資源描述:
《cisco catalyst 6509交換機(jī)fwsm防火墻模塊設(shè)置資料》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1、CiscoCatalyst6509交換機(jī)FWSM防火墻模塊測(cè)試報(bào)告????我們以往接觸比較多的防火墻大都是獨(dú)立的設(shè)備產(chǎn)品,抑或是和路由器集成在一起的模塊,這種防火墻往往是位于網(wǎng)關(guān)位置,擔(dān)當(dāng)了內(nèi)外網(wǎng)之間的防護(hù)線(xiàn)職能。而思科系統(tǒng)公司充分利用自己對(duì)網(wǎng)絡(luò)的理解,以一種不同的理念和思路把安全貫徹到了網(wǎng)絡(luò)上的每一個(gè)角落。當(dāng)我們《網(wǎng)絡(luò)世界》評(píng)測(cè)實(shí)驗(yàn)室拿到插入FWSM防火墻模塊的被測(cè)設(shè)備Catalyst6509交換機(jī)時(shí),更是深刻地體會(huì)到了Cisco這種獨(dú)特的視角。??集成:改動(dòng)防火墻角色????從外觀上看,不同于以往的防火墻,F(xiàn)WSM防火墻模塊本
2、身并不帶有所有端口,能插在Catalyst6509交換機(jī)所有一個(gè)交換槽位中,交換機(jī)的所有端口都能夠充當(dāng)防火墻端口,一個(gè)FWSM模塊能服務(wù)于交換機(jī)所有端口,在網(wǎng)絡(luò)基礎(chǔ)設(shè)施之中集成狀態(tài)防火墻安全特性。????由于70%的安全問(wèn)題來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部,因此企業(yè)網(wǎng)絡(luò)的安全不僅在周邊,防止未經(jīng)授權(quán)的用戶(hù)進(jìn)入企業(yè)網(wǎng)絡(luò)的子網(wǎng)和VLAN是我們一直忽視的問(wèn)題,也正是6509交換機(jī)加上FWSM防火墻模塊要完成的職責(zé)。????Catalyst6509作為企業(yè)的匯聚或核心交換機(jī),往往要為企業(yè)的不同部門(mén)劃分子網(wǎng)和VLAN,F(xiàn)WSM模塊的加入為不同部門(mén)之間搭建了
3、堅(jiān)實(shí)的屏障。????和傳統(tǒng)防火墻的體系結(jié)構(gòu)不同,F(xiàn)WSM內(nèi)部體系主要由一個(gè)雙IntelPIII處理器和3個(gè)IBM網(wǎng)絡(luò)處理器及相應(yīng)的ASIC芯片組成。其中兩個(gè)網(wǎng)絡(luò)處理器各有三條千兆線(xiàn)路連接到6509的背板上。FWSM使用的是CiscoPIX操作系統(tǒng)這一實(shí)時(shí)、牢固的嵌入式操作系統(tǒng),采用基于ASA(自適應(yīng)安全算法)的核心實(shí)現(xiàn)機(jī)制,繼承了思科PIX防火墻性能和功能方面的既有優(yōu)勢(shì)。????對(duì)于已購(gòu)買(mǎi)了Catalyst6509交換機(jī)的用戶(hù)來(lái)說(shuō),他們不必對(duì)原有產(chǎn)品進(jìn)行更換,就能通過(guò)獨(dú)立購(gòu)買(mǎi)FWSM模塊,獲得這種防火墻特性,在簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)的同時(shí),
4、真正實(shí)現(xiàn)對(duì)用戶(hù)的投資保護(hù)?!????功能:細(xì)致到每一處??從FWSM防火墻模塊的管理和易用性來(lái)看,對(duì)于那些非常熟悉CiscoIOS命令行的工程師來(lái)說(shuō),通過(guò)Console或Telnet進(jìn)行設(shè)置非常容易上手,而對(duì)于筆者這種對(duì)Cisco命令僅略通一二的人來(lái)說(shuō),最佳的管理和設(shè)置方式莫過(guò)于用Web進(jìn)行管理,Web管理其實(shí)是調(diào)用了用來(lái)管理PIX防火墻的PIXDeviceManager(PDM)2.1(1)工具,非常直觀地幫助用戶(hù)進(jìn)行規(guī)則設(shè)置、管理和狀態(tài)監(jiān)視。進(jìn)行Web管理的安全通過(guò)HTTP+SSL(HTTPS)來(lái)進(jìn)行保障。??網(wǎng)絡(luò)特性方面,我
