很多年来,Cisco PIX一直都是Cisco确定的防火墙。但是在2005年5月,Cisco推出了一个新的产品——适应性安全产品(ASA,Adaptive Security Appliance)。不过,PIX还依旧可用。我已听到很多人在多次询问这两个产品线之间的差异到底是什么。让我们来看一看。
Cisco PIX是什么?
Cisco PIX是一种专用的硬件防火墙。所有版本的Cisco PIX都有500系列的产品号码。最常见的家用和小型网络用产品是PIX 501;而许多中型企业则使用PIX 515作为企业防火墙。
PIX防火墙使用PIX操作系统。虽然PIX操作系统和Cisco IOS看起来非常的接近,但是对那些非常熟悉IOS的用户来说,还是有足够的差异性弄得他们头昏脑胀。
PIX系列的防火墙使用PDM(PIX设备管理器,PIX Device Manager)作为图形接口。该图形界面系统是一个通过网页浏览器下载的Java程序。
一般情况下,一台PIX防火墙有个外向接口,用来连到一台Internet路由器中,这台路由器再连到Internet上。同时,PIX也有一个内向接口,用来连到一台局域网交换机上,该交换机连入内部网络。
Cisco ASA是什么?
而ASA是Cisco系列中全新的防火墙和反恶意软件安全用具。(不要把这个产品和用于静态数据包过滤的PIX搞混了)
ASA系列产品都是5500系列。企业版包括4种:Firewall,IPS,Anti-X,以及VPN.而对小型和中型公司来说,还有商业版本。
总体来说,Cisco一共有5种型号。所有型号均使用ASA 7.2.2版本的软件,接口也非常近似Cisco PIX.Cisco PIX和ASA在性能方面有很大的差异,但是,即使是ASA最低的型号,其所提供的性能也比基础的PIX高得多。
和PIX类似,ASA也提供诸如入侵防护系统(IPS,intrusion prevention system),以及VPN集中器。实际上,ASA可以取代三种独立设备——Cisco PIX防火墙,Cisco VPN 3000系列集中器,以及Cisco IPS 4000系列传感器。
现在,我们已经看过了两种安全工具各自的基本情况,下面我们来看看他们互相比较的结果。
PIX对ASA
虽然PIX是一款非常优秀的防火墙,但是安全方面的情况却在日新月异。仅仅使用一台静态数据包过滤防火墙来对你的网络进行保护已远远不够了。对网络而言,新的威胁层出不穷——包括病毒,蠕虫,多余软件(比如P2P软件,游戏,即时通讯软件),网络欺诈,以及应用程序层面的攻击等等。
如果一台设备可以应付多种威胁,我们就称其提供了“anti-X”能力,或者说它提供了“多重威胁(multi-threat)”防护。但PIX恰恰无法提供这种层次的防护。
绝大多数公司不希望采用安装一台PIX进行静态防火墙过滤,同时再使用一些其他的工具来防护其他威胁的办法。他们更希望采用一台“集所有功能于一身”的设备——或是采用一台UTM(统一威胁管理)设备。
而ASA恰好针对这些不同类型的攻击提供了防护。它甚至比一台UTM设备更厉害——不过,要成为一台真正的UTM,它还需要装一个CSC-SSM模块(CSC-SSM,内容安全以及控制安全服务,Content Security and Control Security Service)才行。该模块在ASA中提供anti-X功能。如果没有CSC-SSM,那ASA的功能看起来会更像一台PIX.
那么,到底哪一个才适合你的企业呢?正如我们通常所说的,这要看你企业的需求而定。不过,我还是倾向于优先选择ASA,而后才是PIX.首先,一台ASA的价格要比同样功能的PIX要低。除去成本的原因不谈,至少从逻辑上来说,选择ASA就意味着选择了更新更好的技术。
对于那些已经在使用Cisco PIX的人来说,Cisco已经提供了一个迁移指南,以解决如何从Cisco PIX迁移到ASA上的问题。就我观点而言,我觉得这起码预示了一点,就是Cisco终止PIX的日子正离我们越来越近。虽然Cisco公司尚未明确宣布这一点,但是我认为这只是一个时间问题罢了。
ASA和PIX完全对比
(1)ASA全新硬件设计,同等档次下,实际性能比PIX高。所使用的软件版本区别不大,配置命 令一样。
(2)ASA共有四个版本,即anti-x,vpn,ips,firewall,Cisco ASA 5500系列自适应安全设备本身是一个模块化平台,可以提供IPS/Antix/VPN功能,这三个版本是为了您不同的需求量身定制的。因此,当您的企业 需要应用安全和入侵防御服务,保护业务关键服务和基础设施免遭蠕虫、黑客和其他威胁的影响,建议配置IPS版。当你想帮助客户端系统抵御病毒、间谍软件和 泄密等恶意的网站威胁和基于内容的威胁时,建议配置AntiX版。当您的目的是使远程用户可安全访问内部网络系统和服务,支持用于大型企业部署的VPN集 群时,建议配置VPN版本。同时,这三个版本都具备firewall功能和IP sec VPN功能。
