注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

CCIE那点事-李萧明

博客已转移到www.jdccie.com CCIE那点事敬请期待

 
 
 

日志

 
 

Cisco Catalyst 6509交换机FWSM防火墙模块  

2011-03-28 23:26:00|  分类: 施工经验 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

Cisco Catalyst 6509交换机FWSM防火墙模块配置资料 大全

融合之美 尽在“墙”中
    ——Cisco Catalyst 6509交换机FWSM防火墙模块测试报告
     我们以往接触比较多的防火墙大都是单独的设备产品,抑或是与路由器集成在一起的模块, 这种防火墙往往是位于网关位置,担当了内外网之间的防护线职能。而思科系统公司充分利用自己对网络的理解,以一种不同的理念和思路把安全贯彻到了网络上的每一个角落。当我们《网络世界》评测实验室拿到插入FWSM防火墙模块的被测设备Catalyst 6509交换机时,更是深刻地体会到了Cisco这种独特的视角。 Cisco Catalyst 6509交换机FWSM防火墙模块 - dc31151 - 李萧明
Cisco Catalyst 6509交换机FWSM防火墙模块 - dc31151 - 李萧明   
集成:改变防火墙角色     
从外观上看,不同于以往的防火墙,FWSM防火墙模块本身并不带有任何端口,可以插在Catalyst 6509交换机任何一个交换槽位中,交换机的任何端口都能够充当防火墙端口,一个FWSM模块可以服务于交换机所有端口,在网络基础设施之中集成状态防火墙安全特性。     
由于70%的安全问题来自企业网络内部,因此企业网络的安全不仅在周边,防止未经授权的用户进入企业网络的子网和VLAN是我们一直忽视的问题,也正是6509交换机加上FWSM防火墙模块要完成的职责。     
Catalyst 6509作为企业的汇聚或核心交换机,往往要为企业的不同部门划分子网和VLAN,FWSM模块的加入为不同部门之间搭建了坚实的屏障。     
与传统防火墙的体系结构不同,FWSM内部体系主要由一个 双 Intel PIII处理器和3个IBM网络处理器以及相应的ASIC芯片组成。其中两个网络处理器各有三条千兆线路连接到6509的背板上。FWSM使用的是Cisco PIX操作系统这一实时、牢固的嵌入式操作系统,采用基于ASA(自适应安全算法)的核心实现机制,继承了思科PIX防火墙性能与功能方面的既有优势。     
对于已经购买了Catalyst 6509交换机的用户来说,它们不需要对原有产品进行更换,就可以通过单独购买FWSM模块,获得这种防火墙特性,在简化网络结构的同时,真正实现对用户的投资保护。      

功能:细致到每一处   
从FWSM防火墙模块的管理和易用性来看,对于那些很熟悉Cisco IOS命令行的工程师来说,通过Console或Telnet进行配置很容易上手,而对于笔者这种对Cisco 命令仅略通一二的人来说,最好的管理和配置方式莫过于用Web进行管理,Web管理其实是调用了用来管理PIX防火墙的PIX Device Manager(PDM)2.1(1)工具,非常直观地帮助用户进行规则配置、管理和状态监控。进行Web管理的安全通过HTTP+SSL(HTTPS)来进行保障。   

网络特性方面,我们需要提及的是由于与交换机集成,所以FWSM模块拥有很多独特之处,包括可以支持各种百兆和千兆以太网接口,进而拥有了Catalyst 6509交换机的可扩展性,支持静态路由和RIP、OSPF动态路由协议,可以作ARP代理和DHCP服务器。在规则设定中支持基于VLAN设定安全区域,对每个VLAN实施安全策略。     

在高可用性方面,不仅在Catalyst 6509上插的两个防火墙模块之间可以实现冗余备份,两台Catalyst 6509交换机之间可以通过LAN进行故障恢复。据思科工程师介绍,6509最多可以插入4个FWSM防火墙模块,这四个模块绑在一起可以提供的吞吐量是单个防火墙模块的4倍。     

对于访问FWSM防火墙模块的用户,思科考虑的非常细心的一个特点是通过PDM可以对CLI命令设置优先级,分为15个级别,创建与这些优先级对应的用户账号或登录环境,以更细的粒度对访问者进行管理。     

