7/76503/6506/6509高端防火墻解決方案應(yīng)用借助CiscoCatalyst6500系列交換機(jī)增加企業(yè)園區(qū)網(wǎng)的平安性借助當(dāng)今先進(jìn)的智能企業(yè)網(wǎng)，企業(yè)能夠有效地部署電子商務(wù)等應(yīng)用，因而能實(shí)現(xiàn)勞動力的優(yōu)化組合以及業(yè)務(wù)的全球化。這些強(qiáng)大的網(wǎng)絡(luò)能夠?qū)⒑芏噙h(yuǎn)程站點(diǎn)、分支辦公室、移動員工、合作伙伴和客戶連接在一起，從而能夠?yàn)閿?shù)千用戶供應(yīng)服務(wù)。但是，還存在一個(gè)問題全部網(wǎng)絡(luò)都越來越多地受到了企業(yè)園區(qū)網(wǎng)和互聯(lián)網(wǎng)上越來越多的平安隱患的威逼。另外，對電子商務(wù)應(yīng)用需求的增加，以及服務(wù)向公共領(lǐng)域的集中也增加了流量經(jīng)過網(wǎng)絡(luò)時(shí)的危急，在可能的地方，都須要對流量進(jìn)行加密。CiscoCatalyst6500系列交換機(jī)供應(yīng)的解決方案能夠防止網(wǎng)絡(luò)受到來自園區(qū)網(wǎng)和公共網(wǎng)的平安隱患的侵害。為企業(yè)園區(qū)網(wǎng)開發(fā)的新型智能平安服務(wù)由于網(wǎng)絡(luò)平安問題的危害越來越大，覆蓋面越來越廣，而且越來越簡潔在企業(yè)園區(qū)網(wǎng)內(nèi)部署，因此，網(wǎng)絡(luò)完整性受到的威逼將越來越大。因此，幾乎全部機(jī)構(gòu)都須要采納適當(dāng)?shù)钠桨布夹g(shù)愛護(hù)其IT投資和企業(yè)聲譽(yù)免受影響。為補(bǔ)充現(xiàn)有軟件平安產(chǎn)品的不足，CiscoCatalyst6500交換機(jī)將一套先進(jìn)的平安模塊集成在一起，以便進(jìn)一步增加網(wǎng)絡(luò)平安性。新型Cisco高級平安模塊包括防火墻服務(wù)模塊（FWSM）、平安套接層（SSL）、IP平安虛擬專用網(wǎng)（IPSecVPN）服務(wù)模塊和網(wǎng)絡(luò)分析模塊（NAM）?？蛻魧⒛軌蛟诮粨Q機(jī)上部署綜合平安性，而無需分別管理的不同設(shè)備，然后再和基本的基礎(chǔ)設(shè)施相連，因此，這種方式可以大大提高性能、可管理性和整個(gè)系統(tǒng)的性價(jià)比。為Catalyst6500設(shè)計(jì)的Cisco平安服務(wù)模塊CiscoIPSecVPN服務(wù)模塊是為CiscoCatalyst6500交換機(jī)和Cisco7600互聯(lián)網(wǎng)路由器設(shè)計(jì)的高速模塊，能夠供應(yīng)基礎(chǔ)設(shè)施集成的IPSecVPN服務(wù)，不但能供應(yīng)強(qiáng)有力的連接，還能增加帶寬。Cisco防火墻服務(wù)模塊（FWSM）安裝在CiscoCatalyst6500系列交換機(jī)中，不但適合作為數(shù)據(jù)中心和外部網(wǎng)的邊緣分布層，制定服務(wù)器流量策略，還適合作為網(wǎng)絡(luò)管理層。對于須要防火墻功能、入侵檢測、虛擬專用網(wǎng)，以及多層LAN、WAN和MAN交換功能的客戶來講，CiscoCatalyst6500是其首選IP服務(wù)交換機(jī)。