思科防火墙型号(思科防火墙型号有哪些)

思科防火墙是哪个

思科默认密码通常是“cisco”或“Cisco”。但也有一些防火墙模型的默认密码会有所不同，比如说ASA5500的默认密码是“changeme”激侍搏，而ASA5505的默谈卜认密码是“cisco”或明祥“Cisco”。此外，还应该注意，如果您购买的是新的思科防火墙，有可能会有更改默认密码的要求。

思科防火墙型号有哪些

搜一下：思科，华为，华3，Juniper主流交换机，路由器，防火墙有哪些型号

思科防火墙用的谁的硬件

在众多的企业级主流防火墙中，ciscopix防火墙是所有同类产品性能最好的一种。ciscopix系列防火墙目前有5种型号pix506，515，520，525，535。其中pix535是pix500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的isp等服务提供商。但是pix特有的os操作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过web管理界面来进行网络管理，这样会给初学者带来不便。本文将通过实例介绍如何配置ciscopix防火墙。

在配置pix防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：

�0�3内部区域（内网）。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。

�0�3外部区域（外网）。外部区域通常指internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

�0�3停火区（dmz）。停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置web服务器，mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。

由于pix535在企业级别不具有普遍性，因此下面主要说明pix525在企业网络中的应用。

pix防火墙提供4种管理访问模式：

非特权模式。pix防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>

特权模式。输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#

配置模式。输入configureterminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#

监视模式。pix防火墙在开机或重启过程中，按住escape键或发送一个“break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor>

配置pix防火墙有6个基本命令：nameif，interface，ipaddress，nat，global，route.

这些命令在配置pix是必须的。以下是配置的基本步骤：

1.配置防火墙接口的名字，并指定安全级别（nameif）。

pix525(config)#nameifethernet0outsidesecurity0

pix525(config)#nameifethernet1insidesecurity100

pix525(config)#nameifdmzsecurity50

提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：

pix525(config)#nameifpix/intf3security40（安全级别任取）

2.配置以太口参数（interface）

pix525(config)#interfaceethernet0auto（auto选项表明系统自适应网卡类型）

pix525(config)#interfaceethernet1100full（100full选项表示100mbit/s以太网全双工通信）

pix525(config)#interfaceethernet1100fullshutdown（shutdown选项表示关闭这个接口，若启用接口去掉shutdown）

3.配置内外网卡的ip地址（ipaddress）

pix525(config)#ipaddressoutside61.144.51.42255.255.255.248

pix525(config)#ipaddressinside192.168.0.1255.255.255.0

很明显，pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1

4.指定要进行转换的内部地址（nat）

网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]

其中（if_name）表示内网接口名字，例如inside.nat_id用来标识全*地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。

例1．pix525(config)#nat(inside)100

表示启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0

例2．pix525(config)#nat(inside)1172.16.5.0255.255.0.0

表示只有172.16.5.0这个网段内的主机可以访问外网。

5.指定外部地址范围（global）

global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中（if_name）表示外网接口名字，例如outside.。nat_id用来标识全*地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmarkglobal_mask]表示全*ip地址的网络掩码。

例1．pix525(config)#global(outside)161.144.51.42-61.144.51.48

表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全*ip地址。

例2．pix525(config)#global(outside)161.144.51.42

表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。

例3.pix525(config)#noglobal(outside)161.144.51.42

表示删除这个全*表项。

6.设置指向内网和外网的静态路由（route）

定义一条静态路由。route命令配置语法：route(if_name)00gateway_ip[metric]

其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。

例1．pix525(config)#routeoutside0061.144.51.1681

表示一条指向边界路由器（ip地址61.144.51.168）的缺省路由。

例2．pix525(config)#routeinside10.1.1.0255.255.255.0172.16.0.11

pix525(config)#routeinside10.2.0.0255.255.0.0172.16.0.11

如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由，静态路由的下一条路由器ip地址是172.16.0.1

这6个基本命令若理解了，就可以进入到pix防火墙的一些高级配置了。

a.配置静态ip地址翻译（static）

如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全*地址，允许这个会话建立。static命令配置语法：static(internal_if_name，external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示内部网络接口，安全级别较高。如inside.external_if_name为外部网络接口，安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ip_address为内部网络的本地ip地址。

