思科PIX和ASA之间的不同

很多年来， Cisco PIX 一直都是 Cisco 确定的防火墙。但是在 2005 年 5 月， Cisco 推出了一个新的产品——适应性安全产品（ ASA ， Adaptive Security Appliance ）。不过， PIX 还依旧可用。我已听到很多人在多次询问这两个产品线之间的差异到底是什么。让我们来看一看。 Cisco PIX 是什么？ Cisco PIX 是一种专用的硬件防火墙。 所有版本的 Cisco PIX 都有 500 系列的产品号码。最常见的家用和小型网络用产品是 PIX 501 ；而许多中型企业则使用 PIX 515 作为企业防火墙。 PIX 防火墙使用 PIX 操作系统。虽然 PIX 操作系统和 Cisco IOS 看起来非常的接近，但是对那些非常熟悉 IOS 的用户来说，还是有足够的差异性弄得他们头昏脑胀。 PIX 系列的防火墙使用 PDM （ PIX 设备管理器， PIX Device Manager ）作为图形接口。该图形界面系统是一个通过网页浏览器下载的 Java 程序。 一般情况下，一台 PIX 防火墙有个外向接口，用来连到一台 Internet 路由器中，这台路由器再连到 Internet 上。同时， PIX 也有一个内向接口，用来连到一台局域网交换机上，该交换机连入内部网络。 Cisco ASA 是什么？ 而 ASA 是 Cisco 系列中全新的防火墙和反恶意软件安全用具。（不要把这个产品和用于静态数据包过滤的 PIX 搞混了） ASA 系列产品都是 5500 系列。企业版包括 4 种： Firewall ， IPS ， Anti-X ，以及 ××× 。而对小型和中型公司来说，还有商业版本。 总体来说， Cisco 一共有 5 种型号。所有型号均使用 ASA 7.2.2 版本的软件，接口也非常近似 Cisco PIX 。 Cisco PIX 和 ASA 在性能方面有很大的差异，但是，即使是 ASA 最低的型号，其所提供的性能也比基础的 PIX 高得多。 和 PIX 类似， ASA 也提供诸如***防护系统（ IPS ， intrusion prevention system ），以及 ××× 集中器。实际上， ASA 可以取代三种独立设备—— Cisco PIX 防火墙， Cisco ××× 3000 系列集中器，以及 Cisco IPS 4000 系列传感器。 现在，我们已经看过了两种安全工具各自的基本情况，下面我们来看看他们互相比较的结果。 PIX 对 ASA 虽然 PIX 是一款非常优秀的防火墙，但是安全方面的情况却在日新月异。仅仅使用一台静态数据包过滤防火墙来对你的网络进行保护已远远不够了。对网络而言，新的威胁层出不穷——包括病毒，蠕虫，多余软件（比如 P2P 软件，游戏，即时通讯软件），网络欺诈，以及应用程序层面的***等等。 如果一台设备可以应付多种威胁，我们就称其提供了“ anti-X ”能力，或者说它提供了“多重威胁（ multi-threat ）”防护。但 PIX 恰恰无法提供这种层次的防护。 绝大多数公司不希望采用安装一台 PIX 进行静态防火墙过滤，同时再使用一些其他的工具来防护其他威胁的办法。他们更希望采用一台“集所有功能于一身”的设备——或是采用一台 UTM （统一威胁管理）设备。 而 ASA 恰好针对这些不同类型的***提供了防护。它甚至比一台 UTM 设备更厉害——不过，要成为一台真正的 UTM ，它还需要装一个 CSC-SSM 模块（ CSC-SSM ，内容安全以及控制安全服务， Content Security and Control Security Service ）才行。该模块在 ASA 中提供 anti-X 功能。如果没有 CSC-SSM ，那 ASA 的功能看起来会更像一台 PIX 。 那么，到底哪一个才适合你的企业呢？正如我们通常所说的，这要看你企业的需求而定。不过，我还是倾向于优先选择 ASA ，而后才是 PIX 。首先，一台 ASA 的价格要比同样功能的 PIX 要低。除去成本的原因不谈，至少从逻辑上来说，选择 ASA 就意味着选择了更新更好的技术。 对于那些已经在使用 Cisco PIX 的人来说， Cisco 已经提供了一个迁移指南，以解决如何从 Cisco PIX 迁移到 ASA 上的问题。就我观点而言，我觉得这起码预示了一点，就是 Cisco 终止 PIX 的日子正离我们越来越近。虽然 Cisco 公司尚未明确宣布这一点，但是我认为这只是一个时间问题罢了。

转载于:https://blog.51cto.com/googlecn/156040