CiscoFWSM是業(yè)界性能最高的防火墻解決方案，每個(gè)模塊的吞吐量能夠擴(kuò)展到5GB以上。借助多個(gè)模塊，帶寬可高達(dá)20GB。FWSM完全支持VLAN，供應(yīng)動態(tài)路由，而且可以完全集成在CiscoCatalyst6500系列交換機(jī)內(nèi)。FWSM基于CiscoPIXTMFirewall技術(shù)，因而能夠供應(yīng)和屢獲大獎的CiscoPIXTM平安設(shè)備系列相同的平安性和牢靠性。FWSM采納了通過軟件下載增加特性的網(wǎng)絡(luò)處理器技術(shù)，能最大限度地適應(yīng)將來需求和特性。主要特性包括：可擴(kuò)展性--能夠以業(yè)界最高的性能生成受狀態(tài)防火墻愛護(hù)的多個(gè)平安域，從而消退來自企業(yè)園區(qū)網(wǎng)的越來越多的平安威逼。每個(gè)FWSM模塊供應(yīng)5GB吞吐量。假如安裝多個(gè)模塊，每個(gè)機(jī)箱的總帶寬可以擴(kuò)展到20GB。牢靠性--以CiscoPIX技術(shù)為基礎(chǔ)，F(xiàn)WSM運(yùn)用了同一個(gè)經(jīng)過時(shí)間檢驗(yàn)的CiscoPIX操作系統(tǒng)，這是一種平安的硬化實(shí)時(shí)操作系統(tǒng)。借助切實(shí)可行的CiscoPIX分組檢查機(jī)制，F(xiàn)WSM能夠在一個(gè)平臺上同時(shí)供應(yīng)高性能和高平安性。另外，它還能在活躍/等待FWSM環(huán)境中供應(yīng)基于LAN的故障復(fù)原。易于運(yùn)用--FWSM運(yùn)用大家特別熟識切實(shí)可行的CiscoPIX管理界面保持平安性及網(wǎng)絡(luò)管理界面的獨(dú)立性。Cisco管理框架和CiscoAVVID（集成化視頻、視頻和數(shù)據(jù)體系結(jié)構(gòu)）合作伙伴都支持FWSM的配置和監(jiān)控。為CiscoCatalyst6500系列設(shè)計(jì)的Cisco平安插接層（SSL）服務(wù)模塊特別適合部署在數(shù)據(jù)中心內(nèi)，它能夠提高Web應(yīng)用的性能和平安性，供應(yīng)綜合平安內(nèi)容聯(lián)網(wǎng)，并保證最優(yōu)客戶體驗(yàn)。由于能卸載和利用SSL協(xié)議愛護(hù)流量相關(guān)的處理器密集型任務(wù)，因而能增加Web站點(diǎn)支持的平安連接數(shù)量。假如將SSL和Cisco內(nèi)容交換模塊（CSM）集成在一起，將能夠加速加密和非加密流量，同時(shí)從Web服務(wù)器卸載資源密集型功能，從而供應(yīng)高性能、可擴(kuò)展、平安的服務(wù)器負(fù)載均衡解決方案。新型高性能Cisco網(wǎng)絡(luò)分析模塊（NAM-2）特別適合數(shù)據(jù)中心、企業(yè)邊緣、分布層運(yùn)用，也可以作為網(wǎng)絡(luò)的關(guān)鍵業(yè)務(wù)接入層，為網(wǎng)絡(luò)供應(yīng)應(yīng)用級可視性，在千兆位環(huán)境中實(shí)現(xiàn)實(shí)時(shí)流量分析、性能監(jiān)控和故障解除。集成在CiscoCatalyst6500系列交換機(jī)中的這些服務(wù)模塊，假如能夠部署在舉薦的網(wǎng)絡(luò)層中，并和CiscoCatalyst6500交換機(jī)的軟件平安產(chǎn)品一起運(yùn)用，將能夠有效防止內(nèi)部網(wǎng)絡(luò)遭遇非法設(shè)備和用戶的侵害，使網(wǎng)絡(luò)免受外部平安隱患的威逼。