ASA与PIX对比

PIX与ASA对比

虽然PIX是一款非常优秀的防火墙， 但是安全方面的情况却在日新月异。仅仅使用一台静态数据包过滤防火墙来对你的网络进行保护已远远不够了。对网络而言， 新的威胁层出不穷——包括病毒，蠕虫，多余软件（比如P2P软件，游戏，即时通讯软件），网络欺诈，以及应用程序层面的攻击等等。 如果一台设备可以应付多种威胁，我们就称其提供了“anti-X”能力，或者说它提供了“多重威胁（multi-threat）”防护。但PIX恰恰无法提供这种层次的防护。 绝大多数公司不希望采用安装一台PIX进行静态防火墙过滤，同时再使用一些其他的工具来防护其他威胁的办法。他们更希望采用一台“集所有功能于一身”的设备——或是采用一台UTM（统一威胁管理）设备。 而ASA恰好针对这些不同类型的攻击提供了防护。它甚至比一台UTM设备更厉害——不过，要成为一台真正的UTM，它还需要装一个CSC-SSM模块（CSC-SSM，内容安全以及控制安全服务，Content Security and Control Security Service）才行。该模块在ASA中提供anti-X功能。如果没有CSC-SSM，那ASA的功能看起来会更像一台PIX。

那么，到底哪一个才适合你的企业呢？正如我们通常所说的，这要看你企业的需求而定。不过，我还是倾向于优先选择ASA，而后才是PIX。首先，一台ASA的价格要比同样功能的PIX要低。除去成本的原因不谈，至少从逻辑上来说，选择ASA就意味着选择了更新更好的技术。 对于那些已经在使用Cisco PIX的人来说，Cisco已经提供了一个迁移指南，以解决如何从Cisco PIX迁移到ASA上的问题。就我观点而言，我觉得这起码预示了一点，就是Cisco终止PIX的日子正离我们越来越近。虽然Cisco公司尚未明确宣布这一点，但是我认为这只是一个时间问题罢了。

ASA 5550参数：

• 并发连接数:650,000 网络吞吐量:1.2 G bpsMbps
• Cisco ASA 5550自适应安全设备在一个可靠的单机架单元设备中为大型企业和电信运营商网络提供了具备主用/主用高可用性和光纤及千兆以太网连接的大量千兆级安全服务。利用其8个千兆以太网接口、4个SFP光纤接口*和多达200个的VLAN，企业可以将网络分成多个高性能分区，从而提高安全性。
• 外观尺寸（长*宽*高）: 44.5x200.4x174.5mm
• 重量: 1.8 公斤Kg
• 并发连接数: 650,000

 

Cisco ASA防火墙的配置详解

asa5510(config)#            

asa5510(config)# show run
ASA Version 7.0(7)
!
hostname asa5510 主机名
domain-name 1cisco.com.cn 域名
enable password FgQ 836L .2fG/AEir encrypted ASDM的登陆密码
names
dns-guard
!
interface Ethernet0/0 外部接口
nameif outside 接口名
security-level 0
ip address X.X.X.X 255.255.255.248 IP地址
!
interface Ethernet0/1内部接口
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0 ip地址，内部电脑的网关
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!            
interface Management0/0
nameif management
security-level 100
ip address 1.1.1 .1 255.255.255.0
management-only   管理接口可以关闭 默认192.168.1.1
!
passwd WXjstPgDOxFTLAaA encrypted
ftp mode passive

object-group network Public 定义一个IP组 组名为Public （做ACL的时候可以方便减少ACL条目、这里做的是IP组，其实还可以基于服务来做个组，）
network-object host 192.168.1.2定义组内的IP
network-object host 192.168.1.3
network-object host 192.168.1.4
network-object host 192.168.1.5
network-object host 192.168.1.6
network-object host 192.168.1.7 这些组里的IP在后面将被引用
access-list 102 extended permit icmp any any
access-list 102 extended permit ip any any 定义ACl
access-list 111 extended permit ip host 192.168.1.16 any
access-list 111 extended permit ip object-group Public any 定义ACL 注意这里的源地址引用的是一个我们前面定义的地址组，
access-list 111 extended deny ip any any 这里是拒绝所有，大家应该知道我的ACL的意思了吧 ，拒绝所有人上网。上面允许的除外
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
asdm image disk0:/asdm-507.bin 指定ASDM路径，开启ASDM的命令之一，至于ASDM版本，大家可以DIR的命令来查看到，
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 nAT转换，吧内部接口的所有IP转换到外部的公网IP，让所有内部IP可以上网，
access-group 102 in interface outside
access-group 111 in interface inside 这2个是引用前面定义的ACL一个外部接口一个内部接口 如果没和我一样的只允许部分IP上网的需求的 可以不要INSIDE的ACL以及ACL 111的条目
route outside 0.0.0.0 0.0.0.0 xx.x.x.x 1外部的默认路由 x.x.x.x为公网的网关
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username cisco1 password W0ATeFBkCO3ErmVn encrypted privilege 15(asdm SSH登陆用户名和密码)
aaa authentication ssh console LOCAL (SSH 登陆启用本地认证,就是上面的cisco1)
http server enable(激活ASDM)
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside(在外部和内部借口上启用ASDM)

no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 0.0.0.0 0.0.0.0 inside启用内部的TELNET
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside(起用内部和外部接口的SSH)
ssh timeout 30
ssh version 2 SSH版本2
console timeout 0

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
Cryptochecksum:5ee 69c 74afd48da59841097fe14670ad
: end

 

 

本文出自 “2010网络” 博客，谢绝转载！