Cisco防火墙产品.docx

1、Cisco防火墙产品Cisco501防火墙针对小型办公室环境的企业级安全性Cisco PIX 501防火墙是一种针对特定需求而设计的安全设备，可以在单独的一个设备中提供丰富的安全服务，包括状态监测防火墙、虚拟专用网（VPN）和入侵防范等。利用思科最新的自适应安全算法（ASA）和PIX操作系统，PIX 501可以确保其后的所有用户的安全，并可以帮助他们防范互联网的潜在威胁。它的功能强大的状态监测技术可以跟踪所有经过授权的用户的网络请求，防止XX的网络访问。利用PIX 501灵活的访问控制功能，管理员还可以对经过防火墙的网络流量实施定制的策略。Cisco PIX 501防火墙还可以利用其基于标准的

2、互联网密钥交换（IKE）/IP安全（IPSec）VPN功能，确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全。通过利用56位数据加密标准（DES）或者可选的高级168位三重DES（3DES）加密对数据进行加密，当您的敏感企业数据安全地在互联网中传输时，别人将无法窥探到它们。PIX 501的集成化的入侵防范功能可以防止您的网络受到各种常见的攻击。通过查找超过55种不同的攻击签名，PIX可以严格检测各种攻击，并可以实时地阻截它们或者向您发出通知。通过提供各种与Cisco高端千兆PIX防火墙相同的安全功能，PIX 501可以通过便于使用和部署的解决方案提供所有宽带用户非常需要的丰富的

3、保护功能。简便的、高速的小型办公室联网Cisco PIX 501防火墙可以通过其集成化的、高性能四端口10/100Mbps交换机为多个计算机共享一个宽带连接提供一种方便的方法。而且，Cisco PIX防火墙可以提供网络地址解析（NAT）和端口地址解析（PAT）等功能，因而可以隐藏您的网络设备的实际网络地址。用户还可以利用PIX中内置的动态主机配置协议（DHCP）服务器获得即插即用的联网功能，DHCP服务器在启动以后可以自动为其管辖的计算机分配网络地址。Cisco PIX 501防火墙可以提供与大多数宽带联网环境无缝集成所必须的各种功能。强大的远程管理功能PIX 501是一个可靠的、便于维护的平

4、台，可以提供多种配置、监控和诊断方式。PIX管理解决方案的范围非常广泛从一个集成化的、基于Web的管理工具到集中的、基于策略的工具，以及对各种远程监控协议的支持，例如简单网络管理协议（SNMP）和系统日志。PIX设备管理器（PDM）可以为管理员提供一个直观的、基于Web的界面，从而使他们可以方便地配置和监控一台PIX 501，而不需要在管理员的计算机上安装任何软件（除了一个标准的Web浏览器以外）。管理员可以利用PIX 501所提供的命令行界面（CLI），通过多种方式（包括远程登陆、安全解释程序（SSH），以及通过控制端口实现的带外接入）对PIX 501进行远程配置、监控和诊断。管理员还可以通

5、过Cisco VPN/安全管理解决方案（VMS）中提供的Cisco安全策略管理器（CSPM）3.0方便地对很多PX 501防火墙进行远程管理。CSPM 3.0是一种可扩展的、下一代的PIX防火墙集中管理解决方案，具有多种功能，包括基于任务的接口、交互式网络拓扑图、策略向导、策略输出功能等等。产品的主要特性和优点主要特性 优点 企业级安全性 真正的安全设备 采用一种专用的、强化的操作系统，可以消除通用操作系统所具有的各种安全风险 思科的品质和没有可动组件的设计提供了一个高度可靠的安全平台。 状态监测防火墙 提供周边网络安全，以防止XX的网络访问。 使用最新的自适应安全算法（ASA），提供强大的状

6、态监测防火墙服务。 为超过105个预先定制的应用、服务和协议提供灵活的访问控制功能，并能够自行定义应用和服务。 包括多种能够感知应用的“补丁”，从而确保多种先进的网络协议（例如H.323、ISP、Skinny、RTSP等）的安全。 包括针对Java applet和ActiveX控制的内容过滤。 VPN 支持IKE和IPSec VPN标准 确保数据的安全性/完整性，强大的、通过互联网对远程网络进行身份认证的功能 支持56位DES和168位3DES数据加密，以确保数据的安全性 入侵检测 提供对超过55种常见网络攻击的防范，这些攻击的范围非常广泛从变形分组攻击到拒绝服务（DoS）攻击。 与Cisco

