思科防火墙FWSM
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
透明防火墙模式下的地址解析协议(ARP)检测
DHCP服务器,到上游路由器的DHCP中继
服务虚拟化(多安全环境模式)
透明模式
路由模式
NAT/PATΒιβλιοθήκη Baidu
ACL
协议检测
SNMP
系统日志
DHCP
资源管理可控制每安全环境的资源使用
检测引擎
应用策略实施
协议符合性检查
协议状态跟踪
安全检查
NAT/PAT支持
动态端口分配
通过此模块化方式,客户可使用现有交换和路由基础设施来实现经济有效的部署—同时获得业界最高性能,提供安全的IP服务以及多层LAN和WAN交换和路由功能。
防火墙服务模块的优点
集成模块可增强安全性,提供更低拥有成本
除了防止企业网络的周边遭受威胁以外,安装在Cisco Catalyst 6500系列交换机或Cisco 7600系列路由器中的思科FWSM还可以防止未经授权的用户进入企业网络的特定子网、工作组和LAN。这种智能网络集成使FWSM可提供更高投资保护、更低总体拥有成本和更小的机型,适用于机架空间有限的地点。交换机上的任意物理端口都可通过配置运行防火墙策略和进行防御,从而无需更多配置和布线即能方便地部署,并在网络基础设施中提供防火墙安全。FWSM可与其他Cisco Catalyst 6500系列和Cisco 7600系列安全服务模块一起部署,提供安全、多层的深度防御IP服务解决方案。
应用检测控制
先进的HTTP检测服务:为协议异常检测、HTTP命令过滤、MIME型过滤、内容验证、URI长度实施等提供RFC符合性检查
隧道应用控制:AOL Instant Messenger, Microsoft Messenger, Yahoo Messenger,对等应用(如KaZaA和Gnutella),以及其他应用(如GoToMyPC)
产品简介
用于Cisco Catalyst 6500系列和Cisco 7600系列的
思科防火墙服务模块
用于Cisco Catalyst®6500系列交换机和Cisco 7600系列路由器的思科®防火墙服务模块(FWSM)是一种高性能、集成化的状态化检测防火墙,配有应用和协议检测引擎。它可以提供5.5Gb的吞吐量,每秒10万个连接,以及一百万个并发连接。在一个机箱中最多可以安装四个FWSM,因而每个机箱最高可以提供20Gb的吞吐量。作为思科®PIX安全设备系列的扩展,FWSM可以为大型企业和电信运营商提供无以伦比的安全性、可靠性和性能。
支持巨型以太网分组(8500字节)
VLAN接口
每FWSM共1000个VLAN接口
在路由模式下,每安全环境有256个VLAN
在透明模式下,每安全环境有8个VLAN对
ACL
最多80000个ACL
虚拟防火墙(安全环境)
20、50、100和250个虚拟防火墙许可证
为进行测试,提供2个虚拟防火墙和1个管理环境
在VLAN间提供相同安全级别的通信(无NAT/静态策略),有每主机最多连接限制
防御拒绝服务(DoS)攻击:DNS Guard,Flood Defender,Flood Guard,带SYN cookies优化的TCP截获,uRPF, Mail Guard,FragGuard和虚拟重组,ICMP状态检测,UDP速率控制,TCP流重组和恢复引擎,用于攻击检测的TCP流量规范化服务
凭借透明(第二层)防火墙简化部署
透明防火墙特性可将FWSM配置为一个第二层桥接防火墙,且只需对网络拓扑稍加改动。使用透明防火墙可缩短配置和部署时间。除管理接口外无IP地址;透明防火墙也无需划分子网或配置更新。透明防火墙特性大大简化了数据中心内用于保护主机的部署。透明防火墙也适用于现有网络,无需第三层改动,即可透明地传输来自路由器的第三层流量,并与热待机路由器协议(HSRP)、虚拟路由器冗余协议(VRRP)、网关负载均衡协议(GLBP)和组播等IP服务,以及网络互联分组交换(IPX)、多协议标签交换(MPLS)和网桥协议数据单元(BPDU)等非IP流量互操作。在有多个虚拟防火墙的情况下,也支持透明防火墙。使用思科FWSM软件v3.1时,同一FWSM上可混合部署透明防火墙和路由防火墙,提供最为灵活的网络部署选择。
