6503/6506/6509高端防火墻解決方案應用

領測軟件測試網

　　 
　　借助 Cisco Catalyst 6500 系列交換機增強企業園區網的安全性
　　

　　借助當今先進的智能企業網，企業能夠有效地部署電子商務等應用，因而能實現勞動力的優化組合以及業務的全球化。這些強大的網絡能夠將許多遠程站點、分支辦公室、移動員工、合作伙伴和客戶連接在一起，從而能夠為數千用戶提供服務。但是，還存在一個問題所有網絡都越來越多地受到了企業園區網和互聯網上越來越多的安全隱患的威脅。另外，對電子商務應用需求的增加，以及服務向公共領域的集中也增加了流量經過網絡時的危險，在可能的地方，都需要對流量進行加密。
　　
　　Cisco Catalyst 6500 系列交換機提供的解決方案能夠防止網絡受到來自園區網和公共網的安全隱患的侵害。
　　
　　為企業園區網開發的新型智能安全服務
　　
　　由于網絡安全問題的危害越來越大，覆蓋面越來越廣，而且越來越容易在企業園區網內部署，因此，網絡完整性受到的威脅將越來越大。因此，幾乎所有機構都需要采用適當的安全技術保護其 IT 投資和企業聲譽免受影響。為補充現有軟件安全產品的不足，Cisco Catalyst 6500 交換機將一套先進的安全模塊集成在一起，以便進一步增強網絡安全性。
　　
　　新型 Cisco 高級安全模塊包括防火墻服務模塊（FWSM）、安全套接層（SSL）、IP安全虛擬專用網（IPSec VPN）服務模塊和網絡分析模塊（NAM）�？蛻魧⒛軌蛟诮粨Q機上部署綜合安全性，而無需分別管理的不同設備，然后再與基本的基礎設施相連，因此，這種方式可以大大提高性能、可管理性和整個系統的性價比。
　　
　　為Catalyst 6500設計的Cisco安全服務模塊
　　
　　Cisco IPSec VPN 服務模塊是為 Cisco Catalyst 6500 交換機和 Cisco 7600 互聯網路由器設計的高速模塊，能夠提供基礎設施集成的IPSec VPN服務，不但能提供強有力的連接，還能增加帶寬。
　　
　　Cisco 防火墻服務模塊（FWSM）安裝在 Cisco Catalyst 6500 系列交換機中，不但適合作為數據中心和外部網的邊緣分布層，制定服務器流量策略，還適合作為網絡管理層。對于需要防火墻功能、入侵檢測、虛擬專用網，以及多層 LAN、WAN 和 MAN 交換功能的客戶來講，Cisco Catalyst 6500 是其首選IP服務交換機。
　　
　　Cisco FWSM是業界性能最高的防火墻解決方案，每個模塊的吞吐量能夠擴展到 5GB 以上。借助多個模塊，帶寬可高達 20GB。FWSM 完全支持 VLAN，提供動態路由，而且可以完全集成在 Cisco Catalyst 6500 系列交換機內。FWSM 基于 Cisco PIXTM Firewall 技術，因而能夠提供與屢獲大獎的 Cisco PIXTM 安全設備系列相同的安全性和可靠性。FWSM 采用了通過軟件下載增強特性的網絡處理器技術，能最大限度地適應未來需求和特性。
　　
　　主要特性包括：
　　
　　可擴展性--能夠以業界最高的性能生成受狀態防火墻保護的多個安全域，從而消除來自企業園區網的越來越多的安全威脅。每個FWSM模塊提供5GB吞吐量。如果安裝多個模塊，每個機箱的總帶寬可以擴展到20GB。
　　
　　可靠性--以 Cisco PIX 技術為基礎，FWSM使用了同一個經過時間檢驗的 Cisco PIX 操作系統，這是一種安全的硬化實時操作系統。借助切實可行的 Cisco PIX 分組檢查機制，FWSM能夠在一個平臺上同時提供高性能和高安全性。另外，它還能在活躍/等待 FWSM 環境中提供基于LAN的故障恢復。
　　
　　易于使用--FWSM使用大家非常熟悉切實可行的 Cisco PIX 管理界面保持安全性及網絡管理界面的獨立性。Cisco 管理框架和 Cisco AVVID（集成化視頻、視頻和數據體系結構）合作伙伴都支持FWSM的配置和監控。
　　
　　為 Cisco Catalyst 6500 系列設計的 Cisco 安全插接層（SSL）服務模塊非常適合部署在數據中心內，它能夠提高Web應用的性能和安全性，提供綜合安全內容聯網，并保證最優客戶體驗。由于能卸載與利用 SSL 協議保護流量相關的處理器密集型任務，因而能增加Web站點支持的安全連接數量。
　　
　　如果將 SSL 與 Cisco 內容交換模塊（CSM）集成在一起，將能夠加速加密和非加密流量，同時從Web服務器卸載資源密集型功能，從而提供高性能、可擴展、安全的服務器負載均衡解決方案。
　　
　　新型高性能 Cisco 網絡分析模塊（NAM-2）非常適合數據中心、企業邊緣、分布層使用，也可以作為網絡的關鍵業務接入層，為網絡提供應用級可視性，在千兆位環境中實現實時流量分析、性能監控和故障排除。
　　
　　集成在 Cisco Catalyst 6500 系列交換機中的這些服務模塊，如果能夠部署在推薦的網絡層中，并與Cisco Catalyst 6500 交換機的軟件安全產品一起使用，將能夠有效防止內部網絡遭受非法設備和用戶的侵害，使網絡免受外部安全隱患的威脅。Cisco Catalyst 6500 系列交換機能夠為企業園區網提供全面的安全解決方案。
　　
　　503/6506/6509高端防火墻一體化安全保護
　　
　　思科的 Catalyst 6500 交換機通常作為網絡的核心交換機，承載了絕大部分的網絡流量，可謂是系統中的關鍵環節。在思科 Catalyst 6500 交換機中可以應用多種安全服務模塊，譬如說防火墻模塊、入侵檢測模塊、VPN 模塊、SSL 加速模塊、網絡流量分析模塊等等。這些模塊的組合應用，可以有效地保證用戶網絡系統與流量的安全，并且此時我們無須分別管理不同設備，可以大大提高針對安全事件的響應能力，從而提高系統的可管理性和整個安全系統的性價比。同樣，由于 Cisco 760 路由器與 Catalyst 6500 具有先天性的兼容性，所以在電信級別的應用中，也可以享受到這一系列服務模塊帶來的便利。
　　
　　在骨干網絡中使用增值服務模塊可以有效降低網絡拓撲的復雜程度，提高網絡的運行以及管理的效率。最重要的是通過此類模塊的使用，使我們對網絡的控制程度達到了一個新的境界。
　　

