扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:51CTO.COM 2007年11月13日
关键字: 防火墙 CheckPoint PIX AXENT
1. Cisco PIX
Cisco PIX是最具代表性的硬件防火墙,属状态检测型。由于它采用了自有的实时嵌入式操作系统,因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言, Cisco PIX是同类硬件防火墙产品中最好的,对100BaseT可达线速。因此,对于数据流量要求高的场合,如大型的ISP,应该是首选。
但是,其优势在软件防火墙面前便不呈现不明显了。其致命伤主要有三:其一价格昂贵,其二升级困难,其三管理烦琐复杂。
与Microsoft ISA SERVER防火墙管理模块类似,Cisco公司也提供了集中式的防火墙管理工具Cisco Security Policy Manager。PIX可以阻止可能造成危害的SMTP命令,这给我们留下了深刻印象,但是在FTP方面它不能像大多数产品那样控制上载和下载操作。在日志管理、事件管理等方面远比不上ISA SERVER防火墙管理模块那么强劲易用,在对第三方厂商产品的支持这方面尤其显得不足。
它的管理功能模块的不足,是我们测试的所有产品中最差劲的一个:PIX的绝大多数管理都是通过命令行进行,没有漂亮的管理GUI,这使它的界面友好性较差,对于一些不熟悉指令的用户,使用PIX防火墙是件困难的事情。除此之外,用户还可以通过命令行方式或是基于Web的命令行方式对PIX进行配置,但这种方式不支持集中管理模式,必须对每台设备单独进行配置。而且,配置复杂的过滤规则是相当麻烦的,特别是当需要前插一条安全规则时,后面的所有过滤规则都得先擦除,再重写。
此外,我们发现使用命令行设置NAT并非简单,决没有比使用大多数GUI更方便。但是我们还发现,除了简单的安全策略,PIX在设置基于服务的访问、主机和网络的时候非常不好用。我们在修改安全策略时遇到了最大的麻烦,这需要对规则进行重新排序,在插入一个新的列表之前必须删除原来的规则列表。这是一个从Cisco路由器继承过来的并不好用的功能。
PIX自身带了一个管理应用程序,但是需要一台WINDOWS NT/WINDOWS 2K服务器专门运行这个软件,我们可以通过Web来访问这个程序。如果使用Web界面管理PIX,我们只能在配置时使用它做一些非常简单的修改。 Cisco公司称,他们将在明年初开发出一个新的软件以改善PIX的管理功能。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。