NAT是防火墙的必要特性,FWSM模块不仅对动态和静态NAT提供了良好支持,而且还支持基于端口的PAT(端口地址转换)。     在使用PDM时,可通过组合网络对象、服务、协议或端口成为组进行管理和规则配置,最多支持128K ACL设置。     

对日志的支持程度是防火墙功能是否完备的重要标志。FWSM不仅支持将日志记录到防火墙中,并对所用缓冲区进行限制,还支持用Syslog 服务器记录日志,将日志警告分为8个级别进行限制。     
FWSM防火墙模块能够支持H.323、SIP等VoIP相关协议。     
PDM提供的状态监控功能非常强大,可以按照图形或表格形式非常直观地显示CPU、内存利用率以及进出防火墙的数据包状态等详细信息。     
易于查找的帮助信息也是思科为用户考虑的周到之处,用户通过Web界面可以非常容易得到相关信息。     
性能:多流环境上佳表现     
传统防火墙往往会成为网络上的瓶颈,因此性能是用户相当关心的问题。通过此次测试(请见表中数据),我们可以看到出众的性能是FWSM与Catalyst 6500紧密集成所带来的结果,交换机的优异性能表现在启动防火墙后同样得到了良好的体现。 
去年我们曾经作过千兆防火墙公开比较评测,当时测试环境是在两条流条件下进行的,成绩最好的千兆防火墙在64字节帧长下吞吐量达到59%线速。此次测试我们选用两个1000Base-SX分别作内、外网口,采用20条UDP流并存的条件下,测试结果64、512、1518三种帧长下吞吐量为85.19%、100%、100%,显然,与以往我们曾经测试过的结果相比,吞吐量性能更为出色。     
而且,我们还发现由于配置为按照目的端口进行负载均衡,在防火墙上使用show conn命令可以实时观察到网络处理器之间确实对所承担的Session进行了分担。     
帧丢失率和延迟的测试结果更是让人眼前一亮,三种帧长下的结果为6.29%、0、0。在吞吐量的条件下测试的延迟结果也均在90祍以下。     
衡量防火墙性能的一个更有标志性的指标“最大TCP/HTTP并发连接数”结果为942802,完全可以满足大型企业级用户的需求。


性能测试结果帧长64字节512字节1518字节吞吐量85.19%100%100%帧丢失率6.29%00延迟(μs)80.8848.8681.29最大并发连接数942802     我们可以看到防火墙与交换机的结合在提升企业网络内部安全性的同时对网络性能的影响并不大,让用户可以真正体验到安全与性能的完美结合。     传统防火墙处于网关位置,往往会结合入侵检测或VPN功能,是各种功能的综合体。而思科Catalyst 6500系列FWSM模块的防火墙特性更为突出,不但可以单独工作,还可以与部署在同一台6500交换机箱中独立的入侵检测模块、VPN模块和SSL加密模块密切协作,各司其职,这也显示了细化分工的趋势,使企业可以按照更为清晰的架构搭建多层次的安全网络。     测试方法     在性能测试中,我们使用了由思傅伦通信公司提供的SmartBits 6000B测试仪。我们在测试中使用的测试软件为SmartFlow 1.50和WebSuite Firewall 1.10。使用1000Base-X SmartMetrics模块的两个1000Base-SX GBIC,通过光纤将其分别与被测设备的两个千兆端口直连。测试环境如图所示。
Cisco Catalyst 6509交换机FWSM防火墙模块 - dc31151 - 李萧明   
在测试中,我们将Catalyst 6509交换机配置为类似于一台防火墙和一个路由器串联,防火墙配置为内、外网全通,交换机配置为根据目的端口进行负载均衡。     
我们用SmartFlow完成了吞吐量、延迟和帧丢失率的测试,双向设置20个流(每个方向各有10个流),测试时间为120秒。     
每个方向的10个流中源MAC/IP/端口相同,目的MAC/IP相同,目的端口不同。其中吞吐量测试中允许的帧丢失率为0,延迟测试是在吞吐量的条件下完成的。测试过程选用了64、512、1518字节三种帧长。     
我们用WebSuite Firewall 完成了最大并发连接数的测试,测试速率为4000个连接/秒。每项测试我们都进行三遍,最终取平均值作最后结果。     
被测的Catalyst 6509交换机控制引擎配置为SUP2/MSFC2,IOS版本为12.1(13)E5,FWSM 软件版本为1.1(2),PDM版本为2.1(1)。
Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的防火墙服务模块(1)

阅读提示:防火墙服务模块(FWSM)是一个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块,可以与总线和交换矩阵进行交互。
Q. 什么是防火墙服务模块?