例1．pix525(config)#static(inside,outside)61.144.51.62192.168.0.8

表示ip地址为192.168.0.8的主机，对于通过pix防火墙建立的每个会话，都被翻译成61.144.51.62这个全*地址，也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。

例2．pix525(config)#static(inside,outside)192.168.0.210.0.1.3

例3．pix525(config)#static(dmz,outside)211.48.16.2172.16.10.8

注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全*ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。

b.管道命令（conduit）

前面讲过使用static命令可以在一个本地ip地址和一个全*ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到dmz或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。

conduit命令配置语法：

conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]

permit|deny允许|拒绝访问

global_ip指的是先前由global或static命令定义的全*ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。

port指的是服务所作用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。

protocol指的是连接协议，比如：tcp、udp、icmp等。

foreign_ip表示可访问global_ip的外部ip。对于任意主机，可以用any表示。如果foreign_ip是一台主机，就用host命令参数。

例1.pix525(config)#conduitpermittcphost192.168.0.8eqwwwany

这个例子表示允许任何外部主机对全*地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。eqftp就是指允许或拒绝只对ftp的访问。

例2.pix525(config)#conduitdenytcpanyeqftphost61.144.51.89

表示不允许外部主机61.144.51.89对任何全*地址进行ftp访问。

例3.pix525(config)#conduitpermiticmpanyany

表示允许icmp消息向内部和外部通过。

例4.pix525(config)#static(inside,outside)61.144.51.62192.168.0.3

pix525(config)#conduitpermittcphost61.144.51.62eqwwwany

这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：192.168.0.3－>61.144.51.62（全*），然后利用conduit命令允许任何外部主机对全*地址61.144.51.62进行http访问。

c.配置fixup协议

fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：

例1．pix525(config)#fixupprotocolftp21

启用ftp协议，并指定ftp的端口号为21

例2．pix525(config)#fixupprotocolhttp80

pix525(config)#fixupprotocolhttp1080

为http协议指定80和1080两个端口。

例3．pix525(config)#nofixupprotocolsmtp80

禁用smtp协议。

d.设置telnet

telnet有一个版本的变化。在pixos5.0（pix操作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pixos5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在pix上配置ssh，然后用sshclient从外部telnet到pix防火墙，pix支持ssh1和ssh2，不过ssh1是免费软件，ssh2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。

telnet配置语法：telnetlocal_ip[netmask]

local_ip表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。

说了这么多，下面给出一个配置实例供大家参考。

welcometothepixfirewall

typehelpor’?’foralistofavailablecommands.

pix525>en

password:

pix525#shconfig

:saved

:

pixversion6.0(1)------pix当前的操作系统版本为6.0

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100------显示目前pix只有2个接口

enablepassword7y051hhccoirtsqzencrypted

passed7y051hhccoirtsqzencrypted------pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet密码缺省为cisco

hostnamepix525------主机名称为pix525

domain-name123.com------本地的一个域名服务器123.com，通常用作为外部访问

fixupprotocolftp21

fixupprotocolhttp80

fixupprotocolh3231720

fixupprotocolrsh514

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060------当前启用的一些服务或协议，注意rsh服务是不能改变端口号

names------解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空

pagerlines24------每24行一分页

interfaceethernet0auto

interfaceethernet1auto------设置两个网卡的类型为自适应

mtuoutside1500

mtuinside1500------以太网标准的mtu长度为1500字节

ipaddressoutside61.144.51.42255.255.255.248

ipaddressinside192.168.0.1255.255.255.0------pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1

ipauditinfoactionalarm

ipauditattackactionalarm------pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。

pdmhistoryenable------pix设备管理器可以图形化的监视pix

arptimeout14400------arp表的超时时间

global(outside)161.144.51.46------如果你访问外部论坛或用qq聊天等等，上面显示的ip就是这个

nat(inside)10.0.0.00.0.0.000

static(inside,outside)61.144.51.43192.168.0.8netmask255.255.255.25500

conduitpermiticmpanyany

conduitpermittcphost61.144.51.43eqwwwany

conduitpermitudphost61.144.51.43eqdomainany

------用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口

routeoutside0.0.0.00.0.0.061.144.51.611------外部网关61.144.51.61

timeoutxlate3:00:00------某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全*地址

timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00

timeoutuauth0:05:00absolute------aaa认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证

aaa-servertacacs+protocoltacacs+

aaa-serverradiusprotocolradius------aaa服务器的两种协议。aaa是指认证，授权，审计。pix防火墙可以通过aaa服务器增加内部网络的安全

nosnmp-serverlocation

nosnmp-servercontact

snmp-servercommunitypublic------由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人

nosnmp-serverenabletraps------发送snmp陷阱

floodguardenable------防止有人伪造大量认证请求，将pix的aaa资源用完

nosysoptroutednat

telnettimeout5

sshtimeout5------使用ssh访问pix的超时时间

terminalwidth80

cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7

pix525#

pix525#writememory------将配置保存

上面这个配置实例需要说明一下，pix防火墙直接摆在了与internet接口处，此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办？你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，showinterface查看端口状态，showstatic查看静态地址映射，showip查看接口ip地址，pingoutside|insideip_address确定连通性。

思科防火墙ha配置

行业前沿 |  技术干货  | 报告解读 | 职业发展

晚上好，我的网工朋友。

今天想和你聊聊防火墙。防火墙是啥？表意自然是防止火灾发生时，火势烧到其它区域，使用由防火材料砌的墙。

后来这个词语引入到了网络中，把从外向内的网络入侵行为看做是火灾，防止这种入侵的策略叫做防火墙。

后来，防火墙不但用于防范外网，例如：对企业内网的DoS攻击或非法访问等，也开始防范从内部网络向互联网泄露信息、把内部网络作为攻击跳板等行为。

想更透彻地理解防火墙的知识，建议你读下今天的文章，把基础知识先学明白。

今日文章阅读福利：《思科防火墙白皮书 》

添加好友，发送暗号“防火墙”，即可获取该份高清优质电子书资源。

 前30名粉丝 免费获得资源 

切入正题前，再浅聊一下防火墙是怎么一回事儿。

防火墙是可信和不可信网络之间的一道屏障，通常用在LAN和WAN之间。

它通常放置在转发路径中，目的是让所有数据包都必须由防火墙检查，然后根据策略来决定是丢弃或允许这些数据包通过。

例如：

如上图，LAN有一台主机和一台交换机SW1。在右侧，有一台路由器R1连接到运营商的路由器ISP1。

防火墙位于两者之间，这样就可以保证LAN的安全。

路由器是可选的，主要是取决于所连的WAN。例如，如果你的ISP提供电缆，那么你可能有一个带有以太网连接的电缆调制解调器，也可以直接连接到你的防火墙。

当它是无线连接时，你可能需要那里的路由器进行连接。如果你需要配置（高级）路由，如BGP，你就需要路由器。

大多数防火墙支持一些基本路由选项：静态路由、默认路由，有时还支持RIP、OSPF或EIGRP等路由协议。

我们在这里谈论硬件防火墙。还有软件防火墙，例如MicrosoftWindows预装的防火墙。它具有与我们的硬件防火墙类似的功能。

01

状态过滤

防火墙，如路由器，可以使用访问控制列表来检查源、目地址/端口号。

然而，大多数路由器不会在过滤上花太多时间……当它们收到数据包时，就检查数据包的源目信息是否与访问控制列表中的条目匹配，如果匹配，它们会允许或丢弃该数据包。

无论他们收到一个数据包还是数千个数据包，每个数据包都会单独处理，不进行跟踪之前是否检查过的数据包，这称为无状态过滤。

与之相反的就是，有状态过滤。防火墙会跟踪所有入向和出向的连接。

例如：

*域网里有台电脑，作为邮箱客户端，通过互联网去访问邮箱服务器，邮箱客户端起初会进行TCP三次握手，经过防火墙，就知道它们的源目信息，防火墙会跟踪这些信息，当邮箱服务器要进行响应客户端的请求时，防火墙就会自动允许这部分的流量通过防火墙，最终到达客户端。