7、网络入侵解决方案相集成 检测系统（IDS）检测器可以通过防火墙动态阻塞/避免存在威胁的网络节点。 AAA支持 通过TACACS+和RADIUS支持，与常见的身份认证、授权和记帐服务集成 X.509认证和CRL支持 通过由Blatimore、Entrus、微软和VeriSign提供的领先X.509解决方案支持基于SCEP的注册 与领先的第三方解决方案集成 支持多种Cisco AVVID（语音、视频和综合数据架构）合作伙伴解决方案，这些方案可以提供URL过滤、内容过滤、病毒检测、可扩展远程管理等功能。 集成的加密锁插槽 利用一个标准的笔记本加密电缆锁（锁不内含）在物理上确保PIX 501的安全性

8、强大的小型办公室联网功能 集成的四端口 通过一个结构紧凑的平台，为小型办公室环境提供方便的、高速的联网环境 10/100交换机 自动MDIX支持，从而无须对连接到交换机的设备使用交叉电缆 DHCP客户端和服务器端 自动从电信服务供应商那里获取防火墙对外接口的IP地址 为防火墙内部网络上的设备提供IP地址 NAT/PAT支持 提供动态的/静态的网络地址转换（NAT）和端口地址转换（PAT）功能 让多个用户可以利用同一个公共IP地址，共享一个宽带连接 PPPoE（2002年第一季度推出） 确保与那些需要对PPPoE的支持的网络兼容 丰富的管理功能 PIX设备管理器（PDM） 直观的、基于Web的G

9、UI可以实现对PIX防火墙的简便、安全的远程管理 提供各种含有大量信息的、实时的和历史数据报告，有助于深入了解使用趋势、性能和安全事件。 获得Cisco安全策略管理器（CSPM）的支持 利用CSPM强大的策略管理基础设施对企业中的所有Cisco PIX防火墙产品进行可扩展的、统一的管理 Cisco PIX CLI 让用户可以利用现有的PIX CLI技术，方便地进行安装和管理，而不需要再进行培训 可以通过多种方式访问，包括控制台端口、远程登陆和CLI SNMP和系统日志支持 提供远程监控和日志功能，并能够与思科和第三方管理应用集成 Cisco506E防火墙针对远程办公室/分支机构环境的企业级安全

10、性Cisco PIX 506E防火墙是一种针对特定需求而设计的安全设备，可以在单独的一个设备中提供丰富的安全服务，包括状态监测防火墙、虚拟专用网（VPN）和入侵防范等。利用思科最新的自适应安全算法（ASA）和PIX操作系统，PIX 506E可以确保其后的所有用户的安全，并可以帮助他们防范互联网的潜在威胁。它的功能强大的状态监测技术可以跟踪所有经过授权的用户的网络请求，防止XX的网络访问。利用PIX 506E灵活的访问控制功能，管理员还可以对经过防火墙的网络流量实施定制的策略。PIX 506E与您的后端企业数据库无缝集成，因此可以通过直接使用TACACS/RADIUS或间接使用Cisco安全访问

11、控制服务器（ACS）对外部对网络资源的访问进行严格的验证。Cisco PIX 506E防火墙还可以利用其基于标准的互联网密钥交换（IKE）/IP安全（IPSec）VPN功能，确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全。通过利用56位数据加密标准（DES）或者可选的高级168位三重DES（3DES）加密对数据进行加密，当您的敏感企业数据安全地在互联网中传输时，别人将无法窥探到它们。PIX 506E的集成化的入侵防范功能可以防止您的网络受到各种常见的攻击。通过查找超过55种不同的攻击签名，PIX可以严格检测各种攻击，并可以实时地阻截它们或者向您发出通知。强大的远程管理功能Ci

12、sco PIX 506E是一个可靠的、便于维护的平台，可以提供多种配置、监控和诊断方式。PIX管理解决方案的范围非常广泛从一个集成化的、基于Web的管理工具到集中的、基于策略的工具，以及对各种远程监控协议的支持，例如简单网络管理协议（SNMP）和系统日志。PIX设备管理器（PDM）可以为管理员提供一个直观的、基于Web的界面，从而使他们可以方便地配置和监控一台PIX 506E，而不需要在管理员的计算机上安装任何软件（除了一个标准的Web浏览器以外）。管理员可以利用PIX 506E所提供的命令行界面（CLI），通过多种方式（包括远程登陆、安全解释程序（SSH），以及通过控制端口实现的带外接入）对