FWSM以基于网络的防火墙服务为基础,还可通过智能的应用感知型检测引擎来检查第四到七层的网络流量,从而提供强大的应用层安全。为帮助网络防御应用层攻击,这些检测引擎运用了广泛的应用和协议知识,并采用了安全实施技术,包括协议异常检测、应用和协议状态跟踪、双向NAT服务、双向ACL、端口地址转换(PAT)和攻击检测,以及防御技术,如应用/协议命令过滤、内容验证、模糊URL和URL过滤等。这些检测引擎可帮助企业控制即时消息、对等文件共享和隧道化应用。此外,FWSM为范围广泛的VoIP和其他多媒体标准提供了市场领先的保护。
特殊应用:Microsoft Windows Messenger, Microsoft NetMeeting, Real Player,思科IP电话,思科软电话
安全服务:点到点隧道协议(PPTP)
高可用性
机箱间和机箱内
主用-备用状态化故障转换
在多环境模式下支持主用-主用状态化故障转换
通过主用-主用冗余性支持非对称路由
图1:Cisco Catalyst 6500系列防火墙服务模块
FWSM采用了思科PIX技术,是一种经过强化的内嵌系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。思科FWSM可跟踪所有网络通信的状态,防止未授权网络接入。它通过智能的应用感知型检测引擎来检查第四到七层的网络流量,从而提供了强大的应用层安全性,包括市场领先的IP语音(VoIP)、多媒体、即时消息和对等应用安全保护。
思科FWSM软件2.3或更早的版本可由集成的思科PIX设备管理器(PDM)管理,思科FWSM软件3.1版本可由思科自适应安全设备管理器(ASDM)管理,包括FWSM的设备和策略配置、监控和故障排除。思科PDM可从CiscoWorks CiscoView设备管理器(CVDM)启动,对Cisco Catalyst交换机和其他服务模块进行设备配置。思科FWSM也可由集中、可扩展、基于策略的多设备管理工具管理,这其中包括CiscoWorks VPN/安全管理解决方案(VMS);思科安全管理器和思科安全监控、分析和响应系统(MARS)。这些中央管理工具与其他安全设备一起,能统一地管理网络中的FWSM,从而加速大规模的安全部署。
核心互联网协议:HTTP, FTP, TFTP, SMTP, ESMTP, DNS, EDNS, ICMP, TCP, UDP
数据库/OS服务:ILS/LDAP,Oracle/SQL*Net v1和v2, NetBIOS over IP, NFS, RSH, SunRPC/NIS+,XWindows (XDMCP), RASv2
强大的状态化检测和应用层安全
思科FWSM采用了思科PIX防火墙技术,即自适应安全算法(ASA)。FWSM提供了丰富的状态化检测防火墙服务,可跟踪所有网络通信的状态,运用安全策略,并防止未授权设备接入网络。FWSM根据源和目的地地址、随机TCP顺序号、端口号和附加的TCP标记,为每一连接的流量创建一个连接表项目,并对这些连接应用安全策略。
在单安全环境模式下提供动态路由:OSPF、RIPv1和v2、PIM稀疏模式v2组播路由、IGMP v2
透明模式仅支持静态路由
专用VLAN
通过使用不对称路由组,支持无冗余的不对称路由
使用IPv6 HTTPS、SSH v1和v2以及Telnet,提供IPv6网络和管理访问
核心状态化防火墙服务
ACL:用于IP流量的扩展ACL、用于非IP流量的Ethertype ACL、用于OSPF路由分发的标准ACL、基于每用户思科安全访问控制服务器(ACS)的ACL、每用户ACL重写、用于ACL的对象分组、基于时间的ACL
思科FWSM平台的性能和功能
表1提供了有关思科FWSM的性能和功能。
表1.思科FWSM平台的性能和功能
功能
性能
每FWSM可达到5.5Gbps吞吐量
每个Cisco Catalyst 6500机箱最多可安装4个FWSM(20 Gbps)
2.8 Mpps
一百万个并发连接
每秒建立和断开10万个连接
256000个并发NAT和256000个并发PAT转换
多媒体/VoIP:H.323 v1–4, SIP, SCCP (Skinny), Skinny Video, GTP v0和v1 (3G移动无线), MGCPv0.1和v1.0, RTSP, TAPI和Java TAPI (JTAPI) T.38 Fax over IP, GKRCS,分片和分段多媒体流检测
安全服务集成