一个Web服务器位于防火墙后面，它是一个繁忙的服务器，平均每秒从不同的IP地址接受20个新的TCP连接。防火墙会跟踪所有连接，一旦发现每秒请求超过10个新TCP连接的源IP地址，它将丢弃来自该源IP地址的所有流量，防止DoS（拒绝服务）。

02

数据包检测

大多数防火墙支持进行数据包（深度）检查。简单的访问控制列表仅能检查源、目标地址/端口，即OSI模型的第3层和第4层。

数据包深度检查意味着防火墙可以检查OSI模型的第7层。这就意味着防火墙查看应用程序数据甚至负载：

上面你看到网络（IP）和传输层（TCP）被标记为红色，应用层被标记为绿色。这个示例是来自捕获web浏览器请求页面的数据包。

03

安全区

默认情况下，Cisco路由器将允许并转发它们收到的所有数据包，前提是需要匹配它们的路由表中的路由。

如果你想进行限制，你必须配置一些ACL。

如果设备有很多接口或很多条ACL需要配置，这会成为网工的噩梦。

这是一个例子：

上面的路由器有两个入站方向ACL来阻止来自主机的一些流量。

此外，还有两个ACL，来防止来自Internet的流量进入我们的网络。

我们还可以复用一些ACL，但记得将ACL应用到四个接口。

接下来有个更好的解决方案，防火墙可以结合安全区域来工作。

这是一个例子：

上面我们有两个安全区域：

inside：这是LAN区域。

outside：这是WAN区域       接口已分配到正确的安全区域。这些区域有两个简单的规则：

允许从“高”安全级域到“低”安全级别的流量。

拒绝从“低”安全级别到“高”安全级别的流量。

LAN是我们信任的网络，所以具有很高的安全级别。WAN不受信任，因此它的安全级别较低。这意味着来自从LAN去往WAN的流量将被允许。

从WAN到LAN的流量将被拒绝。由于防火墙是有状态的，它会跟踪传出连接并允许其返回的流量。

如果你想例外，也可以允许从WAN到LAN的流量，这就需要通过访问控制列表来完成了。

大多数公司将拥有一台或多台服务器，这些服务器大部分是需要从Internet来访问。如邮件服务器。

为了安全，我们没有将它们放在内部（LAN），而是放在称为DMZ（非军事区）的第三个区域。看看下面的图片：

DMZ安全区域的安全级别介于INSIDE和OUTSIDE之间。这意味着：

允许从INSIDE到OUTSIDE的流量。

允许从INSIDE到DMZ的流量。

允许从DMZ到OUTSIDE的流量。

从DMZ到INSIDE的流量被拒绝。

从外部到DMZ的流量被拒绝。

从外部到内部的流量被拒绝。

为确保来自OUTSIDE的流量能够到达DMZ中的服务器，我们将使用一个访问列表，该列表只允许流量流向DMZ中服务器使用的IP地址（和端口号）。

此设置非常安全，如果你在DMZ中的其中一台服务器遭到黑客攻击，你的INSIDE网络仍然是安全的。

04

总结

防火墙的基础知识差不多就是这些了，你消化得咋样？给你总结一波。

防火墙使用状态过滤来跟踪所有入站和出站连接。

他们还能够（主要看防火墙型号）检查OSI模型的第7层、应用程序的有效负载。

防火墙还使用安全区域，允许来自高安全级别的流量进入较低安全级别。

从低安全级别到高安全级别的流量将被拒绝，可以使用访问控制列表进行特例处理。

思科防火墙asa5505

1）思科肯定是行业老大啊！思科路由器:cisco1841,2801,2811,2821,2851,3825,3845思科交换机：ws-c2960-24tt,48tt,24tc,48tc;还有3560系列，3750系列。。。型号大同小异；思科防火墙：pix系列，不过市场上比较少了!现在主要是asa5500系列的替代了pix系列防火墙。如asa5510-bun-k9,asa5520-bun-k9等等思科官方网站：www.cisco.com.cn2）国内大品牌有华为，华三。。华为产品现在有一部分已经成为华三名下的产品了，华为主打产品除了路由器，交换机,主要还是光网络和其他产品，要想了解详细，请看官方网站：www.huawei.com.cn华三系列主要是soho系列，还有主网系列的交换机，路由器！她的防火墙也就是f100-a,f100-s,f100-c，f100-e卖的多些！3）其他牌子还有d-link（友讯）,tp-link，这些牌子一般适合中小企业和家庭用的比较多，价格实惠！建议去www.it168.com;www.zol.com.cn;www.pcpop.com等一下大的网站去看一下，肯定对你有很大帮助！

