关于各类防火墙的介绍(2)

　　1. Cisco PIX

　　Cisco PIX是最具代表性的硬件防火墙，属状态检测型。由于它采用了自有的实时嵌入式操作系统，因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言， Cisco PIX是同类硬件防火墙产品中最好的，对100BaseT可达线速。因此，对于数据流量要求高的场合，如大型的ISP，应该是首选。

　　但是，其优势在软件防火墙面前便不呈现不明显了。其致命伤主要有三：其一价格昂贵，其二升级困难，其三管理烦琐复杂。

　　与Microsoft ISA SERVER防火墙管理模块类似，Cisco公司也提供了集中式的防火墙管理工具Cisco Security Policy Manager。PIX可以阻止可能造成危害的SMTP命令，这给我们留下了深刻印象，但是在FTP方面它不能像大多数产品那样控制上载和下载操作。在日志管理、事件管理等方面远比不上ISA SERVER防火墙管理模块那么强劲易用，在对第三方厂商产品的支持这方面尤其显得不足。

　　它的管理功能模块的不足，是我们测试的所有产品中最差劲的一个：PIX的绝大多数管理都是通过命令行进行，没有漂亮的管理GUI，这使它的界面友好性较差，对于一些不熟悉指令的用户，使用PIX防火墙是件困难的事情。除此之外，用户还可以通过命令行方式或是基于Web的命令行方式对PIX进行配置，但这种方式不支持集中管理模式，必须对每台设备单独进行配置。而且，配置复杂的过滤规则是相当麻烦的，特别是当需要前插一条安全规则时，后面的所有过滤规则都得先擦除，再重写。

　　此外，我们发现使用命令行设置NAT并非简单，决没有比使用大多数GUI更方便。但是我们还发现，除了简单的安全策略，PIX在设置基于服务的访问、主机和网络的时候非常不好用。我们在修改安全策略时遇到了最大的麻烦，这需要对规则进行重新排序，在插入一个新的列表之前必须删除原来的规则列表。这是一个从Cisco路由器继承过来的并不好用的功能。

　　PIX自身带了一个管理应用程序，但是需要一台WINDOWS NT/WINDOWS 2K服务器专门运行这个软件，我们可以通过Web来访问这个程序。如果使用Web界面管理PIX，我们只能在配置时使用它做一些非常简单的修改。 Cisco公司称，他们将在明年初开发出一个新的软件以改善PIX的管理功能。