Cisco PIX 525防火墙_北京博信众达网络科技有限公司

产品介绍

Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。

Cisco PIX 525防火墙

强壮的安全特性
Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件，包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等。

而Cisco Secure PIX防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过Cisco Secure PIX防火墙。这样做，内部和外部的授权用户就可以透明地访问企业资源，而同时保护了内部网络不会受到非授权访问的侵袭。

另外，实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。而专用的Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。

与IPsec互操作的安全VPN
从传统上来说，防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前，越来越多的客户正在寻求除了提供访问控制以外，还能提供VPN服务的防火墙。利用VPN，远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网，同时，使用Internet访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大型的Modem池和访问服务器来处理远程的拨号用户，而这些都是需要花费大量资金并且让管理员头痛的事情。现在，只需要向ISP进行本地呼叫，用户就可以通过Internet安全的访问专用的企业Intranet。

PIX 525实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层，为用户提供完整的IPsec标准实施方法，其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密，Cisco的IPsec实现方法全部支持56位数据加密标准（DES）和168位三重DES算法。

极端的可靠性
PIX防火墙提供了空前的可靠性，其平均无故障时间（MTBF）超过60000小时。即使是达到了这样高的水平，那些Internet、Intranet或Extranet连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。Cisco已经创建了配合PIX 525-UR使用的故障切换捆绑程序，能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙，而其价格仅是标准PIX 525 UR捆绑件的一小部分。

令人惊奇的灵活性
Cisco Secure PIX 525防火墙支持各种网络接口卡（NIC）。标准NIC包括单端口或4端口10/100快速以太网、千兆位以太网、4/16令牌环和双连接多模FDDI卡。

另外，PIX 525还提供多种电源选件，用户可以选择交流或48V直流电源。每一种选件都配有为第二个"故障切换"PIX系统准备的成对儿产品，从而实现最高的冗余和高可用性。
主要特性和优点

Cisco端到端解决方案的组成部分 - 允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。

最低的拥有成本 - 安装、配置简单，网络中断时间更少。另外，允许透明地支持Internet多媒体应用，不再需要实际调整和重新配置每一台客户工作站或PC机。

非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险，提供了突出的性能。

基于标准的虚拟专网 - 使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。

自适应安全算法 - 为所有的TCP/IP对话提供静态安全性，以保护敏感的保密资源。

静态故障切换/热备用 - 提供高可用性，使网络可靠性最大。

网络地址转换（NAT）-- 节省宝贵的IP地址；扩展网络地址空间；隐藏IP地址，使之不被外部得到。

截断通过代理 - 提供业界最高的认证性能；通过重新使用现有认证数据库降低拥有成本。

多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。

支持多达28万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。

防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。

支持各种应用 - 全面降低防火墙对网络用户的影响。

Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。

支持多媒体应用 - 降低了支持这些协议所需要的管理时间和成本。无需特殊的客户机配置。

设置简单 - 只需6条命令就能实现一般的安全策略。

紧凑设计 - 可以更加容易地部署在桌面或更小的办公设置中。

URL过滤 - 当与Websense企业软件配合使用时，可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。

邮件保护 - 不再需要外部邮件在外围网络中转发，也防止了外部邮件转发过程中的拒绝服务攻击。

技术规范

硬件

处理器：600MHz Intel Pentium III

随机读写内存：高达256 MB

闪存：16 MB

接口：双集成10 Base-T快速以太网，RJ45

PCI插槽：3个

控制台端口：RJ-45

设备更新处理：仅使用小型文件传输协议（TFTP）

故障切换端口：DB-15（RS 232）

限制软件
包含有限软件许可证的PIX 525提供了入门级的企业安全和性能。525-R包括128MB的RAM，能够使用多达6个10/100快速以太网接口。

无限制软件

包含有无限制许可证的PIX 525是为大型企业而设计，能够提供所有PIX 525-R的功能。另外，525-UR还增加了静态切换到备用PIX防火墙的能力，支持并又增加了两个（总共8个）10/100快速以太网端口。它具备足够的能力来处理28万同时连接，纯文本吞吐量高达370 Mbps。


