企業防火牆─Cisco

瀏覽防火牆廠商的網站，只要進入產品目錄，就可以直接找到防火牆產品，但瀏覽Cisco的網站，進入產品目錄，我們可以看到34項產品，有路由器、交換器和數據機等項目，卻找不到防火牆這個項目，因為它是屬於「Security and VPN Devices」，產品包含防火牆、VPN及入侵預防系統等。

與其他廠商不同，Cisco希望企業從整體的安全面來選購合適的產品，而非只是選購單一解決方案。PIX、IOS、FWSM

Cisco的防火牆解決方案分成3大類，第一類是我們熟知的PIX防火牆，產品從SOHO等級的PIX 501（60Mbps）到資料中心等級的PIX 535（1.6Gbps）；第二類是軟體的IOS防火牆，可整合於Cisco路由器內，包括Cisco 830、1700、3700及7000系列等產品，只要選擇合適的版本，就可以在路由器上建置防火牆，效能介於10 Mbps到200 Mbps之間；第三類是FWSM（Firewall Services Module），它是Catalyst 6500系列的交換器和7600系列的路由器的防火牆模組，必須佔用1個插槽，可以想像成是模組化的PIX防火牆，因為它同樣使用PIX OS，而且每片效能高達5Gbps（單臺主機最高可達20 Gbps）。

在採購時，如果考量的是安全性與產品性能，則建議採用PIX防火牆，如果價格是第一考量， IOS防火牆則是首選，而且能夠快速建置完成，FWSM則適合大型企業的骨幹或資料中心。比較困擾的是，這3種產品的設定方式都不同。

如果你拆開過PIX防火牆，會發現只不過是一塊主機板，上頭有處理器和記憶體，卻要價數十萬元。其實理由很簡單，因為產品具備ASA（Apative Security Algorithm）演算法，它能消除重覆性動作，提高運算速度，並追蹤來源與目的位址、TCP、埠號及額外的TCP標誌（flags）等資訊，提供更佳的安全防護機制。

建置防火牆之後，只要你的英文夠好，幾乎所有的資訊都可以在Cisco的原廠網站上找到，包括產品資訊、白皮書、使用手冊、教育訓練、認證考試、採購、技術支援及韌體更新等。研發導向，強調整合性

在整合性上，安全裝置必須與其他網路設備完整結合，防火牆當然也不例外，對於已經建置Cisco的網路設備的企業而言，Cisco防火牆的整合性也比其他產品最好。

在高可用度方面，大多數廠商支援Active-Active和Active-Standby 模式，甚至還有廠商支援3種模式，但Cisco則僅支援Active-Standby一種模式，臺灣思科系統工商事業群技術總監楊士逸表示，不論是Active-Active或Active-Standby模式，企業都要採購兩臺裝置，所要花費的成本相同，而且目的也一樣。

在管理方面，Cisco PIX 防火牆除了可以利用免費的PIX Device Manager （PDM）管理外，也可由Cisco Secure Policy Manager集中控管，最多可同時管理500臺PIX防火牆。自我防禦，自我修復

Cisco併購Okena後，除了推出IDS產品線，今年也將推出個人端電腦與伺服器的安全方案CSA（Cisco Security Agent），它可以讓每臺電腦都具備基本的防禦能力，並與防毒軟體（NAI、Symantec及趨勢科技）協同阻絕病毒和蠕蟲的入侵，減少企業建置防火牆和入侵偵測系統的數量。

當遭到入侵後，你的網路是否還能存活？大部分的狀況下是不行，但Cisco希望即使企業遭到入侵，網路仍可以正常運作。楊士逸表示，Cisco每年花17%的營收在研發上面，不單只是提供產品，而是從客戶的需求面來看，希望企業的網路環境能像人體的免疫系統一樣，擁有自我修復的能力。文⊙陳世煌