CiscoCatalyst6500系列交換機(jī)能夠?yàn)槠髽I(yè)園區(qū)網(wǎng)供應(yīng)全面的平安解決方案。503/6506/6509高端防火墻一體化平安愛護(hù)思科的Catalyst6500交換機(jī)通常作為網(wǎng)絡(luò)的核心交換機(jī)，承載了絕大部分的網(wǎng)絡(luò)流量，可謂是系統(tǒng)中的關(guān)鍵環(huán)節(jié)。在思科Catalyst6500交換機(jī)中可以應(yīng)用多種平安服務(wù)模塊，譬如說防火墻模塊、入侵檢測模塊、VPN模塊、SSL加速模塊、網(wǎng)絡(luò)流量分析模塊等等。這些模塊的組合應(yīng)用，可以有效地保證用戶網(wǎng)絡(luò)系統(tǒng)和流量的平安，并且此時(shí)我們無須分別管理不同設(shè)備，可以大大提高針對平安事務(wù)的響應(yīng)實(shí)力，從而提高系統(tǒng)的可管理性和整個(gè)平安系統(tǒng)的性價(jià)比。同樣，由于Cisco760路由器和Catalyst6500具有先天性的兼容性，所以在電信級別的應(yīng)用中，也可以享受到這一系列服務(wù)模塊帶來的便利。在骨干網(wǎng)絡(luò)中運(yùn)用增值服務(wù)模塊可以有效降低網(wǎng)絡(luò)拓?fù)涞睦щy程度，提高網(wǎng)絡(luò)的運(yùn)行以及管理的效率。最重要的是通過此類模塊的運(yùn)用，使我們對網(wǎng)絡(luò)的限制程度達(dá)到了一個(gè)新的境界。Cisco的6503/6506/6509高端防火墻可以說是業(yè)界性能最高的防火墻產(chǎn)品，它的每一個(gè)模塊的吞吐量可以達(dá)到5GB。在一個(gè)機(jī)箱當(dāng)中可以承載多達(dá)四個(gè)模塊，總體的處理帶寬最高可達(dá)20GB。FWSM防火墻模塊的最大優(yōu)勢在于其接口完全基于VLAN，這樣就可以突破物理端口的限制，即使本機(jī)箱當(dāng)中沒有足夠的物理端口，也可以利于VLANTrunk方式將二級交換機(jī)納入防護(hù)體系當(dāng)中。例如圖1中所示，在防火墻的接口設(shè)置中，我們具有相當(dāng)大的敏捷性。一旦用戶的需求發(fā)生改變時(shí)，只須要更改交換機(jī)的內(nèi)部VLAN設(shè)置即可，不須要進(jìn)行物理接口的變動。6503/6506/6509高端防火墻可以采納虛擬防火墻以及透亮防火墻的技術(shù)，從而更加有效地支持用戶的平安需求。利用虛擬防火墻的特性，將一個(gè)或者多個(gè)互聯(lián)網(wǎng)的接入線路干脆終結(jié)在C6500交換機(jī)上，利用一個(gè)或兩個(gè)以上的虛擬防火墻分別完成線路接入、路由處理以及地址翻譯等工作，姑且將這一類虛擬防火墻稱為外部防火墻。在這些外部防火墻的設(shè)置中，我們通常采納兩端口或三端口的方式，后者主要考慮到對外服務(wù)器群的DMZ區(qū)域連接的問題，如圖2所示。同時(shí)我們將外部防火墻的內(nèi)部端口分別和C6500的MSFC進(jìn)行L3的連接，留意此處肯定是分別連接，在路由處理方面可以采納靜態(tài)路由的方式即可，這樣比較簡潔有效。