ASA與PIX的區別

很多年來,Cisco PIX一直都是Cisco確定的防火牆。但是在2005年5月,Cisco推出了一個新的產品——適應性安全產品(ASA,Adaptive Security Appliance)。不過,PIX還依舊可用。我已聽到很多人在多次詢問這兩個產品線之間的差異到底是什麼。讓我們來看一看。
Cisco PIX是什麼?
Cisco PIX是一種專用的硬件防火牆。所有版本的Cisco PIX都有500系列的產品號碼。最常見的家用和小型網絡用產品是PIX 501;而許多中型企業則使用PIX 515作爲企業防火牆。
PIX防火牆使用PIX操作系統。雖然PIX操作系統和Cisco IOS看起來非常的接近,但是對那些非常熟悉IOS的用戶來說,還是有足夠的差異性弄得他們頭昏腦脹。
PIX系列的防火牆使用PDM(PIX設備管理器,PIX Device Manager)作爲圖形接口。該圖形界面系統是一個通過網頁瀏覽器下載的Java程序。
一般情況下,一臺PIX防火牆有個外向接口,用來連到一臺Internet路由器中,這臺路由器再連到Internet上。同時,PIX也有一個內向接口,用來連到一臺局域網交換機上,該交換機連入內部網絡。
Cisco ASA是什麼?
而ASA是Cisco系列中全新的防火牆和反惡意軟件安全用具。(不要把這個產品和用於靜態數據包過濾的PIX搞混了)
ASA系列產品都是5500系列。企業版包括4種:Firewall,IPS,Anti-X,以及×××.而對小型和中型公司來說,還有商業版本。
總體來說,Cisco一共有5種型號。所有型號均使用ASA 7.2.2版本的軟件,接口也非常近似Cisco PIX.Cisco PIX和ASA在性能方面有很大的差異,但是,即使是ASA最低的型號,其所提供的性能也比基礎的PIX高得多。
和PIX類似,ASA也提供諸如***防護系統(IPS,intrusion prevention system),以及×××集中器。實際上,ASA可以取代三種獨立設備——Cisco PIX防火牆,Cisco ××× 3000系列集中器,以及Cisco IPS 4000系列傳感器。
現在,我們已經看過了兩種安全工具各自的基本情況,下面我們來看看他們互相比較的結果。
PIX對ASA
雖然PIX是一款非常優秀的防火牆,但是安全方面的情況卻在日新月異。僅僅使用一臺靜態數據包過濾防火牆來對你的網絡進行保護已遠遠不夠了。對網絡而言,新的威脅層出不窮——包括病毒,蠕蟲,多餘軟件(比如P2P軟件,遊戲,即時通訊軟件),網絡欺詐,以及應用程序層面的***等等。
如果一臺設備可以應付多種威脅,我們就稱其提供了“anti-X”能力,或者說它提供了“多重威脅(multi-threat)”防護。但PIX恰恰無法提供這種層次的防護。
絕大多數公司不希望採用安裝一臺PIX進行靜態防火牆過濾,同時再使用一些其他的工具來防護其他威脅的辦法。他們更希望採用一臺“集所有功能於一身”的設備——或是採用一臺UTM(統一威脅管理)設備。
而ASA恰好針對這些不同類型的***提供了防護。它甚至比一臺UTM設備更厲害——不過,要成爲一臺真正的UTM,它還需要裝一個CSC-SSM模塊(CSC-SSM,內容安全以及控制安全服務,Content Security and Control Security Service)才行。該模塊在ASA中提供anti-X功能。如果沒有CSC-SSM,那ASA的功能看起來會更像一臺PIX.
那麼,到底哪一個才適合你的企業呢?正如我們通常所說的,這要看你企業的需求而定。不過,我還是傾向於優先選擇ASA,而後纔是PIX.首先,一臺ASA的價格要比同樣功能的PIX要低。除去成本的原因不談,至少從邏輯上來說,選擇ASA就意味着選擇了更新更好的技術。
對於那些已經在使用Cisco PIX的人來說,Cisco已經提供了一個遷移指南,以解決如何從Cisco PIX遷移到ASA上的問題。就我觀點而言,我覺得這起碼預示了一點,就是Cisco終止PIX的日子正離我們越來越近。雖然Cisco公司尚未明確宣佈這一點,但是我認爲這只是一個時間問題罷了。 
 
 原文地址 [url]http://hi.baidu.com/switching/blog/item/10464a60c8520f45ebf8f8a2.html[/url] 
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章