13、PIX 506E进行远程配置、监控和诊断。管理员还可以通过Cisco VPN/安全管理解决方案（VMS）中提供的Cisco安全策略管理器（CSPM）方便地对很多PX 506E防火墙进行远程管理。CSPM 3.0是一种可扩展的、下一代的PIX防火墙集中管理解决方案，具有多种功能，包括基于任务的接口、交互式网络拓扑图、策略向导、策略输出功能等等。产品的主要特性和优点主要特性 优点 企业级安全性 真正的安全设备 采用一种专用的、强化的操作系统，可以消除通用操作系统所具有的各种安全风险 思科的品质和没有可动组件的设计提供了一个高度可靠的安全平台。 状态监测防火墙 提供边界网络安全，以防止XX的网络访问

14、。 使用最新的自适应安全算法（ASA），提供强大的状态监测防火墙服务。 为超过100个预先定制的应用、服务和协议提供灵活的访问控制功能，并能够自行定义应用和服务。 包括多种能够感知应用的“补丁”，从而确保多种先进的网络协议（例如H.323、ISP、Skinny、RTSP等）的安全。 包括针对Java applet和ActiveX控制的内容过滤。 VPN 支持IKE和IPSec VPN标准 确保数据的安全性/完整性，强大的、通过互联网对远程网络和远程用户进行身份认证的功能 支持56位DES和168位3DES数据加密，以确保数据的安全性 入侵检测 提供对超过55种常见网络攻击的防范，这些攻击的范围

15、非常广泛从变形分组攻击到拒绝服务（DoS）攻击。 与Cisco网络入侵解决方案相集成 检测系统（IDS）检测器可以通过防火墙动态阻塞/避免存在威胁的网络节点。 AAA支持 通过TACACS+和RADIUS支持，与常见的身份认证、授权和记帐服务集成 与Cisco安全访问控制服务器（ACS）紧密集成 X.509认证和CRL支持 通过由Blatimore、Entrus、微软和VeriSign提供的领先X.509解决方案支持基于SCEP的注册 与领先的第三方解决方案集成 支持多种Cisco AVVID（语音、视频和综合数据架构）合作伙伴解决方案，这些方案可以提供URL过滤、内容过滤、病毒检测、可扩展远

16、程管理等功能。 强大的小型办公室联网功能 DHCP客户端和服务器端 自动从电信服务供应商那里获取防火墙对外接口的IP地址 为防火墙内部网络上的设备提供IP地址 NAT/PAT支持 提供动态的/静态的网络地址转换（NAT）和端口地址转换（PAT）功能 让多个用户可以利用同一个公共IP地址，共享一个宽带连接 PPPoE（2002年第一季度推出） 确保与那些需要对PPPoE的支持的网络兼容 丰富的管理功能 PIX设备管理器（PDM） 直观的、基于Web的GUI可以实现对PIX防火墙的简便、安全的远程管理 提供各种含有大量信息的、实时的和历史数据报告，有助于深入了解使用趋势、性能和安全事件。 获得Ci

17、sco安全策略管理器（CSPM）的支持 利用CSPM强大的策略管理基础设施对企业中的所有Cisco PIX防火墙产品进行可扩展的、统一的管理 Cisco PIX CLI 让用户可以利用现有的PIX CLI技术，方便地进行安装和管理，而不需要再进行培训 可以通过多种方式访问，包括控制台端口、远程登陆和CLI SNMP和系统日志支持 提供远程监控和日志功能，并能够与思科和第三方管理应用集成 Cisco515E防火墙Cisco PIX 515E多功能的单机架单元（1RU）机箱可以支持六个接口，使之成为那些需要一个具有DMZ支持的、成本低廉的安全解决方案的企业的理想选择。作为全球领先的Cisco PI

18、X 防火墙系列的一部分，它可以为今天的网络用户提供无以伦比的安全性、可靠性和性能。Cisco PIX 515E是一个针对特定需求而设计的防火墙设备，可以提供前所未有的安全性。它可以与Cisco PIX操作系统（OS）紧密集成，该操作系统是一个专用的、强化的系统，可以消除在通用的操作环境中经常出现的安全漏洞和性能损耗。该系统的核心是一种基于自适应安全算法（ASA）的保护机制，可以提供针对状态的、面向连接的防火墙功能，同时阻截常见的拒绝服务（DoS）攻击。Cisco PIX 515E还是一个全功能的VPN网关，可以在公共网络上安全地传输数据。它可以通过56位数据加密标准（DES）或者168位三重D