　

　　Cisco 的 6503/6506/6509 高端防火墻可以說是業界性能最高的防火墻產品，它的每一個模塊的吞吐量可以達到 5GB。在一個機箱當中可以承載多達四個模塊，總體的處理帶寬最高可達 20GB。FWSM 防火墻模塊的最大優勢在于其接口完全基于 VLAN，這樣就可以突破物理端口的限制，即使本機箱當中沒有足夠的物理端口，也可以利于 VLAN Trunk 方式將二級交換機納入防護體系當中。例如圖1中所示，在防火墻的接口設置中，我們具有相當大的靈活性。一旦用戶的需求發生變化時，只需要更改交換機的內部VLAN設置即可，不需要進行物理接口的變動。
　　

　

　　6503/6506/6509 高端防火墻可以采用虛擬防火墻以及透明防火墻的技術，從而更加有效地支持用戶的安全需求。利用虛擬防火墻的特性，將一個或者多個互聯網的接入線路直接終結在 C6500 交換機上，利用一個或兩個以上的虛擬防火墻分別完成線路接入、路由處理以及地址翻譯等工作，姑且將這一類虛擬防火墻稱為外部防火墻。在這些外部防火墻的設置中，我們通常采用兩端口或三端口的方式，后者主要考慮到對外服務器群的DMZ區域連接的問題，如圖2所示。
　　

　

　　同時我們將外部防火墻的內部端口分別與 C6500 的 MSFC 進行 L3 的連接，注意此處一定是分別連接，在路由處理方面可以采用靜態路由的方式即可，這樣比較簡單有效。
　　
　　在處理好外部接入與防護問題之后，我們可以有選擇性地保護一些內部資源，例如關鍵性服務器資源以及重要的用戶群等。此時，我們可以利用虛擬防火墻去分別連接此類資源，不同的是這些內部防火墻是用外部接口與 MSFC 分別互連，這樣它們所保護的對象就處于防火墻的內部網段了，如圖3所示。
　　
　　C6500 作為網絡的核心設備，MSFC 是一個中心的 L3 對象。以此為中心，對外可以通過外部防火墻進行外部的互連，此時整個網絡均作為被保護對象處于外部防火墻的內部網段；同時，在面對內部需要保護的對象時，FWSM 防火墻模塊可以通過 VLAN 的靈活劃分，利用內部防火墻有選擇性地加以保護，此時的保護連接可以是 L2，也可以是 L3 方式。比如說，普通的匯聚層交換機此時仍然可以通過 L3 的方式與 C6500 的 MSFC 進行連接，雙方可以完成動態路由的交換，這樣普通用戶可以不受限制的接入，與傳統網絡設計沒有什么區別。但是，如果我們認為某一臺匯聚交換機所接入的用戶安全等級比較高，此時就可以在 MSFC 與該匯聚交換機之間加入一個虛擬防火墻，只是此時防火墻的內部端口接的是匯聚交換機，外部端口接的是 MSFC 而矣。此時，該用戶群就可以得到專門的防火墻保護了，任何針對該用戶群的攻擊都必須首先突破防火墻的防御，這樣就可以有效提高內部的安全防護等級。當然，如果說保護的是一些關鍵性服務器等對象，也是可以采用內部防火墻的防護的，只是此時防火墻內部端口可以通過 VLAN 或 VLAN Trunk 方式連接，只要將服務器的網關設為防火墻內部端口的IP地址就可以了。
　　

　

　　當在電信 POP 點應用 6503/6506/6509 高端防火墻時，可以通過 FWSM 的 VFW 功能，提供針對每個用戶的安全保護增值服務，例如圖4所示，我們可以在PE-CE之間加入VFW的保護，具體的安全策略可以由各個用戶自行制定，也可以由電信運營商代理。
　　
　　思科CAT6K集成安全系統
　　
　　防火墻技術的發展有兩個主要趨勢，一是將 IDS/IPS 集成到防火墻中，提供單一設備的網絡防護整體方案；另外一個趨勢是防火墻與交換機的整合，或者說是防火墻功能在網絡中向分布式發展，交換機中會有更多，更強大的防火墻功能。
　　
　　思科公司的 CAT6K 交換機里部署 FWSM 防火墻模塊和 IDS 入侵監測模塊是這兩種技術趨勢的完美結合，具有

文章來源于領測軟件測試網 http://www.kjueaiud.com/