5、們需要提及的是由于和交換機(jī)集成,所以FWSM模塊擁有非常多獨(dú)特之處,包括能支持各種百兆和千兆以太網(wǎng)接口,進(jìn)而擁有了Catalyst6509交換機(jī)的可擴(kuò)展性,支持靜態(tài)路由和RIP、OSPF動(dòng)態(tài)路由協(xié)議,能作ARP代理和DHCP服務(wù)器。在規(guī)則設(shè)定中支持基于VLAN設(shè)定安全區(qū)域,對(duì)每個(gè)VLAN實(shí)施安全策略。????在高可用性方面,不僅在Catalyst6509上插的兩個(gè)防火墻模塊之間能實(shí)現(xiàn)冗余備份,兩臺(tái)Catalyst6509交換機(jī)之間能通過(guò)LAN進(jìn)行故障恢復(fù)。據(jù)思科工程師介紹,6509最多能插入4個(gè)FWSM防火墻模塊,這四個(gè)模塊綁在一
6、起能提供的吞吐量是單個(gè)防火墻模塊的4倍。????對(duì)于訪(fǎng)問(wèn)FWSM防火墻模塊的用戶(hù),思科考慮的非常細(xì)心的一個(gè)特點(diǎn)是通過(guò)PDM能對(duì)CLI命令設(shè)置優(yōu)先級(jí),分為15個(gè)級(jí)別,創(chuàng)建和這些優(yōu)先級(jí)對(duì)應(yīng)的用戶(hù)賬號(hào)或登錄環(huán)境,以更細(xì)的粒度對(duì)訪(fǎng)問(wèn)者進(jìn)行管理。????NAT是防火墻的必要特性,F(xiàn)WSM模塊不僅對(duì)動(dòng)態(tài)和靜態(tài)NAT提供了良好支持,而且還支持基于端口的PAT(端口地址轉(zhuǎn)換)。????在使用PDM時(shí),可通過(guò)組合網(wǎng)絡(luò)對(duì)象、服務(wù)、協(xié)議或端口成為組進(jìn)行管理和規(guī)則設(shè)置,最多支持128KACL設(shè)置。????對(duì)日志的支持程度是防火墻功能是否完備的重要標(biāo)志。F
7、WSM不僅支持將日志記錄到防火墻中,并對(duì)所用緩沖區(qū)進(jìn)行限制,還支持用Syslog服務(wù)器記錄日志,將日志警告分為8個(gè)級(jí)別進(jìn)行限制。????FWSM防火墻模塊能夠支持H.323、SIP等VoIP相關(guān)協(xié)議。????PDM提供的狀態(tài)監(jiān)視功能非常強(qiáng)大,能按照?qǐng)D像或表格形式非常直觀地顯示CPU、內(nèi)存利用率及進(jìn)出防火墻的數(shù)據(jù)包狀態(tài)等周詳信息。????易于查找的幫助信息也是思科為用戶(hù)考慮的周到之處,用戶(hù)通過(guò)Web界面能非常容易得到相關(guān)信息。????性能:多流環(huán)境上佳表現(xiàn)????傳統(tǒng)防火墻往往會(huì)成為網(wǎng)絡(luò)上的瓶頸,因此性能是用戶(hù)相當(dāng)關(guān)心的問(wèn)題。通過(guò)此
8、次測(cè)試(請(qǐng)見(jiàn)表中數(shù)據(jù)),我們能看到出眾的性能是FWSM和Catalyst6500緊密集成所帶來(lái)的結(jié)果,交換機(jī)的優(yōu)異性能表目前啟動(dòng)防火墻后同樣得到了良好的體現(xiàn)?!∪ツ晡覀?cè)瓉?lái)作過(guò)千兆防火墻公開(kāi)比較評(píng)測(cè),當(dāng)時(shí)測(cè)試環(huán)境是在兩條流條件下進(jìn)行的,成績(jī)最佳的千