19、ES（3DES）支持站点间和远程接入VPN应用。根据所选择的Cisco PIX 515E型号的不同，VPN功能可以作为Cisco PIX OS的一项服务提供，也可以通过一个集成的、基于硬件的VPN加速卡（VAC）提供，这种加速卡最多可以提供63Mbps的吞吐量和2000个IPSec隧道。通过部署一个冗余的热备份单元可以实现对高可用性的支持。这种故障恢复方式可以通过自动的状态同步保持并发的连接。这确保了即使在系统发生故障的情况下，进程也会得以保持，而整个切换过程对于网络用户来说是完全透明的。该防火墙目前有三种型号，分别可以提供不同等级的接口密度、故障恢复功能和VPN吞吐量。 Cisco525防火

20、墙强壮的安全特性PIX 525实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层，为用户提供完整的IPsec标准实施方法，其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密，Cisco的IPsec实现方法全部支持56位数据加密标准（DES）和168位三重DES算法。极端的可靠性PIX防火墙提供了空前的可靠性，其平均无故障时间（MTBF）超过60000小时。即使是达到了这样高的水平

21、，那些Internet、Intranet或Extranet连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。Cisco已经创建了配合PIX 525-UR使用的故障切换捆绑程序，能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙，而其价格仅是标准PIX 525 UR捆绑件的一小部分。令人惊奇的灵活性Cisco Secure PIX 525防火墙支持各种网络接口卡（NIC）。标准NIC包括单端口或4端口10/100快速以太网、千兆位以太网、4/16令牌环和双连接多模FDDI卡。另外，PI

22、X 525还提供多种电源选件，用户可以选择交流或48V直流电源。每一种选件都配有为第二个故障切换PIX系统准备的成对儿产品，从而实现最高的冗余和高可用性。主要特性和优点 Cisco端到端解决方案的组成部分 - 允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。 最低的拥有成本 - 安装、配置简单，网络中断时间更少。另外，允许透明地支持Internet多媒体应用，不再需要实际调整和重新配置每一台客户工作站或PC机。 非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险，提供了突出的性能。 基于标准的虚拟专网 - 使管理员可以降低通过Internet或其它公共IP网络将移动

23、用户和远程站点与企业网络相连的成本。 自适应安全算法 - 为所有的TCP/IP对话提供静态安全性，以保护敏感的保密资源。 静态故障切换/热备用 - 提供高可用性，使网络可靠性最大。 网络地址转换（NAT）- 节省宝贵的IP地址；扩展网络地址空间；隐藏IP地址，使之不被外部得到。 截断通过代理 - 提供业界最高的认证性能；通过重新使用现有认证数据库降低拥有成本。 多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。 支持多达28万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。 防止拒绝服务攻击

24、 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。 支持各种应用 - 全面降低防火墙对网络用户的影响。 Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。 支持多媒体应用 - 降低了支持这些协议所需要的管理时间和成本。无需特殊的客户机配置。 设置简单 - 只需6条命令就能实现一般的安全策略。 紧凑设计 - 可以更加容易地部署在桌面或更小的办公设置中。 URL过滤 - 当与Websense企业软件配合使用时，可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。 邮件保护

25、- 不再需要外部邮件在外围网络中转发，也防止了外部邮件转发过程中的拒绝服务攻击。 Cisco535防火墙功能简介Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分，PIX 535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全（IPSec）虚拟专网（VPN）功能与千兆位以太网吞吐量灵活地结合在一起。PIX 535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统（OS）紧密集成在一起，该操作系统是一种消除了安全漏洞和性能退化开销

26、的专用固化系统。PIX535防火墙的核心是基于自适应安全算法（ASA）的一种保护机制，它可以提供面向静态连接的防火墙功能，能够进行50万个同时连接，并同时防止常见的拒绝服务（DoS）攻击。另外，PIX 535还是一种能够通过公网安全传输数据的全功能VPN网关，它支持使用56位数据加密标准（DES）或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡（VAC）选件的支持，能够提供100 Mbps的吞吐量和2000个IPSec隧道。高可用性通过部署一个冗余的热备用单元来实现，该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下，也能够维护对话，并且保证切换过程对网络用户而言是透明地完成。另外，PIX 535还允许您向交流或直流型号添加可选的冗余、热插拔电源，使其成为一种真正的容错安全设备。