很多年來，Cisco PIX一直都是Cisco確定的防火墻。但是在2005年5月，Cisco推出了一個新的產品——適應性安全產品（ASA，Adaptive Security Appliance）。不過，PIX還依舊可用。我已聽到很多人在多次詢問這兩個產品線之間的差異到底是什么。讓我們來看一看。

Cisco PIX是什么？

Cisco PIX是一種專用的硬件防火墻。 所有版本的Cisco PIX都有500系列的產品號碼。最常見的家用和小型網絡用產品是PIX 501；而許多中型企業則使用PIX 515作為企業防火墻。

PIX防火墻使用PIX操作系統。雖然PIX操作系統和Cisco IOS看起來非常的接近，但是對那些非常熟悉IOS的用戶來說，還是有足夠的差異性弄得他們頭昏腦脹。

PIX系列的防火墻使用PDM（PIX設備管理器，PIX Device Manager）作為圖形接口。該圖形界面系統是一個通過網頁瀏覽器下載的Java程序。

一般情況下，一臺PIX防火墻有個外向接口，用來連到一臺Internet路由器中，這臺路由器再連到Internet上。同時，PIX也有一個內向接口，用來連到一臺局域網交換機上，該交換機連入內部網絡。

Cisco ASA是什么？

而ASA是Cisco系列中全新的防火墻和反惡意軟件安全用具。（不要把這個產品和用于靜態數據包過濾的PIX搞混了）

ASA系列產品都是5500系列。企業版包括4種：Firewall，IPS，Anti-X，以及VPN。而對小型和中型公司來說，還有商業版本。

總體來說，Cisco一共有5種型號。所有型號均使用ASA 7.2.2版本的軟件，接口也非常近似Cisco PIX。Cisco PIX和ASA在性能方面有很大的差異，但是，即使是ASA最低的型號，其所提供的性能也比基礎的PIX高得多。

和PIX類似，ASA也提供諸如入侵防護系統（IPS，intrusion prevention system），以及VPN集中器。實際上，ASA可以取代三種獨立設備——Cisco PIX防火墻，Cisco VPN 3000系列集中器，以及Cisco IPS 4000系列傳感器。

現在，我們已經看過了兩種安全工具各自的基本情況，下面我們來看看他們互相比較的結果。

PIX對ASA

雖然PIX是一款非常優秀的防火墻，但是安全方面的情況卻在日新月異。僅僅使用一臺靜態數據包過濾防火墻來對你的網絡進行保護已遠遠不夠了。對網絡而言，新的威脅層出不窮——包括病毒，蠕蟲，多余軟件（比如P2P軟件，游戲，即時通訊軟件），網絡欺詐，以及應用程序層面的攻擊等等。

如果一臺設備可以應付多種威脅，我們就稱其提供了“anti-X”能力，或者說它提供了“多重威脅（multi-threat）”防護。但PIX恰恰無法提供這種層次的防護。
絕大多數公司不希望采用安裝一臺PIX進行靜態防火墻過濾，同時再使用一些其他的工具來防護其他威脅的辦法。他們更希望采用一臺“集所有功能于一身”的設備——或是采用一臺UTM（統一威脅管理）設備。

而ASA恰好針對這些不同類型的攻擊提供了防護。它甚至比一臺UTM設備更厲害——不過，要成為一臺真正的UTM，它還需要裝一個CSC-SSM模塊（CSC-SSM，內容安全以及控制安全服務，Content Security and Control Security Service）才行。該模塊在ASA中提供anti-X功能。如果沒有CSC-SSM，那ASA的功能看起來會更像一臺PIX。

那么，到底哪一個才適合你的企業呢？正如我們通常所說的，這要看你企業的需求而定。不過，我還是傾向于優先選擇ASA，而后才是PIX。首先，一臺ASA的價格要比同樣功能的PIX要低。除去成本的原因不談，至少從邏輯上來說，選擇ASA就意味著選擇了更新更好的技術。

對于那些已經在使用Cisco PIX的人來說，Cisco已經提供了一個遷移指南，以解決如何從Cisco PIX遷移到ASA上的問題。就我觀點而言，我覺得這起碼預示了一點，就是Cisco終止PIX的日子正離我們越來越近。雖然Cisco公司尚未明確宣布這一點，但是我認為這只是一個時間問題罷了。

要記住，面對Internet上五花八門的不同威脅，我們無法再簡單地像以往那樣有了一套防火墻就萬事大吉了；對完整的防護措施而言，一個多重防護的方法必不可少。雖然ASA的確是很好的一個選擇，但是這也并不意味著它是你的唯一選項。許多生產商都提供了很好的產品，在你最終選擇ASA之前，建議你不妨對它們多了解了解。