思科防火墙销售指南之应用篇(15)

站点到站点VPN和远程接入VPN是VPN的两个类型，思科PIX Firewall同时支持这两种VPN。

• 使用站点到站点VPN（Using a Site-to-Site VPN）

站点到站点VPN是一种WAN基础设施，能够代替和增强使用租用线路、帧中继或ATM连接远程和分支办公室和中央站点的现有专用网络。对于站点到站点VPN，PIX Firewall可以与任何Cisco VPN型网络设备互操作，例如Cisco VPN路由器。

• 使用远程接入VPN（Using a Remote Access VPN）

PIX Firewall支持混合型VPN部署，包括站点到站点流量和远程接入流量。远程接入VPN使用模拟、数字、ISDN、DSL、移动IP和有线技术将移动用户、远程员工及其他独立系统与PIX Firewall保护的网络安全地连接在一起。借助以下Cisco远程接入VPN应用，可以接入到受PIX Firewall保护的网络中：

Failover故障恢复（PIX Firewall Failover）

借助PIX故障恢复特性，用户可以用一条专用故障恢复线缆连接两个相同的PIX Firewall设备，以便实现完全冗余的防火墙解决方案。

实施故障恢复时，一个设备作为主用设备，另一个作为备用设备。两个设备的配置相同，而且运行相同的软件版本。故障恢复线缆将两个PIX Firewall设备连接在一起，使两个设备能实现配置同步和通话状态信息同步，这样，当主用设备出现故障时，备用设备无需中断网络连接和破坏安全性就能快速接替主用设备的工作。

思科防火墙技术和同类产品的比较

防火墙技术的分类

防火墙从传统概念分为软件防火墙和硬件防火墙，防火墙软件进入系统的层次越浅，对底层操作系统的安全依赖性就越小。软件防火墙的最大特点是基于众所周知的操作系统（windows NT，SUN Solaris，HP，SCO UNIX等），能安全控制存取访问一个软件。硬件防火墙采用专用的操作系统平台，甚至将操作系统固化在芯片中，从整体来看，是一个硬件设备。

软件防火墙由于技术的因素，有几个致命的弱点：

• 软件防火墙使用的多样性是一个严重缺点，操作系统本身的缺陷可能成为软件防火墙致命的弱点，而硬件防火墙的安全性则相对较高。
• 从速度上看，硬件防火墙的速度优势是明显的。软件防火墙由于操作系统的限制，很容易成为网络的瓶颈，硬件防火墙则很好的消除了这个缺陷。
• 软件防火墙的安装，配置工作较为复杂，也不便于使用。