Cisco防火墙概述和产品线

防火墙概述和产品线

网络防火墙是什么？

网络防火墙是一个链接两个或多个网络区域，并且给予策略限制区域间流量的设备。

百度百科的基本定义：
所谓”防火墙” 是指一种将内部网和公众访问网（如Internet）分开的方法，他实际上是一种，建立在现代通信技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互连环境之中。

网络防火墙的类型
1、包过滤型(Packet Filter):包过滤通常安装在路bai由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。
　　2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。
3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。

Packet filtering介绍
Packet filtering （包过滤）是一种比较老的防火墙技术，也就是我们使用的访问控制列表（ACL）

Proxy Server 介绍
软件防火墙的主流技术，经常为web流量使用代理服务器。

Proxy Server 特点：

两个TCP会话
性能低下
支持的运用少
工作在OSI模型的高层，最安全的防火墙
Web Cache

Stateful Packet filtering介绍
硬件防火墙的主流技术，为穿越的TCP和UDP流维护状态化表项。

Stateful Packet filtering特点
为每一个TCP和UDP流维护stateful session flow table（状态化表项）。
返回数据包首先查询状态化表项，如果是以前连接的一部分，就算被ACL拒绝也可以穿越防火墙。
状态化表项维护：源目IP ，TCP源目端口，序列号，Flag位。
高性能，硬件防火墙的主流技术

什么是DMZ？
Demilitarized Zone（非军事化区域）。
主要用于连接对外提供服务的服务器和VPN设备
如果没有DMZ？

两种DMZ连接方式

Cisco ASA特性介绍

状态监控包过滤
Cut-through(穿越认证)
运用层过滤
MPF（Modular Policy Framework）
IPSec VPN、SSL VPN
IPS ----入侵防御系统
AIP-SSM
CSC-SSM
多模式防火墙----虚拟防火墙
透明防火墙 ----理解为二层防火墙
Failover（FO）-----类似与HSRP
图形化界面管理

Cisco ASA产品线-ASA 5505

两种授权方式：Base Model和Security Plus Model
最大吞吐量：150Mb/s
最大连接数：10,000 (25,000 Security Plus)
每秒最大连接数：4,000
3Des/AES最大吞吐量：100Mb/s
最大的VPN会话数：10 (25 Security Plus)
最大的SSL VPN会话数：默认2个，可升级到25个

Cisco ASA产品线-ASA 5510

两种授权方式：Base Model和Security Plus Model
高度：1U（约等于4.45cm）
最大吞吐量：300Mb/s
最大连接数：50,000 (130,000 Security Plus)
3Des/AES最大吞吐量：170Mb/s
最大的VPN会话数：250
最大的SSL VPN会话数：默认2个，可升级到10,25,50,100 or 250
虚拟防火墙授权：0/0(base); 2/5(Security Plus)
VLAN数量：50 (100 Security Plus)
高可用性（Failover）：基本版本不支持 (Security Plus A/A A/S)
接口数：5 Fast Ethernet ports（1个百兆管理口，4个百兆业务接口）

Cisco ASA产品线-ASA 5520

高度：1U（约等于4.45cm）
最大吞吐量：450Mb/s
最大连接数：280,000
3Des/AES最大吞吐量：225Mb/s
最大的VPN会话数：750
最大的SSL VPN会话数：默认2个，可升级到10,25,50,100,250,500 or 750
虚拟防火墙授权：默认2，可升级到20
VLAN数量：150
高可用性（Failover）：A/S 和 A/A
可扩展性 ：VPN集群和负载均衡
接口数：1个百兆管理口，4个千兆业务接口

Cisco ASA产品线-ASA 5540

高度：1U（约等于4.45cm）
最大吞吐量：650Mb/s
最大连接数：400,000
3Des/AES最大吞吐量：325Mb/s
最大的VPN会话数：5000
最大的SSL VPN会话数：默认2个（10,25,50,100,250,500,750,1000 or 2500）
虚拟防火墙授权：默认2，可升级到50
VLAN数量：200
高可用性（Failover）：A/S 和 A/A
可扩展性 ：VPN集群和负载均衡
接口数：1个百兆管理口，4个千兆业务接口

Cisco ASA产品线-ASA 5580

高度：3U
最大吞吐量：5Gb/s（5580-40 10Gb/s）
最大连接数：1,000,000（ 5580-40 2,000,000 ）
每秒最大连接数：90,000（ 5580-40 150,000 ）
3Des/AES最大吞吐量：1Gb/s
最大的VPN会话数：10,000
最大的SSL VPN会话数：默认2个，可升级到10,000
虚拟防火墙授权：默认2，可升级到50
VLAN数量：100
高可用性（Failover）：A/S 和 A/A
可扩展性 ：VPN集群和负载均衡
接口数：2个接口

PIX 与ASA区别

SSL VPN：
PIX不支持SSL VPN，ASA支持SSL VPN
SSM（安全服务模块）：
PIX不支持，ASA支持
VPN集群和负载均衡：
PIX不支持，ASA支持
CF卡（闪存卡）的支持：
PIX不支持，ASA支持
AUX接口：
PIX没有AUX接口，ASA有AUX接口

PIX授权
R版本（限制版本）
UR版本（非限制版本）
Active/Standby Failover
Active/Active Failover
限制版本与非限制版本的区别在于：
1、接口：限制版本最多支持3个接口
2、内存：限制版本最大支持64M内存
3、FO（Failover）：限制版本不支持Failover

VPN加密授权
DES license
Provides 56-bit DES
3DES/AES license
Provides 168-bit 3DES
Provides up to 256-bit AES

本文转自 ID： 互联网老辛 更多内容关注公众号《极客运维之家》，扫码添加：