思科PIX501防火墙测试报告

　　日前，笔者有幸对思科PIX 501进行了实际测试。在拿到思科PIX 501时，我们立即被它的小巧吸引住了，用尺子一量，它的大小为16.20cm(长)×14.10cm(宽)×2.70cm(高)，比手掌大不了多少。在惊叹之余，一个疑问也浮上了我们的心头：这么小的个头，PIX 501能有多大能量？

　　功能：麻雀虽小，五脏俱全

　　从外观上看，PIX 501的前面板设有电源、VPN通道以及各个端口的状态指示灯，后面板设有一个RS-232控制台端口、一个集成化10Base-T外接端口和四个10/100M内接端口，如下图所示。其中，四端口10/100M交换机为中小企业的多台计算机共享一个宽带连接提供了简便方法。通过一系列的功能测试，PIX 501向我们展示了其出色功能。

　　思科各种类型防火墙在性能表现上会有所差别，但在软件功能上则完全一样。换句话说，PIX501所使用的软件与思科高端防火墙是相同的，用户购买了PIX 501就拥有了思科高端防火墙的强大功能。

　　管理性 PIX 501给我们的第一个印象是易于管理。PIX设备管理器（PDM)提供了一个直观的、基于GUI的界面，方便配置和监控PIX 501，并且不需要我们在管理端计算机上安装任何软件。PDM与防火墙之间的通信采用SSL方式，即在浏览器中使用HTTPS访问防火墙，加强了通信的安全性。图形化的PDM简化了防火墙的配置，同时还可以将CPU、内存利用率、建立连接数、端口及VPN等信息，以曲线形式直观地展现给我们。我们可以利用PIX 501所提供的命令行界面，通过多种方式对PIX 501进行远程配置、监控和诊断。PIX501具有中心发布功能，可以自动将对多个防火墙进行远程更新。通过Cisco VPN/安全管理解决方案中提供的Cisco安全策略管理器3.0或防火墙管理中心，我们可以对多台PIX 501防火墙进行远程管理。

　　安全性 PIX 501防火墙是一种针对特定需求而设计的安全设备，具有状态监测、虚拟专用网（VPN）和入侵检测等多项安全功能。PIX 501状态监测技术可以跟踪所有经过授权的用户的网络请求，防止未经授权的网络访问。PIX 501防火墙带有简单的IDS功能，也可以与思科IDS联动，表现出灵活的访问控制能力。它具有per-user ACL功能，通过与RADIUS或TACACS认证的结合实现针对每个用户的访问控制。我们还可以对经过防火墙的网络流量实施定制的策略。PIX 501集成一个加密锁插槽，我们可以利用一个标准的笔记本加密电缆锁确保PIX 501的物理安全。

　　支持VPN PIX 501支持IKE和IPSecVPN标准，确保数据的完整性，提供通过互联网对远程网络进行身份认证的功能，支持56位DES和168位3DES数据加密，以确保数据的安全性。通过PDM中的VPN Wizard，我们可以对PIX VPN进行配置。

　　支DHCP 作为DHCP服务器端，PIX 501可以为防火墙内部网络上的设备提供IP地址；作为DHCP客户端，PIX 501能够自动从电信服务供应商那里获取防火墙对外接口的IP地址，同时可以将获得的动态IP进行地址转换，这一功能方便了使用宽带上网的用户，也有助于分支机构之间实现VPN功能。PIX 501支持PPPoE，这一点非常适用于以ADSL方式上网的中小型企业用户。PIX 501支持多播，用户可以通过PIX 501进行视频转播。PIX 501支持IP电话，事实上，我们的一些功能测试都是通过IP电话进行的。

　　思科为PIX 501提供了强大的在线支持，网站提供了详尽文档。此外，PIX 501可以与领先的第三方解决方案集成，支持多种Cisco AVVID合作伙伴解决方案（语音、视频和综合数据架构），这些方案可以提供URL、内容过滤和病毒检测等功能。

　　性能：指标过硬，攻击知难而退

　　在测试中，我们使用的测试仪器是思博伦通信公司的SmartBits 6000B。控制台使用一台配置为PIII 1GHz/128M内存/20G硬盘的惠普台式机。在测试防火墙性能时，使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的两个10/100Base-TX端口，将其分别与防火墙的内外网口直连，如图一所示。测试防火墙防攻击能力时，使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的4个10/100Base-TX端口，分别连接到港湾Hammer24交换机上（该交换机经过我们测试能够达到线速），防火墙的内外网口也连接到交换机上，如图二所示。测试软件为SmartFlow 1.50和WebSuite Firewall1.10。

　　图1

　　图2

　　思科PIX 501测试环境

　　整体性能 PIX 501的性能表现给我们留下了两点深刻印象：一是高性能，在64字节情况下PIX 501双向吞吐量能够达到近60％确实给了我们一个不小的震动，这样的吞吐量能力完全能够胜任中小企业用户的带宽需求。同时，3500个并发连接数对于应付中小企业的Web请求也绰绰有余；二是稳定性，对于承担众多网络应用的防火墙来说，每次测试得到的结果上下有10％的波动都是属于正常的情况，而我们发现PIX 501的性能表现十分稳定，三次测试结果上下浮动不超过2%，有些项目三次测试结果甚至完全一样。

　　防攻击能力 PIX 501表现出了非同一般的防攻击能力。事实上，在我们测试过的所有的防火墙中，包括百兆和千兆的防火墙，PIX501的防攻击能力是非常出色的。在我们进行的7项抗DoS攻击测试中，PIX501都能做到很好防护，同时背景流都能正常建立。其中有六种攻击（Smurf、Land-based、Ping Sweep、Ping Flood、Ping of Death和TearDrop），防火墙没有漏过一个攻击包，在测试SynFlood攻击时，我们把初始半开连接阈限值设为1（最小值只能设为1），结果是只有一个攻击包透过防火墙，这已经使SynFlood攻击彻底失去了意义。PIX 501近乎完美的表现使我们深深感受到了这个小巧身材里所蕴含的巨大能量。

　　测试点评：

　　对于中小企业用户和大型用户的分支机构来说，在选择防火墙时应该权衡好性能和功能之间的平衡。由于这部分用户的网络流量不大，在保证足够的性能指标的前提下，防火墙产品应该提供尽量丰富的功能。从这一点出发，目前的百兆、千兆防火墙并不能完全适合中小企业和大型用户分支机构的需求。通过测试，我们发现思科PIX 501具有即插即用的特点， 并且将安全功能、联网功能和远程管理功能集成在一起，可以说是一款专门为中小企业用户和大型用户的分支机构量身设计的防火墙解决方案。