在處理好外部接入和防護(hù)問題之后，我們可以有選擇性地愛護(hù)一些內(nèi)部資源，例如關(guān)鍵性服務(wù)器資源以及重要的用戶群等。此時(shí)，我們可以利用虛擬防火墻去分別連接此類資源，不同的是這些內(nèi)部防火墻是用外部接口和MSFC分別互連，這樣它們所愛護(hù)的對象就處于防火墻的內(nèi)部網(wǎng)段了，如圖3所示。C6500作為網(wǎng)絡(luò)的核心設(shè)備，MSFC是一個(gè)中心的L3對象。以此為中心，對外可以通過外部防火墻進(jìn)行外部的互連，此時(shí)整個(gè)網(wǎng)絡(luò)均作為被愛護(hù)對象處于外部防火墻的內(nèi)部網(wǎng)段；同時(shí)，在面對內(nèi)部須要愛護(hù)的對象時(shí)，F(xiàn)WSM防火墻模塊可以通過VLAN的敏捷劃分，利用內(nèi)部防火墻有選擇性地加以愛護(hù)，此時(shí)的愛護(hù)連接可以是L2，也可以是L3方式。比如說，一般的匯聚層交換機(jī)此時(shí)仍舊可以通過L3的方式和C6500的MSFC進(jìn)行連接，雙方可以完成動態(tài)路由的交換，這樣一般用戶可以不受限制的接入，和傳統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)沒有什么區(qū)分。但是，假如我們認(rèn)為某一臺匯聚交換機(jī)所接入的用戶平安等級比較高，此時(shí)就可以在MSFC和該匯聚交換機(jī)之間加入一個(gè)虛擬防火墻，只是此時(shí)防火墻的內(nèi)部端口接的是匯聚交換機(jī)，外部端口接的是MSFC而矣。此時(shí)，該用戶群就可以得到特地的防火墻愛護(hù)了，任何針對該用戶群的攻擊都必需首先突破防火墻的防衛(wèi)，這樣就可以有效提高內(nèi)部的平安防護(hù)等級。當(dāng)然，假如說愛護(hù)的是一些關(guān)鍵性服務(wù)器等對象，也是可以采納內(nèi)部防火墻的防護(hù)的，只是此時(shí)防火墻內(nèi)部端口可以通過VLAN或VLANTrunk方式連接，只要將服務(wù)器的網(wǎng)關(guān)設(shè)為防火墻內(nèi)部端口的IP地址就可以了。當(dāng)在電信POP點(diǎn)應(yīng)用6503/6506/6509高端防火墻時(shí)，可以通過FWSM的VFW功能，供應(yīng)針對每個(gè)用戶的平安愛護(hù)增值服務(wù)，例如圖4所示，我們可以在PE-CE之間加入VFW的愛護(hù)，詳細(xì)的平安策略可以由各個(gè)用戶自行制定，也可以由電信運(yùn)營商代理。思科CAT6K集成平安系統(tǒng)防火墻技術(shù)的發(fā)展有兩個(gè)主要趨勢，一是將IDS/IPS集成到防火墻中，供應(yīng)單一設(shè)備的網(wǎng)絡(luò)防護(hù)整體方案；另外一個(gè)趨勢是防火墻和交換機(jī)的整合，或者說是防火墻功能在網(wǎng)絡(luò)中向分布式發(fā)展，交換機(jī)中會有更多，更強(qiáng)大的防火墻功能。思科公司的CAT6K交換機(jī)里部署FWSM防火墻模塊和IDS入侵監(jiān)測模塊是這兩種技術(shù)趨勢的完備結(jié)合，具有獨(dú)特的優(yōu)勢。