	Cisco Secure PIX 525防火墙的定价和部件号

PIX-525-R-BUN	PIX 525有限捆绑（机箱、有限软件、2个10/100端口）
PIX-525-UR-BUN	PIX 525无限捆绑（机箱、无限软件、2个10/100端口）
PIX-525-FO-BUN	PIX 525故障切换捆绑（机箱、故障切换软件、2个10/100端口）
PIX-PL2	专用链路2 DES，仅适用于加密加速卡
PIX-1FE	1个10/100 Mbps以太网接口，RJ45
PIX-4FE	4端口10/100 Mbps以太网接口，RJ45
PIX-1GE	用于PIX防火墙的单千兆位以太网接口
PIX-1TR	1个4/16 Mbps令牌环接口
PIX-FDDI	用于PIX防火墙的FDDI接口
PIX-VPN-DES	用于PIX防火墙的56位DES IPsec软件许可证
PIX-VPN-3DES	用于PIX防火墙的168位3DES IPsec软件许可证


	思科公司防火墙系列产品特性一览表

	PIX 501	PIX 506E	PIX 515E-UR	PIX 525-UR，支持千兆	PIX 535-UR，支持千兆	FWSM高端防火墙模块
市场	小型办公室家庭办公室	远程办公室	中小型分支机构	大型企业	大型企业＋服务供应商	大型企业＋服务供应商
许可用户个数	10或者50	无限	无限	无限	无限	无限
VPN对等端最大数量	10	25	2000	2000	2000	N/A
RAM（MB）	16	32	64	256	1GB	2GB
最大接口数 (物理＋逻辑)	1个10BT＋4个FE	2个10BaseT	8	10	24	4096
物理接口个数	2个10BaseT 4端口交换机	2个10BaseT	2个10/100＋4个10/100	2个10/100＋6个FE/GE	2个10/100＋8个FE/GE	4096
双向吞吐量（Mbps）	60	100	188	360	1.7GHz	5.5G
3DES （VAC/VAC+）（Mbps）	3	16	130	145	425	N/A
AES-128吞吐量（Mbps）	4.5	30	130	135	495	N/A
AES-256吞吐量（Mbps）	3.4	25	130	135	425	N/A
最大连接数	7,500	25,000	130,000	380,000	500,000	1,000,000
每秒支持的最大连接数	380	700	5,000	7,500	9,400	100,000
是否支持OSPF	是	是	是	是	是	是
支持基于Web的设备管理方式	是	是	是	是	是	是
是否支持简单VPN （easy VPN）	是	是	是	是	是	是
支持虚拟防火墙	否	否	是，7.0版本	是，7.0版本	是，7.0版本	是，2.2版本，支持256个
支持透明防火墙	是，7.0版本	是，7.0版本	是，7.0版本	是，7.0版本	是，7.0版本	是，2.2版本
支持虚拟防火墙资源限制	否	否	是，7.0版本	是，7.0版本	是，7.0版本	是，2.2版本
支持802.1q Trunk	否	否	是	是	是	是
支持FailOver	否	否	是	是	是	是


