با سلام و تشکر
لطفا در ارتباط با تفاوت فایروالهای pix و ASA و FWSM توضیحی بدهیدو اینکه نقطه ضعف هر کدام چیست.
محمدعلی
سوال شما من را یاد کتاب جدید سیسکو انداخت:
Cisco ASA, PIX, and FWSM Firewall Handbook
ISBN-10: 1587054574
که از کتاب های خوب برای آشنایی با Firewall های سیسکو است. برای این که به این سوال جواب دهیم باید به زمان و تاریخ رجوع کنیم.
Cisco PIX Private Internet eXchangeاز اولین محصولات تاریخ فایروال و امنیت شبکه است که به سال 1995 ارائه شد و روز July 28, 2008 با اطلاع قبلی فوت شد (البته سیسکو مشتریان را تا 2013 پشتیبانی خواهد کرد)
بعد از ده سال از شروع به کار PIX؛ سیسکو ASA را در سال 2005 ارائه کرد و PIX را از رده خارج. هر چند که تکنولوژی PIX کماکان زنده است و درون سوییچ های 6500 و روتر های 7600 بنام FWSM کار میکند.
FireWall Services Module يا FWSM یک Blade يا ماژول درون 6500 است که مستقل از خود سوییچ کار میکند اما با سرعت بالا به Backplane وصل میشود و میتواند سر راه VLAN ها قرار گیرد.
FWSM سال 2003 ارائه شد و به جرات میتوان آنرا از بهترین و منحصر به فردترین محصولات سیسکو دانست که حتی Juniper Netscreen هم نمیتواند با آن رقابت کند. زیرا که با 5Gbps درون Backplane سوییچ های Core 6500 شما قرار میگیرد و در هر شاسی تا 4 ماژول با سرعت 20Gbps میتوانید قرار دهید inline یعنی نیازی به اتصال به بیرون ندارد.
FWSM صرفا فایروال است VPNرا پشتیبانی نمیکند برای VPN باید از Blade دیگر و برای IDS از Blade دیگری استفاده کنید.
ساخت PIX توسط John Mayes صورت گرفت و در شکل زیر اولین PIX با شماره سریال 00000000 را میبینیم:
تصویر زیر دفتر شرکت در سال 94 در حال کار روی PIX را نشان میدهد که بسیار شلوغ بوده … تعداد کارمندان گروه PIX کمتر از ده نفر بودند.
از نسخه 7 سیستم عامل PIX؛ سیسکو شروع به یکسان سازی آن با IOS کرد بصورتیکه اگر با PIX6 کار کنید نیمتوانید دستورات را با PIX7 مقایسه کنید سیستم عامل جدید بسیار راحت تر برای IOS کاران است. کاری که Juniper برای Netscreen و ScreenOS هنوز نتوانسته کند و به فرم Junos در آورد. هر چند که فایروال های جونیپر دارای قابلیت های خوبی هستند که ASA با تعجب از کنار آنها گذشته نظیر PBR و DMVPN که در خیلی از پروژه ها کار مارا خراب کرده و مجبور شدیم از روتری در کنار آن استفاده کنیم.
نسخه 7 برای ASA ساخته شد که روی PIX نیز اجرا میشود اما نسخه 8 دیگر روی PIX اجرا نشده و ASA تنها آنرا پشتیبانی میکند پس مزایایی مثل SSL VPN روی PIX پشتیبانی نشده و ناگریز به استفاده از ASA خواهید بود.
علاوه بر این ASA قابلیت Virtualization دارد يعنی میتوانید یک سخت افزار را به چند Context تقسیم کنید و چند فایروال مجازی داشته باشید. این کار برای Hosting ها بسیار مفید است میتوانند به مشتریان با Policy های مختلف فایروال بدهند در حالیکه فایروال نخرند و Context اختصاص دهند.
در ضمن روی ASA يک درگاه افزایش Module وجود دارد که میتوانید آنرا به IPS و CSC مجهز کنید که قبلا به آن پرداخته ایم:
http://blog.shafagh.com/persian/2008/11/14/asa-ips
ASA قابلیت Transparent Firewall در لایه دو را نیز دارد:
http://blog.shafagh.com/persian/2008/11/12/transparent-firewall-stealth-mode
در پایان
انتخاب شما بین ASA و FWSM است درصورتیکه 6500 دارید FWSM را پیشنهاد میکنم بشرطی که کار VPN و IPS را به دستگاه های دیگر واگذار کنید.
خيلي عالي بود دقيقا من همين سوال رو داشتم
لطفا در مورد ASA و کلا security بيشتر بنويسيد
سلام
در شبکه ما کار NATing را روتر 3845 انجام میده اما مرتب RAM کم میاره می خوایم که NAT رو روی PIX525 پیاده کنیم میشه راهنمایی کنید
PIX انتخاب مناسبی برای این کار است. در صورتیکه قبلا این کار را نکرده اید به Configuration Guide آن رجوع کنید:
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/cfgnat.html
در ضمن از نسخه 7 یا 8 نرم افزار استفاده کنید…