很多年來，Cisco PIX一直都是Cisco確定的防火墻。但是在2005年5月，Cisco推出了一個新的產(chǎn)品——適應(yīng)性安全產(chǎn)品（ASA，Adaptive Security Appliance）。不過，PIX還依舊可用。我已聽到很多人在多次詢問這兩個產(chǎn)品線之間的差異到底是什么。讓我們來看一看。

Cisco PIX是什么？
Cisco PIX是一種專用的硬件防火墻。所有版本的Cisco PIX都有500系列的產(chǎn)品號碼。最常見的家用和小型網(wǎng)絡(luò)用產(chǎn)品是PIX 501；而許多中型企業(yè)則使用PIX 515作為企業(yè)防火墻。

PIX防火墻使用PIX操作系統(tǒng)。雖然PIX操作系統(tǒng)和Cisco IOS看起來非常的接近，但是對那些非常熟悉IOS的用戶來說，還是有足夠的差異性弄得他們頭昏腦脹。

PIX系列的防火墻使用PDM（PIX設(shè)備管理器，PIX Device Manager）作為圖形接口。該圖形界面系統(tǒng)是一個通過網(wǎng)頁瀏覽器下載的Java程序。

一般情況下，一臺PIX防火墻有個外向接口，用來連到一臺Internet路由器中，這臺路由器再連到Internet上。同時，PIX也有一個內(nèi)向接口，用來連到一臺局域網(wǎng)交換機(jī)上，該交換機(jī)連入內(nèi)部網(wǎng)絡(luò)。

Cisco ASA是什么？
而ASA是Cisco系列中全新的防火墻和反惡意軟件安全用具。（不要把這個產(chǎn)品和用于靜態(tài)數(shù)據(jù)包過濾的PIX搞混了）

ASA系列產(chǎn)品都是5500系列。企業(yè)版包括4種：Firewall，IPS，Anti-X，以及VPN。而對小型和中型公司來說，還有商業(yè)版本。

總體來說，Cisco一共有5種型號。所有型號均使用ASA 7.2.2版本的軟件，接口也非常近似Cisco PIX。Cisco PIX和ASA在性能方面有很大的差異，但是，即使是ASA最低的型號，其所提供的性能也比基礎(chǔ)的PIX高得多。

和PIX類似，ASA也提供諸如入侵防護(hù)系統(tǒng)（IPS，intrusion prevention system），以及VPN集中器。實際上，ASA可以取代三種獨(dú)立設(shè)備——Cisco PIX防火墻，Cisco VPN 3000系列集中器，以及Cisco IPS 4000系列傳感器。

現(xiàn)在，我們已經(jīng)看過了兩種安全工具各自的基本情況，下面我們來看看他們互相比較的結(jié)果。

PIX對ASA
雖然PIX是一款非常優(yōu)秀的防火墻，但是安全方面的情況卻在日新月異。僅僅使用一臺靜態(tài)數(shù)據(jù)包過濾防火墻來對你的網(wǎng)絡(luò)進(jìn)行保護(hù)已遠(yuǎn)遠(yuǎn)不夠了。對網(wǎng)絡(luò)而言，新的威脅層出不窮——包括病毒，蠕蟲，多余軟件（比如P2P軟件，游戲，即時通訊軟件），網(wǎng)絡(luò)欺詐，以及應(yīng)用程序?qū)用娴墓舻鹊取?

如果一臺設(shè)備可以應(yīng)付多種威脅，我們就稱其提供了“anti-X”能力，或者說它提供了“多重威脅（multi-threat）”防護(hù)。但PIX恰恰無法提供這種層次的防護(hù)。

絕大多數(shù)公司不希望采用安裝一臺PIX進(jìn)行靜態(tài)防火墻過濾，同時再使用一些其他的工具來防護(hù)其他威脅的辦法。他們更希望采用一臺“集所有功能于一身”的設(shè)備——或是采用一臺UTM（統(tǒng)一威脅管理）設(shè)備。

而ASA恰好針對這些不同類型的攻擊提供了防護(hù)。它甚至比一臺UTM設(shè)備更厲害——不過，要成為一臺真正的UTM，它還需要裝一個CSC-SSM模塊（CSC-SSM，內(nèi)容安全以及控制安全服務(wù)，Content Security and Control Security Service）才行。該模塊在ASA中提供anti-X功能。如果沒有CSC-SSM，那ASA的功能看起來會更像一臺PIX。

那么，到底哪一個才適合你的企業(yè)呢？正如我們通常所說的，這要看你企業(yè)的需求而定。不過，我還是傾向于優(yōu)先選擇ASA，而后才是PIX。首先，一臺ASA的價格要比同樣功能的PIX要低。除去成本的原因不談，至少從邏輯上來說，選擇ASA就意味著選擇了更新更好的技術(shù)。

對于那些已經(jīng)在使用Cisco PIX的人來說，Cisco已經(jīng)提供了一個遷移指南，以解決如何從Cisco PIX遷移到ASA上的問題。就我觀點而言，我覺得這起碼預(yù)示了一點，就是Cisco終止PIX的日子正離我們越來越近。雖然Cisco公司尚未明確宣布這一點，但是我認(rèn)為這只是一個時間問題罷了。

要記住，面對Internet上五花八門的不同威脅，我們無法再簡單地像以往那樣有了一套防火墻就萬事大吉了；對完整的防護(hù)措施而言，一個多重防護(hù)的方法必不可少。雖然ASA的確是很好的一個選擇，但是這也并不意味著它是你的唯一選項。許多生產(chǎn)商都提供了很好的產(chǎn)品，在你最終選擇ASA之前，建議你不妨對它們多了解了解。