PIX 与ASA

很多年来，Cisco PIX一直都是Cisco确定的防火墙。但是在2005年5月，Cisco推出了一个新的产品——适应性安全产品（ASA，Adaptive Security Appliance）。 Cisco PIX是一种专用的硬件防火墙。所有版本的Cisco PIX都有500系列的产品号码。最常见的家用和小型网络用产品是PIX 501；而许多中型企业则使用PIX 515作为企业防火墙。

产品基本介绍：

PIX防火墙使用PIX操作系统。虽然PIX操作系统和Cisco IOS看起来非常的接近，

PIX系列的防火墙使用PDM（PIX设备管理器，PIX Device Manager）作为图形接口。该图形界面系统是一个通过网页浏览器下载的Java程序。

一般情况下，一台PIX防火墙有个外向接口，用来连到一台Internet路由器中，这台路由器再连到Internet上。同时，PIX也有一个内向接口，用来连到一台局域网交换机上，该交换机连入内部网络。

Cisco ASA是什么？

而ASA是Cisco系列中全新的防火墙和反恶意软件安全用具。（不要把这个产品和用于静态数据包过滤的PIX搞混了）

ASA系列产品都是5500系列。企业版包括4种：Firewall，IPS，Anti-X，以及×××。而对小型和中型公司来说，还有商业版本。

总体来说，Cisco一共有5种型号。所有型号均使用ASA 7.2.2版本的软件，接口也非常近似Cisco PIX。Cisco PIX和ASA在性能方面有很大的差异，但是，即使是ASA最低的型号，其所提供的性能也比基础的PIX高得多。

和PIX类似，ASA也提供诸如***防护系统（IPS，intrusion prevention system），以及×××集中器。实际上，ASA可以取代三种独立设备——Cisco PIX防火墙，Cisco ××× 3000系列集中器，以及Cisco IPS 4000系列传感器。

现在，我们已经看过了两种安全工具各自的基本情况，下面我们来看看他们互相比较的结果。

PIX对ASA

虽然PIX是一款非常优秀的防火墙，但是安全方面的情况却在日新月异。仅仅使用一台静态数据包过滤防火墙来对你的网络进行保护已远远不够了。对网络而言，新的威胁层出不穷——包括病毒，蠕虫，多余软件（比如P2P软件，游戏，即时通讯软件），网络欺诈，以及应用程序层面的***等等。

如果一台设备可以应付多种威胁，我们就称其提供了“anti-X”能力，或者说它提供了“多重威胁（multi-threat）”防护。但PIX恰恰无法提供这种层次的防护。

绝大多数公司不希望采用安装一台PIX进行静态防火墙过滤，同时再使用一些其他的工具来防护其他威胁的办法。他们更希望采用一台“集所有功能于一身”的设备——或是采用一台UTM（统一威胁管理）设备。

而ASA恰好针对这些不同类型的***提供了防护。它甚至比一台UTM设备更厉害——不过，要成为一台真正的UTM，它还需要装一个CSC-SSM模块（CSC-SSM，内容安全以及控制安全服务，Content Security and Control Security Service）才行。该模块在ASA中提供anti-X功能。如果没有CSC-SSM，那ASA的功能看起来会更像一台PIX。

 

PIX：功能单一，ASA是思科UTM概念的产品。