思科防火墙配置命令手册

国家信息安全漏洞库（CNNVD）是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，为我国信息安全保障提供基础服务。

近日，国家信息安全漏洞库（CNNVD）收到XPwn未来安全探索盛会组委会关于北京长亭科技有限公司发现的CiscoASA（AdaptiveSecurityAppliance）防火墙设备缓冲区溢出漏洞的情况报送。该漏洞源于CiscoASA防火墙对NetBIOS协议数据解析时产生溢出错误，攻击者可利用该漏洞对内存数据进行覆盖，从而执行任意代码。由于该漏洞影响范围较广，危害较为严重，根据CNNVD相关规定，已对此漏洞进行收录，并分配编号CNNVD-201610-564。

一、漏洞简介

CiscoAdaptiveSecurityAppliances（ASA，自适应安全设备）Software是美国思科（Cisco）公司的一套运行于防火墙中的操作系统。

CiscoASASoftware的IdentityFirewall功能存在缓冲区溢出漏洞（漏洞编号：CNNVD-201610-564，CVE-2016-6432）。该漏洞源于CiscoASA防火墙对NetBIOS协议数据解析时产生溢出错误。攻击者可通过发送恶意的数据包利用该漏洞执行任意代码，获取系统的完全控制权，或造成受影响系统重载。

经思科官方确认，如下产品可能受此漏洞影响：

CiscoASA5500SeriesAdaptiveSecurityAppliances

CiscoASA5500-XSeriesNext-GenerationFirewalls

CiscoCatalyst6500Series/7600SeriesASAServicesModule

CiscoASA1000VCloudFirewall

CiscoAdaptiveSecurityVirtualAppliance(ASAv)

CiscoASAforFirepower9300Series

CiscoASAforFirepower4100Series

CiscoISA3000IndustrialSecurityAppliance

二、漏洞危害

攻击者以任何方式连接入受影响设备所在内网后，可通过构造恶意数据包的方式，使该设备产生溢出错误，从而执行任意代码，控制该防火墙，导致对内网其他设备的进一步攻击，漏洞危害较为严重。

