我們知道防火墻有四種類型：集成防火墻功能的路由器，集成防火墻功能的代理服務(wù)器，專用的軟件防火墻和專用的軟硬件結(jié)合的防火墻。Cisco的防火墻解決方案中包含了四種類型中的第一種和第四種，即：集成防火墻功能的路由器和專用的軟硬件結(jié)合的防火墻。

一、 集成在路由器中的防火墻技術(shù)

1、 路由器IOS標準設(shè)備中的ACL技術(shù)

ACL即Access Control Lis t（訪問控制列表），簡稱Access List（訪問列表），它是后續(xù)所述的IOS Firewall Feature Set的基礎(chǔ)，也是Cisco全線路由器統(tǒng)一界面的操作系統(tǒng)IOS（Internet Operation System，網(wǎng)間操作系統(tǒng)）標準配置的一部分。這就是說在購買了路由器后，ACL功能已經(jīng)具備，不需要額外花錢去買。

2、 IOS Firewall Feature Set（IOS防火墻軟件包）

IOS Firewall Feature Set是在ACL的基礎(chǔ)上對安全控制的進一步提升，由名稱可知，它是一套專門針對防火墻功能的附加軟件包，可通過IOS升級獲得，并且可以加載到多個Cisco路由器平臺上。

目前防火墻軟件包適用的路由器平臺包括Cisco 1600、1700、2500、2600和3600，均屬中、低端系列。對很多傾向與使用"all-in-one solution"（一體化解決方案），力求簡單化管理的中小企業(yè)用戶來說，它能很大程度上滿足需求。之所以不在高端設(shè)備上實施集成防火墻功能，這是為了避免影響大型網(wǎng)絡(luò)的主干路由器的核心工作--數(shù)據(jù)轉(zhuǎn)發(fā)。在這樣的網(wǎng)絡(luò)中，應(yīng)當(dāng)使用專用的防火墻設(shè)備。

Cisco IOS防火墻特征：
基于上下文的訪問控制（CBAC）為先進應(yīng)用程序提供基于應(yīng)用程序的安全篩選并支持最新協(xié)議 Java能防止下載動機不純的小應(yīng)用程序
在現(xiàn)有功能基礎(chǔ)上又添加了拒絕服務(wù)探測和預(yù)防功能，從而增加了保護
在探測到可疑行為后可向中央管理控制臺實時發(fā)送警報和系統(tǒng)記錄錯誤信息
TCP/UDP事務(wù)處理記錄按源/目的地址和端口對跟蹤用戶訪問
配置和管理特性與現(xiàn)有管理應(yīng)用程序密切配合

二、 專用防火墻--PIX

PIX（Private Internet eXchange）屬于四類防火墻中的第四種--軟硬件結(jié)合的防火墻，它的設(shè)計是為了滿足高級別的安全需求，以較好的性能價格比提供嚴密的、強有力的安全防范。除了具備第四類防火墻的共同特性，并囊括了IOS Firewall Feature Set的應(yīng)有功能。

PIX成為Cisco在網(wǎng)絡(luò)安全領(lǐng)域的旗艦產(chǎn)品已有一段歷史了，它的軟硬件結(jié)構(gòu)也經(jīng)歷了較大的發(fā)展。現(xiàn)在的PIX有515和520兩種型號（520系列容量大于515系列），從原來的僅支持兩個10M以太網(wǎng)接口，到10/100M以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI的多介質(zhì)、多端口（最多4個）應(yīng)用；其專用操作系統(tǒng)從v5.0開始提供對IPSec這一標準隧道技術(shù)的支持，使PIX能與更多的其它設(shè)備一起共同構(gòu)筑起基于標準VPN連接。

Cisco的PIX Firewall能同時支持16，000多路TCP對話，并支持數(shù)萬用戶而不影響用戶性能，在額定載荷下，PIX Firewall的運行速度為45Mbps，支持T3速度，這種速度比基于UNIX的防火墻快十倍。

主要特性：
保護方案基于適應(yīng)性安全算法（ASA），能提供任何其它防火墻都不能提供的最高安全保護
將獲專利的"切入代理"特性能提供傳統(tǒng)代理服務(wù)器無法匹敵的高性能
安裝簡單，維護方便，因而降低了購置成本
支持64路同時連接，企業(yè)發(fā)展后可擴充到16000路
透明支持所有通用TCP/IP Internet服務(wù)，如萬維網(wǎng)（WWW）文件傳輸協(xié)議（FTP）、Telnet、Archie、Gopher和rlogin
支持多媒體數(shù)據(jù)類型，包括Progressive網(wǎng)絡(luò)公司的Real Audio，Xing技術(shù)公司的Steamworks，White Pines公司腃USeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2
支持H323兼容的視頻會議應(yīng)用，包括Intel的Internet Video Phone和Microsoft的NetMeeting

無需因安裝而停止運行

無需升級主機或路由器

完全可以從未注冊的內(nèi)部主機訪問外部Internet

能與基于Cisco IOS的路由器互操作