(3) 同时,ASA系列本身是一个"ALL IN ONE"的设备。其中5510/5520/5540只具备一个插槽,5550无额外插槽。ASA最基本的功能就是Firewall功能,vpn功能。注 意,缺省状态下有2个SSL VPN license,如需更多则需要购买license。ASA本身有两种功能性模块,就是AIP 和 CSC。因为5510/20/40系列本身只有一个插槽,因此我们只能插入AIP模块或者CSC模块。但本身ASA内置就已经具备了IPS功能和防病毒功 能,只不过他们是soft实现的。因此,这四个功能是可以集成到一台ASA上的。
(4) ASA的四种版本是思科专门为满足不同需求定制的。ASA硬件设计是一致的,都采用了AIM框架(Adaptive Identification and Mitigation Services Architecture ),核心是采用了模块化设计。所以防火墙是核心功能,而IPS、Anti-X模块化设计,卡上有相对独立的CUP和内存,所以多功能集成但性能不会下降。 可以根据需要自己选择功能卡。
思科ASA 高级检测和防御(AIP)模块简介
为Cisco ASA 5500 系列自适应安全设备开发的思科®高级检测和防御安全服务模块(AIP-SSM)能够主动提供全特性入侵防御服务,在网络受到影响之前就及 时阻止恶意流量,包括蠕虫和网络病毒。
AIP-SSM入侵防御服务
利用Cisco IPS Sensor Software 5.x,Cisco AIP-SSM 能够将线内防御服务与创新技术结合在一起,提高准确性。客户可以放心地使用入侵防御系统(IPS)解决方案提供的有效保护,而无需担心合法流量会被丢弃。 如果部署在Cisco ASA 5500 系列设备内,AIP-SSM 将能够与其它网络安全资源配合在一起,对网络提供主动、全面的保护。
由 于Cisco AIP-SSM 采用了以下技术,因而能使用户更加放心地抵御各种威胁:
准确的在线防御技术--既能积 极预防各种威胁,又不会丢弃合法流量。这种独特的技术能够对数据进行智能、自动、关联分析,以保证客户能充分发挥入侵防御解决方案的优势。
多种 威胁识别--通过L2到L7的详细流量检测,防止用户违背网络策略、盗用各种漏洞并执行异常操作。
独特网络协作--通过网络协作提高可扩展性和 永续性,包括有效的流量捕获技术、负载均衡功能以及对加密流量的可视性。
强大的管理、事件关联和支持服务--提供完整的解决方案,包括配置、管 理、数据关联和高级支持服务。对于网络级入侵防御解决方案,思科安全监控、分析和响应系统(Cisco Security MARS)能够发现、隔离和准确删除恶意组件。利用思科意外控制系统(ICS),由于网络能够快速适应和提供分布式响应,因而能有效防止新的蠕虫和病毒发 作。
如果结合在一起,这些组件能够提供全面的线内防御解决方案,使客户能够放心地检测和阻止各种恶意流量,以保证业务 连续性不受影响。
Cisco ASA 内容安全和控制(CSC)安全服务模块简介
Cisco ASA 5500系列内容安全和控制安全服务模块(CSC-SSM)能够在互联网边缘提供业内领先的威胁防御和内容控制,通过业内领先厂商提供的易于管理的全面解 决方案,提供全面的防病毒、防间谍软件、文件级病毒、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。CSC-SSM 增强了Cisco ASA 5500 系列的安全功能,使客户能够进一步加强对业务通信内容的保护和控制。借助思科屡获大奖的Cisco ASA 5500 系列设备的功能和部署,服务模块能够进一步提高用户选择灵活性。
主要业务因素
通过以下组件,Cisco ASA 5500 系列CSC-SSM 能够帮助企业更加有效地保护其网络,提高网络可用性和员工生产率:
全面安全防护 --CSC-SSM采用了Trend Micro 屡获大奖的防病毒和防间谍软件技术,几乎能够防止所有已知恶意代码进入网络并传播,从而防止关键业务应用和服务中断,防止重要系统和人员停止工作,并减少 系统受感染之后需要进行的昂贵的清理负担。
高级内容过滤--将URL、内容过滤和防诱骗技术集成在一起,防止企业和个人的保密信息被盗,减少因 违背网络使用策略而需要承担的法律责任,另外,它还能帮助企业遵从网络内容法律,例如健康保险便利及责任法案(HIPAA)、Sarbanes- Oxley(SOX)和数据保护法。
集成式消息安全性--将防垃圾邮件技术集成在一起,阻止大量不需要的电子邮件进入邮件服务器,提高员工生产 率,防止宝贵的网络带宽和存储资源被浪费。
定制和调试功能--使管理员能够定制对垃圾邮件和内容功能的控制,以满足特殊公司策略或网络环境的要 求。
易于管理和自动更新功能--提供智能默认设置,以及与ASA-5500 Adaptive Security Device Manager(ASDM)集成在一起的直观界面,以简化初始配置、部署和后续运作。可自动更新所有CSC-SSM组件,包括扫描引擎和样式文件,保证网 络只需少量管理就能随时阻止最新威胁。
总之,ASA系列产品主要是为了简化网络配置,提高网络性能CISCO所推出的新产品,在将来替 代PIX和VPN集中器等产品,并对IPS和反病毒实现了模块化支持.在一个产品中实现多个功能,性能并不会下降