三、修复措施

目前思科公司已发布该漏洞的修复补丁，受影响用户可通过如下方式修复该漏洞：

1.用户可通过如下配置命令,关闭存在问题的协议以规避风险：

ciscoasa#configureterminal

ciscoasa(config)#nouser-identitylogout-probenetbioslocal-system

    2.用户可通过公告链接中的修复流程，查看使用的防火墙型号，根据型号进行升级。 

公告链接https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161019-asa-idfw

本报告由XPwn未来安全探索盛会组委会、北京长亭科技有限公司提供支持。

 CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD及时联系。

 联系方式：cnnvd@itsec.gov.cn。

思科防火墙的优缺点

下面是ciscoPIX和ASA的所有型号最后面是最新的希望楼主采纳！PIX515-UR-BUNPIX520PIX525PIX535PIX-1GE-66PIX-515E-URPIX-535-PWR-ACPIX-VAC+CiscoAdaptiveSecurityAppliance5505ASA5505-50-BUN-K8ASA5505-50-BUN-K9ASA5505-BUN-K9ASA5505-K8ASA5505-SEC-BUN-K8ASA5505-SEC-BUN-K9ASA5505-UL-BUN-K8ASA5505-UL-BUN-K9CiscoAdaptiveSecurityAppliance5510ASA5510-AIP10-DCK9ASA5510-AIP10-K8ASA5510-AIP10-K9ASA5510-AIP10SP-K8ASA5510-AIP10SP-K9ASA5510-AIP20SP-K8ASA5510-AIP20SP-K9ASA5510-BUN-K9ASA5510-CSC10-K8ASA5510-CSC10-K9ASA5510-CSC20-K9ASA5510-DC-K8ASA5510-K8ASA5510-SEC-BUN-K9CiscoAdaptiveSecurityAppliance5520ASA5520-AIP10-K8ASA5520-AIP10-K9ASA5520-AIP20-K8ASA5520-AIP20-K9ASA5520-AIP40-K8ASA5520-AIP40-K9ASA5520-BUN-K9ASA5520-CSC10-K9ASA5520-CSC20-K8ASA5520-CSC20-K9ASA5520-DC-K8ASA5520-K8CiscoAdaptiveSecurityAppliance5540ASA5540-AIP20-K8ASA5540-AIP20-K9ASA5540-AIP40-K8ASA5540-AIP40-K9ASA5540-BUN-K9ASA5540-DC-K8ASA5540-K8CiscoAdaptiveSecurityAppliance5550ASA5550-BUN-K9ASA5550-DC-K8ASA5550-K8ASA5550-K9CiscoAdaptiveSecurityAppliance5580ASA5580-20-4GE-K9ASA5580-20-8GE-K9ASA5580-20-BUN-K8ASA5580-20-BUN-K9ASA5580-40-10GE-K9ASA5580-40-8GE-K9ASA5580-40-BUN-K8ASA5580-40-BUN-K9CiscoAdaptiveSecurityApplianceModulesASA5580-2X10GE-SRASA5580-2X10GE-SR=ASA5580-4GE-CUASA5580-4GE-CU=ASA5580-4GE-FIASA5580-4GE-FI=ASA-AIP-10-INC-K9ASA-AIP-20-INC-K9ASA-AIP-40-INC-K9ASA-CSC-10-INC-K9ASA-CSC-20-INC-K9ASA-SSM-AIP-10-K9=ASA-SSM-AIP-20-K9=ASA-SSM-AIP-40-K9=ASA-SSM-CSC-10-K9=ASA-SSM-CSC-20-K9=SSM-4GE

思科防火墙系列

建议楼主购买思科的asa产品，该产品是思科在PIX的基础之上开发的新一代企业级防火墙，不但拥有PIX的所有所有功能，同是还在PIX的基础上更新PVN，建议使用ASA产品的5510.学生出来工作所面对的是企业而非是教学，这点楼主比我们任何人都清楚，只要是对cisco设备熟悉，那一个IOS又有什么关系，况且ASA的IOS与路由交换的IOS没多大区别，无非是在VPN设备上，当然如不使用WEB管理页面的话，基本没区别，至于价钱，给楼主提供几个，楼主自己自己考虑，

产品名称产品描述单价

ASA5510-K8ASA5510AppliancewithSW,5FE,DES￥14,272.48

ASA5510-DC-K8ASA5510AppliancewithDCpower,SW,5FE,DES￥16,885.92

ASA5510-BUN-K9ASA5510AppliancewithSW,5FE,3DES/AES￥12,772.48

ASA5510-SEC-BUN-K9ASA5510SecurityPlusApplwithSW,HA,2GE+3FE,3DES/AES￥16,383.68

ASA5510-AIP10-K8ASA5510AppliancewithAIP-SSM-10,SW,5FE,DES￥21,850.48

ASA5510-AIP10-DCK9ASA5510Appl.w/AIP10,DCPwr,SW,5FE,3DES/AES￥25,863.92

ASA5510-AIP10-K9ASA5510AppliancewithAIP-SSM-10,SW,5FE,3DES/AES￥21,850.48

ASA5510-AIP10SP-K8ASA5510SecPluswithAIP-SSM-10,2GE+3FE,SW,HA,DES￥23,891.28

ASA5510-AIP10SP-K9ASA5510withAIP-SSM-10,2GE+3FE,SW,HA,3DES/AES,SECPLUS￥23,991.28

ASA5510-AIP20SP-K8ASA5510AppliancewithAIP-SSM-20,SW,5FE,DES,SECPLUS￥33,923.28

ASA5510-AIP20SP-K9ASA5510withAIP-SSM-20,2GE+3FE,SW,HA,3DES/AES,SECPLUS￥33,823.28