.200.30  //这个命令可能无法用?和tab键不全,不过不用管,照着输完即可. 或者 global (outside) 1 222.172.200.20 2.公网只有1个固定IP的NAT转换 nat (inside) 1 10.0.0.0 255.255.255.0 global (outside)

27.思科防火墙(ASA)

防火墙分软件防火墙与硬件防火墙. v 软件防火墙:运行在IOS系统之上的一个应用,通过应用指定出入网规则. v 硬件防火墙:功能更强大,漏洞少,状态化. 状态化可以理解为当用户通过该防火墙连接,那么防火墙会在本地生成一张连接表,当下次再来连接直接允许或拒绝.更快的通过防火墙,省去了一条一条查规则过的繁琐过程. ASA是思科的防火墙产品,它是一台状态化防火墙. 默认情况下,ASA对TCP.UDP协议提供状态化连接,但ICMP是非状态化,不缓存. ASA安全优先:状态换>ACL访问控制>默认策略.

如何在ASA防火墙上实现ipsec vpn

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 本文章介绍三个部分内容: ①ipsec vpn故障排查 ②如何在ASA防火墙上配置ipsec VPN ③防火墙与路由器配置ipsec VPN的区别 说明:在ASA防火墙配置ipsec VPN与路由器的差别不是很大,而且原理相同,就是个别命令不一样. 一.ipsec VPN故障排查 1.show crypto isakmp sa命令 通过这

cisco PIX防火墙 基本命令配置及详解

企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色.防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络.设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理. 在众多的企业级主流防火墙中,Cisco PIX防火墙是所有同类产品性能最好的一种.Cisco PIX系列防火墙目前有5种型号PIX506,515,520,525,535.其中PIX535是PIX