我們知道防火墻有四種類型:集成防火墻功能的路由器，集成防火墻功能的代理服務器，專用的軟件防火墻和專用的軟硬件結合的防火墻。Cisco的防火墻解決方案中包含了四種類型中的第一種和第四種，即:集成防火墻功能的路由器和專用的軟硬件結合的防火墻。

一、 集成在路由器中的防火墻技術

1、 路由器IOS標準設備中的ACL技術

ACL即Access Control List(訪問控制列表)，簡稱Access List(訪問列表)，它是后續所述的IOS Firewall Feature Set的基礎，也是Cisco全線路由器統一界面的操作系統IOS(Internet Operation System，網間操作系統)標準配置的一部分。這就是說在購買了路由器后，ACL功能已經具備，不需要額外花錢去買。

2、 IOS Firewall Feature Set(IOS防火墻軟件包)

IOS Firewall Feature Set是在ACL的基礎上對安全控制的進一步提升，由名稱可知，它是一套專門針對防火墻功能的附加軟件包，可通過IOS升級獲得，并且可以加載到多個Cisco路由器平臺上。

目前防火墻軟件包適用的路由器平臺包括Cisco 1600、1700、2500、2600和3600，均屬中、低端系列。對很多傾向與使用"all-in-one solution"(一體化解決方案)，力求簡單化管理的中小企業用戶來說，它能很大程度上滿足需求。之所以不在高端設備上實施集成防火墻功能，這是為了避免影響大型網絡的主干路由器的核心工作--數據轉發。在這樣的網絡中，應當使用專用的防火墻設備。

Cisco IOS防火墻特征:

基于上下文的訪問控制(CBAC)為先進應用程序提供基于應用程序的安全篩選并支持最新協議

Java能防止下載動機不純的小應用程序

在現有功能基礎上又添加了拒絕服務探測和預防功能，從而增加了保護

在探測到可疑行為后可向中央管理控制臺實時發送警報和系統記錄錯誤信息

TCP/UDP事務處理記錄按源/目的地址和端口對跟蹤用戶訪問

配置和管理特性與現有管理應用程序密切配合

訂購信息

Cisco 1600系列Cisco IOS防火墻特性

IP/Firewall CD16-BW/EW/CH-11.3=

IP/Firewall CD16-BY/EY/CH-11.3=

IP/IPX/Firewall Plus CD16-C/BHP-11.3=

Cisco 2500系列Cisco IOS防火墻特性

IP/Firewall CD25CH-11.2=

IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=

二、 專用防火墻--PIX

PIX(Private Internet eXchange)屬于四類防火墻中的第四種--軟硬件結合的防火墻，它的設計是為了滿足高級別的安全需求，以較好的性能價格比提供嚴密的、強有力的安全防范。除了具備第四類防火墻的共同特性，并囊括了IOS Firewall Feature Set的應有功能。

PIX成為Cisco在網絡安全領域的旗艦產品已有一段歷史了，它的軟硬件結構也經歷了較大的發展。現在的PIX有515和520兩種型號(520系列容量大于515系列)，從原來的僅支持兩個10M以太網接口，到10/100M以太網、令牌環網和FDDI的多介質、多端口(最多4個)應用;其專用操作系統從v5.0開始提供對IPSec這一標準隧道技術的支持，使PIX能與更多的其它設備一起共同構筑起基于標準VPN連接。

Cisco的PIX Firewall能同時支持16，000多路TCP對話，并支持數萬用戶而不影響用戶性能，在額定載荷下，PIX Firewall的運行速度為45Mbps，支持T3速度，這種速度比基于UNIX的防火墻快十倍。

主要特性:

保護方案基于適應性安全算法(ASA)，能提供任何其它防火墻都不能提供的最高安全保護

將獲專利的"切入代理"特性能提供傳統代理服務器無法匹敵的高性能

安裝簡單，維護方便，因而降低了購置成本

支持64路同時連接，企業發展后可擴充到16000路

透明支持所有通用TCP/IP Internet服務，如萬維網(WWW)文件傳輸協議(FTP)、Telnet、Archie、Gopher和rlogin

支持多媒體數據類型，包括Progressive網絡公司的Real Audio，Xing技術公司的Steamworks，White Pines公司的CUSeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2