A. 防火墙服务模块(FWSM)是一个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块,可以与总线和交换矩阵进行交互。FWSM可以在Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器中提供状态防火墙功能。

Q. FWSM主要具有哪些特性?

A. FWSM的主要特性包括:

· 高性能,OC-48 或者 5 Gbps 吞吐量,全双工防火墙功能

· 具有整个PIX 6.0软件功能集和PIX 6.2的下列特性:

o 命令授权

o 对象组合

o ILS/NetMeeting修正

o URL过滤改进

· 3M pps 吞吐量

· 支持100个VLAN

· 一百万个并发连接

· LAN故障恢复:主从备份模式,设备内部/设备之间

· 利用OSPF/RIP进行动态路由

· 每个机箱支持多个模块

Q. 防火墙服务模块(FWSM)和Cisco PIX防火墙之间有何不同?

A. FWSM是Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的一种集成模块--与独立的Cisco PIX防火墙不同。

FWSM建立在Cisco PIX技术的基础之上。
Q. FWSM运行的是什么操作系统?

A. FWSM和Cisco PIX防火墙运行的操作系统都是实时操作系统Finesse。Finesse是一种真正的微核系统,能够提供可重复使用的软件、便于移植的源代码,并可以提高产品质量,减少测试次数,缩短产品上市时间,提高投资回报。
Q. FWSM用什么机制检测流量?

A. FWSM使用与Cisco PIX防火墙相同的检测算法:自适应安全算法(ASA)。ASA是一种状态检测引擎,可以检测流量的完整性。ASA可以使用源和目的地的地址和端口、TCP序列号,以及其他TCP标志,散列IP报头信息。散列的作用相当于指纹,即创建一个独特的代码,表明建立输入或者输出连接的客户端的身份。

如需查看更多的ASA文档,请接入:

http://www.cisco.com/univercd/cc ... 60/config/intro.htm
Q. Cisco PIX防火墙和PWSM的特性有何区别?

A. FWSM支持Cisco PIX防火墙6.0版本的所有功能和6.2版本的某些功能。下表列出了它们的主要区别。如需查看这些区别的详细说明,请参阅"Cisco PIX 与防火墙模块的区别"文档。[提供该文档的URL][应当链接到防火墙网页]


特性 FSM  Cisco PIX  
性能 5 Gb 1.7 Gb
VLAN标签 有 无
路由 动态 静态
故障恢复使用许可 不需要 需要
VPN 功能 无 有
IDS 签名 无 有
最大接口数 100 10
输入控制列表(ACL)支持 128000 2M
Q. FWSM的性能如何?

A. 总性能约为5Gbps。FWSM可以每秒支持一百万个并发连接,并且每秒可以建立超过10万个连接。
Q. 装有FWSM的Catalyst 6500主要部署在什么地方?

A. 装有FWSM的Cisco Catalyst 6500 系列可以提供目前性能最高的防火墙功能--它能够让企业将多种关键任务型防火墙功能整合到一个设备之中,从而减少分散的防火墙的个数,简化对多个防火墙的管理。FWSM主要部署在企业园区的边缘和分布点。
Q. FWSM所能支持的最低的软件版本是多少?