FWSM防火墻模塊部署在CAT6K中的好處·FWSM防火墻模塊具有特別高的性能，供應(yīng)5.5G的容量，同時(shí)支持共1,000,000個(gè)連接，每秒100,000連接響應(yīng)，實(shí)現(xiàn)平安和性能的完備結(jié)合·FWSM防火墻模塊具有豐富的平安功能，支持虛擬防火墻，透亮模式和路由模式，資源限制，日志監(jiān)控，內(nèi)容過濾等業(yè)界領(lǐng)先的功能·FWSM防火墻模塊本身不帶有任何端口，通過6GE的背板總線和CAT6K其他部件通訊，可以插在CAT6K交換機(jī)或OSR的任何一個(gè)交換槽位中，CAT6K交換機(jī)的任何端口都可以定義成防火墻端口。因此在采納CAT6K或OSR搭建網(wǎng)絡(luò)的時(shí)后，可以特別便利的部署平安策略和實(shí)施，限制須要管理的流量?！ず喕脩艟W(wǎng)絡(luò)的同時(shí)，真正實(shí)現(xiàn)對用戶的投資愛護(hù)。對于已經(jīng)購買CAT6K交換機(jī)/OSR的用戶，不須要對原有產(chǎn)品進(jìn)行更換，只需購買FWSM防火墻模塊，就可獲得思科供應(yīng)的全部防火墻特性和特別高的性能?！WSM防火墻模塊融合在CAT6K交換機(jī)中，其融合之美在應(yīng)用上為用戶供應(yīng)了特殊的便利，如下圖所示最早的串接結(jié)構(gòu)模式，明顯的防火墻成為了網(wǎng)絡(luò)的瓶頸，而且部署特別不敏捷，全部的流量均須要通過，可能須要部署多個(gè)防火墻；串接模式的改進(jìn)型為單臂模式，解決了瓶頸和部署不敏捷的問題，但網(wǎng)絡(luò)邏輯結(jié)構(gòu)困難，有時(shí)還須要交換機(jī)支持PBR策略路由來限制流量，因此在動態(tài)環(huán)境下，會有路由無法備份，無法支持熱備份等問題，同時(shí)交換機(jī)和防火墻之間的平安相關(guān)的互聯(lián)互通有時(shí)也會出現(xiàn)問題；思科公司的融合模式，即將FWSM防火墻模塊和CAT6K交換機(jī)融為一體，邏輯結(jié)構(gòu)清楚，簡潔管理和部署，交換機(jī)的每個(gè)端口均可作為防火墻的端口，流量很簡潔限制，便利敏捷，真正完全滿意用戶的須要。IDSM-2入侵監(jiān)測模塊部署在CAT6K中的好處·IDSM-2入侵監(jiān)控模塊供應(yīng)600Mbps業(yè)界領(lǐng)先的處理性能，在CAT6K中可以部署多塊，可達(dá)6G的處理實(shí)力?！AT6K支持廣域網(wǎng)接口，IDSM-2工作在CAT6K中，可以特別輕松的監(jiān)控來自于廣域網(wǎng)模塊的流量?！DSM-2入侵監(jiān)控模塊本身沒有物理端口，通過多個(gè)GE和背板總線連接，可以同時(shí)監(jiān)控多個(gè)VLAN和VLANID，通過VLAN訪問限制列表VACL獲得功能來供應(yīng)對數(shù)據(jù)流的訪問權(quán)限VACL可以支持無限個(gè)VLAN?！げ杉{多種用于獲得和響應(yīng)的技術(shù)包括SPAN/RSPAN和VACL獲得功能，以及屏蔽和TCP重置功能，從而讓用戶可以監(jiān)控不同的網(wǎng)段和流量，同時(shí)讓產(chǎn)品可以實(shí)行剛好的措施以消退威逼?！DSM-2入侵監(jiān)控模塊在硬件設(shè)計(jì)上已經(jīng)支持IPS技術(shù)模式，當(dāng)IPS技術(shù)成熟后，可以通過簡潔的軟件升級就可以實(shí)現(xiàn)從IDS到IPS的平滑過渡，愛護(hù)投資。FWSM防火墻模塊和IDSM-2入侵監(jiān)測模塊在CAT6K中的優(yōu)勢·融合最前面兩