支持H323兼容的視頻會議應用，包括Intel的Internet Video Phone和Microsoft的NetMeeting

無需因安裝而停止運行

無需升級主機或路由器

完全可以從未注冊的內部主機訪問外部Internet

能與基于Cisco IOS的路由器互操作

訂購信息

帶2個10/100BaseT NIC的64路PIX PIX-64-A-CH

帶2個10/100BaseT NIC的1024路PIX PIX1K-A-CH

帶2個10/100BaseT NIC的16K路(不限)PIX PIXUR-A-CH

帶2個10/100BaseT NIC的64路200MHZ PIX PIX64-B-CH

帶2個10/100BaseT NIC的1024路200MHZ PIX PIX1K-B-CH

帶2個10/100BaseT NIC的16K路200MHZ PIX PIXUR-B-CH

10/100M bps以太網接口，RJ45 PIX-1FE=

4/16Mbps令牌環網接口 PIX-1TR=

PIX軟件版本升級 SWPIX-VER=

三、 兩種防火墻技術的比較

IOS FIREWALL FEATURE SET PIX FIREWALL

網絡規模 中小型網絡，小于250節點的應用。 大型網絡，可支持多于500用戶的應用

工作平臺 路由器IOS操作系統 專用PIX工作平臺

性能 最高支持T1/E1(2M)線路 可支持多條T3/E3(45M)線路

工作原理 基于數據包過濾，核心控制為CBAC 基于數據包過濾，核心控制為ASA

配置方式 命令行或圖形方式(通過ConfigMaker) 命令行方式或圖形方式(通過Firewall Manager)

應用的過濾 支持Java小程序過濾 支持Java小程序過濾

身份認證 通過IOS命令，支持TACACS+、RADIUS服務器認證。 支持TACACS+、RADIUS集中認證

虛擬專網(VPN) 通過IOS軟件升級可支持IPSec、L2F和GRE隧道技術，支持40或56位DES加密。 支持Private Link或IPSec隧道和加密技術

網絡地址翻譯(NAT) 集成IOS Plus實現 支持

冗余特性 通過路由器的冗余協議HSRP實現 支持熱冗余

自身安全 支持Denial-of-Service 支持Denial-of-Service

代理服務 無，通過路由器的路由功能實現應用 切入的代理服務功能

管理 通過路由器的管理工具，如Cisco Works 通過Firewall Manager實現管理

審計功能 一定的跟蹤和報警功能 狀態化數據過濾，可通過Firewall Manager實現較好的額監控、報告功能

四、 Centri防火墻

主要特性:

核心代理體系結構

針對Windows NT定制TCP/IP棧

圖形用戶結構可制訂安全政策

可將安全政策拖放到網絡、網絡組、用戶和用戶組

ActiveX、Java小應用程序、Java和Vb模塊

通用資源定位器(URL)模塊

端口地址轉換

網絡地址轉換

透明支持所有通用TCP/IP應用程序，包括WWW、文件傳輸協議(FTP)Telnet和郵件

為Web、Telnet和FTP提供代理安全服務

根據IP地址、IP子網和IP子網組進行認證

使用sl口令和可重復使用口令Telnet、Web和ftp提供聯機用戶認證

使用Windows NT對所有網絡服務進行帶外認證

防止拒絕服務型攻擊，包括SYN Flood、IP地址哄騙和Ping-of-Death

訂購信息

Cisco Centri產品

Centri Firewall v4.0 for Windows NT,50個用戶 Centri-50

Centri Firewall v4.0 for Windows NT,100個用戶 Centri-100

Centri Firewall v4.0 for Windows NT,250個用戶 Centri-250

Centri Firewall v4.0 for Windows NT,用戶不限 Centri-UNR

Centri Firewall v4.0 for Windows NT,從100個用戶升級到250個 Centri-UDP-100-250

Centri Firewall v4.0 for Windows NT,從250個用戶升級到無窮多 Centri-250-UNR

五、Cisco PIX防火墻的安裝流程

1. 將PIX安放至機架，經檢測電源系統后接上電源，并加電主機。

2. 將CONSOLE口連接到PC的串口上，運行HyperTerminal程序從CONSOLE口進入PIX系統;此時系統提示pixfirewall>。

3. 輸入命令:enable,進入特權模式，此時系統提示為pixfirewall#。

4. 輸入命令: configure terminal,對系統進行初始化設置。

5. 配置以太口參數:

interface ethernet0 auto (auto選項表明系統自適應網卡類型 )interface ethernet1 auto

6. 配置內外網卡的IP地址:

ip address inside ip_address netmask

ip address outside ip_address netmask

7. 指定外部地址范圍:

global 1 ip_address-ip_address

8. 指定要進行要轉換的內部地址:

nat 1 ip_address netmask

9. 設置指向內部網和外部網的缺省路由

route inside 0 0 inside_default_router_ip_address

route outside 0 0 outside_default_router_ip_address

10. 配置靜態IP地址對映:

static outside ip_address inside ip_address

共2頁: 1 [2] 下一頁