A. 最低的IOS软件版本是12.1(13)E,而综合CatOS的最低版本是7.5(1)。
Q. FWSM支持交换矩阵吗?

A. 是的,FWSM支持交换矩阵。它具有一条与总线的连接和一条与交换矩阵的连接。
Q. FWSM是否利用热备份路由协议(HSRP)实现冗余?

A. 不是。主FWSM和冗余FWSM都使用与Cisco PIX防火墙相同的协议交换逻辑更新和状态信息。
Q. 怎样将流量发送给FWSM?该模块是否具有外部端口?

A. FWSM上没有外部端口。系统会给FWSM分配一些传输流量的VLAN,这些VLAN上的流量将获得防火墙的保护。
Q. FWSM是否支持冗余?

A. FCS可以提供状态防火墙故障恢复。FWSM采用了独特的设计,可以结合PIX状态故障恢复功能。FWSM模块可以安装在同一个或者另外一个Catalyst 6500系列交换机中。
Q. FWSM是否支持路由协议?

A. 是的,它支持开放最短路径优先(OSPF)和路由信息协议(RIP)。
Q. 在订购FWSM时,我应当使用什么产品编号?

A. FWSM的产品编号为:
产品编号 说明
WS-SVC-FWM-1-K9 用于Cisco Catalyst 6500的防火墙服务模块
WS-SVC-FWM-1-K9= 用于Cisco Catalyst 6500的防火墙服务模块(备件)
SC-SVC-FWM-1.1-K9 用于Catalyst 6500的防火墙模块软件
SC-SVC-FWM-1.1-K9= 用于Catalyst 6500的防火墙模块软件(备件)
Q. FWSM是否具有使用许可选项?

A. 没有,该模块没有任何受限的和不受限的使用许可选项。
Q. FWSM使用的是什么三重数据加密标准(3DES)软件?

A. FWSM上的加密功能只能用于网络管理。您不能用该模块上的3DES软件进行远程接入或者站点间隧道端接。
Q. 模块软件是否内置3DES软件,我是否需要单独订购该软件?

A. 3DES 与软件镜像捆绑提供。您不需要单独订购该软件。
Q. 机载闪存和DRAM内存有多大,我能否升级DRAM?

A. FWSM的闪存为128MB,DRAM内存为1GB。内存无法现场升级。
Q. FWSM获得了什么认证?

A. 我们将在2002日历年度的第四季度之前获得ICSA认证。
Q. 我是否可以在FWSM上连接远程虚拟专用网(VPN)用户?

A. 不行,FWSM不能提供VPN功能。
Q. 我是否可以在同一个机箱中安装多个模块?

A. 可以,每个机箱最多可以安装四个模块。
Q. FWSM是否支持组播功能?

A. 最初的版本不能支持组播功能,但是组播支持将在未来的版本中提供。
Q. 我是否可以在同一个设备中安装和运行FWSM和IPSec VPN加速模块?

A. 不能。最初版本的IOS镜像不能互相兼容,因而不能将这两个模块安装在同一个设备中。
Q. FWSM是否支持IDSM入侵检测模块?

A. 防火墙服务模块和IDS模块可以共存于同一个设备中。由于IDS模块是一个从设备,所以获得防火墙保护的VLAN也可以拓展到IDS模块,进行入侵检测。
Q. FWSM是否可以提供拒绝服务/DDoS检测和管理功能?

A. 可以。FWSM可以根据协议或者地址设置阀值、日志和配置。
Q. FWSM可以发现哪些拒绝服务攻击?

A. 它可以发现下列攻击:

o ICMP Flood

o UDP Flood

o Ping of Death

o IP Spoofing

o IP源路由选项
Q. FWSM是否支持IP源路由过滤功能?

A. IP源路由过滤功能由IOS提供。
Q. FWSM是否可以支持URL/HTTP过滤?

A. 是的,需要通过像Websense这样的Web过滤工具。
Q. FWSM缺省的安全设置是什么?

A. FWSM会拒绝所有方向上的所有分组,包括来自于管理接口的探测流量。
Q. FWSM是否可以提供高可用性的主/主备份支持?

A. FWSM 目前可以提供主/从备份支持。主/主备份支持目前正在研究之中。
Q. FWSM的主/从冗余功能是否可以提供无缝的故障恢复?

A. 可以。
Q. FWSM是否支持流量整型?

A. FWSM可以通过Catalyst 6500线卡支持流量整型,这种线卡可以为FWSM提供VLAN接口。
Q. FWSM是否支持QoS机制和速率限制?

A. 可以,它支持Catalyst 6500的所有QoS功能。
Q. FWSMD是否支持安全的带外管理?

A. 可以,通过管理VLAN上的IPSec。
Q. FWSM是否支持Traceroute和ping?

A. 如果获得明确许可就可以支持。缺省状态下不支持。
Q. 应当用什么应用配置FWSM和监控系统日志流量?

A. 在最初的版本中,用户可以通过CLI 和Cisco PIX设备管理器(PDM)管理FWSM。PDM可以通过基于向导的菜单帮助用户进行防火墙配置。
  评论这张
 
阅读(29)| 评论(1)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018