	思科全系列防火墙详细功能特性列表

产品型号	Cisco PIX 501	Cisco PIX 506E	Cisco PIX 515E	Cisco PIX 525	Cisco PIX 535	Cisco FWSM 高端防火墙
总结
自动升级支持	有	有	有	有	有	有
Easy VPN支持（即向 VPN 客户全面、自动推出策略）	有	有	有	有	有	有
Stub组播路由支持	有	有	有	有	有	有
集成化入侵检则功能	有	有	有	有	有	有
IP语音防火墙支持	有	有	有	有	有	有
PPTP 支持	有	有	有	有	有	有
免费软件 VPN 客户机	有	有	有	有	有	有
免费软件 VPN客户机，带集成化个人防火墙	有	有	有	有	有	有
运行模式－路由/ 交换网桥	有	有	有	有	有	有
第2层（L2）透明模式防火墙	有（7.0)	有（7.0)	有（7.0)	有（7.0)	有（7.0)	有
虚拟防火墙支持	有（7.0)	有（7.0)	有（7.0)	有（7.0)	有（7.0)	有
业界认证
ISCA Firewall	有	有	有	有	有	有
ICSA IPsec	有	有	有	有	有	有
通用标准（EAL4）	无（但正在开发）	无（但正在开发）	无（但正在开发）	无（但正在开发）	无（但正在开发）	无（但正在开发）
FIPS-140 Level 2	无（但正在开发）	无（但正在开发）	无（但正在开发）	无（但正在开发）	无（但正在开发）	无（但正在开发）
硬件信息
外部接口类型	10/100 Base-T	10/100 Base -T	10/100 Base -T	10/100 Base -T， GE	10/100 Base -T，GE	10/100 Base -T，GE, POS, E1, 广域网接口
硬件结构	CPU+ ASIC+ PCI总线结构	CPU+ ASIC+ PCI总线结构	CPU+ ASIC+ PCI总线结构	CPU+ ASIC+ PCI总线结构	CPU+ ASIC+ PCI总线结构	NP(Net work Processpr) 结构
防火墙
防火墙类型	状态检测	状态检测	状态检测	状态检测	状态检测	状态检测
防火墙算法	专用ASA 自适应安全算法	专用ASA 自适应安全算法	专用ASA 自适应安全算法	专用ASA 自适应安全算法	专用ASA 自适应安全算法	专用ASA 自适应安全算法
所支持的预定义服务数（如FTP，SMTP， HTTP等）	108	108	108	108	108	108
容灾容错	有	有	有	有	有	有
对象组支持	有	有	有	有	有	有
支持与入侵检测系统的结合与互动	有	有	有	有	有	有
IP语音（VoIP）防火墙支持
SIP支持	有	有	有	有	有	有
H.323 支持	有	有	有	有	有	有
Skinny 支持	有	有	有	有	有	有
DHCP 选项 66和150 （IP电话/ 软电话自动配置）	有	有	有	有	有	有
入侵保护
所支持的 IDS特征数	59	59	59	59	59	59
对中央 IDS 控制台的报警通知	有	有	有	有	有	有
FTP命令过滤	有	有	有	有	有	有
针对SYN 攻击的保护	有	有	有	有	有	有
针对IP 欺骗的保护	有	有	有	有	有	有
邮件防护	有	有	有	有	有	有
DNS 防护	有	有	有	有	有	有
"防攻击类型 Ping-of- Death Ping- Flooding、 TearDrop UDP- Flooding SYN- Flooding KillWin WinNuke LAND IGMP2 IP碎片源路由端口扫描 IP-Spoofing "	有	有	有	有	有	有
虚拟专用网（VPN）
站点间 VPN支持	有	有	有	有	有	有
所支持的隧道协议	IPsec, PPTP, IPsec/ L2TP	IPsec, PPTP, IPsec/ L2TP	IPsec, PPTP, IPsec /L2TP	IPsec, PPTP, IPsec/ L2TP	IPsec, PPTP, IPsec/ L2TP	IPsec, PPTP, IPsec /L2TP
所支持的加密算法	DES, 3DES, AES	DES, 3DES, AES	DES, 3DES, AES	DES, 3DES, AES	DES, 3DES, AES	DES, 3DES， AES
所支持的散列算法	MD5, SHA-1	MD5, SHA-1	MD5, SHA-1	MD5, SHA-1	MD5, SHA-1	MD5, SHA-1
拆分隧道支持	有	有	有	有	有	有
NAT透明性支持	有	有	有	有	有	有
可作为 VPN 硬件客户端	有	有	有	有	有	有
冗余VPN 头端支持	有	有	有	有	有	有
可作为远程 VPN客户端的 VPN头端	有	有	有	有	有	有
可动态地向远程 VPN客户端推出 VPN策略	有	有	有	有	有	有
支持 X.509 认证	Entrust, VeriSign, Microsoft, Baltimore, RSA Keon	Entrust, VeriSign, Microsoft, Baltimore, RSA Keon	Entrust, VeriSign, Microsoft, Baltimore, RSA Keon	Entrust, VeriSign, Microsoft, Baltimore, RSA Keon	Entrust, VeriSign, Microsoft, Baltimore, RSA Keon	Entrust, VeriSign, Microsoft, Baltimore, RSA Keon
基于 SCEP的X.509 认证注册支持	有	有	有	有	有	有
经由 SCEP 的CRL	有	有	有	有	有	有
QoS支持	有	有	有	有	有	有
动态路由支持	有	有	有	有	有	有
地址管理
DHCP 服务器	有	有	有	有	有	有
DHCP 客户机	有	有	有	有	有	有
DHCP 中继	有	有	有	有	有	有
NAT/PAT 支持	有	有	有	有	有	有
端口重定向	有	有	有	有	有	有
双向NAT	有	有	有	有	有	有
IP/MAC绑定功能	有	有	有	有	有	有
内容过滤
使用外部服务器的 URL过滤（第三方）	有（Web sense 和N2H2 集成）	有（Web sense 和N2H2 集成）	有（Web sense 和N2H2 集成）	有（Web sense 和N2H2 集成）	有（Web sense 和N2H2 集成）	有（ Web sense 和N2H2 集成）
Java阻塞	有	有	有	有	有	有
ActiveX阻塞	有	有	有	有	有	有
用户验证
防火墙上本地定义的用户列表	有	有	有	有	有	有
经由RADIUS 实现的用户列表	有	有	有	有	有	有
经由TACACS/ TACACS ＋实现的用户列表	有	有	有	有	有	有
验证的服务	HTTP, FTP, Telnet, VPN （经由ACS）	HTTP, FTP, Telnet, VPN （经由ACS）	HTTP, FTP, Telnet, VPN （经由ACS）	HTTP, FTP, Telnet, VPN （经由ACS）	HTTP, FTP, Telnet, VPN （经由ACS）	HTTP, FTP, Telnet, VPN （经由ACS）
设备级管理
真正的即插即用（即工厂配置可用于大多数部署）	有	有	有	有	有	有
基于 Web的安全管理	有	有	有	有	有	有
SSH 支持	有	有	有	有	有	有
SNMP 支持	有	有	有	有	有	有
经由图形进行的设备和性能监控	有	有	有	有	有	有
单独管理员帐户数	无限	无限	无限	无限	无限	无限
用于简化部署的全面VPN 向导	有	有	有	有	有	有
用于简化部署的全面防火墙向导	有（包括 ACL配置）	有（包括 ACL配置）	有（包括 ACL配置）	有（包括 ACL配置）	有（包括 ACL配置）	有（包括 ACL配置）
管理员级别数	16，可定制	16，可定制	16，可定制	16，可定制	16，可定制	16，可定制
集中管理
应用名	Cisco Works VMS, PIX MIC	Cisco Works VMS, PIX MIC	Cisco Works VMS, PIX MIC	Cisco Works VMS, PIX MIC	Cisco Works VMS, PIX MIC	Cisco Works VMS, PIX MIC
基于 Web的安全管理	有	有	有	有	有	有
用于配置升级的推/拉自动升级模型	有	有	有	有	有	有
用于软件升级的推/拉自动升级模型	有	有	有	有	有	有
企业级、工作流驱动管理	有	有	有	有	有	有

网络产品

Cisco PIX 525防火墙