思科FWSM可与其他思科安全服务模块共用,如入侵检测服务模块(IDSM-2)、IP安全(IPSec) VPN共享端口适配器(SPA)、SSL VPN服务模块(WEBVPNSM)、流量异常检测模块(ADM)、异常防护模块(AGM),以及网络分析模块(NAM-1和NAM-2)。这些服务模块相结合,构成了一个全面的自防御网络解决方案。
系统管理
控制台到命令行界面(CLI):交换机进程,类似Cisco IOS软件的CLI分析器
Telnet到FWSM的内部接口
Telnet over IPSec到FWSM的外部接口
FWSM资源管理器可限制在各时间段分配给每个安全环境的资源,以确保高可用性。这可防止某些环境占用所有资源并拒绝其他环境利用这些资源。资源包括连接、本地主机、NAT、ACL、带宽、检测速率和系统日志速率。基于角色的管理允许多个IT负责人配置和管理网络和应用层安全策略。FWSM在互联网边缘使用,可通过配置,将虚拟防火墙映射到虚拟路由和转发实例(VRF),在园区网络上提供全面的流量隔离和安全。随FWSM软件缺省提供两个安全环境和一个特殊的管理环境。如需更多的安全环境,必须购买许可证。
思科模块化策略框架(MPF),采用基于流量的安全策略
直通用户验证代理,带本地数据库和外部AAA服务器支持:TCP、HTTP、FTP、HTTPS等
URL过滤;根据Websense Enterprise过滤HTTP、HTTPS和FTP请求,或通过N2H2(现在属于Secure Computing公司)进行HTTP过滤
高可用性
为实现网络永续性,思科FWSM支持单一Cisco Catalyst 6500或Cisco 7600机箱内各模块间的高速(机箱内)故障转换,以及不同机箱中模块间的高速(机箱间)故障转换,为客户的防火墙部署提供全面的灵活性。思科FWSM软件v3.1除主用-备用状态化故障转换外,还增加了主用-主用状态化故障转换。
适用于未来的高性能和可扩展性
思科FWSM提供了业界领先的性能,包括每秒100,000个连接、5.5 Gbps吞吐量和100万个并发连接。这一出色的性能使机构无需重新部署系统,即可满足未来的增长需求。一个机箱中最多可部署4个FWSM,总吞吐量为20 Gbps。单一FWSM可支持多达1000个虚拟接口(每个环境256个),一个机箱可扩展到最多支持4000个VLAN。在交换背板上采用了完全防火墙保护,提供了最低延迟(小型帧为30ms)。FWSM基于高速网络处理器,在提供高性能的同时,保留了专用CPU的灵活性。
服务虚拟化降低了管理成本和复杂度
思科FWSM提供了服务虚拟化,使电信运营商和大型企业可在同一物理基础设施上,为不同客户或职能领域,如多个DMZ,执行不同的策略。虚拟化有助于降低管理多个设备的成本和复杂度,从而在用户增加时更方便地添加或删除安全环境。在思科FWSM软件3.1版本中,一个FWSM最多可划分为250个虚拟防火墙(安全环境)。FWSM虚拟化包括对透明模式(第二层)和路由模式(第三层)的支持。服务虚拟化则包括网络地址转换(NAT)、访问控制列表(ACL)、检测引擎、简单网络管理协议(SNMP)、系统日志和动态主机控制协议(DHCP)等。
FWSM特性总结
表2提供了思科FWSM的特性总结。
表2.FWSM特性总结
特性
总结
智能网络服务
第二层防火墙(透明模式)
第三层防火墙(路由和/或NAT模式)
每FWSM支持第二层和第三层混合防火墙
动态/静态NAT和PAT
基于策略的NAT
VRF感知型NAT
用于组播的目的地NAT
在单安全环境和多安全环境模式下支持静态路由
DHCP服务器,到上游路由器的DHCP中继
服务虚拟化(多安全环境模式)
透明模式
路由模式
NAT/PATΒιβλιοθήκη Baidu
ACL
协议检测
SNMP
系统日志
DHCP
资源管理可控制每安全环境的资源使用
检测引擎
应用策略实施
协议符合性检查
协议状态跟踪
安全检查
NAT/PAT支持
动态端口分配
通过此模块化方式,客户可使用现有交换和路由基础设施来实现经济有效的部署—同时获得业界最高性能,提供安全的IP服务以及多层LAN和WAN交换和路由功能。
防火墙服务模块的优点
集成模块可增强安全性,提供更低拥有成本
除了防止企业网络的周边遭受威胁以外,安装在Cisco Catalyst 6500系列交换机或Cisco 7600系列路由器中的思科FWSM还可以防止未经授权的用户进入企业网络的特定子网、工作组和LAN。这种智能网络集成使FWSM可提供更高投资保护、更低总体拥有成本和更小的机型,适用于机架空间有限的地点。交换机上的任意物理端口都可通过配置运行防火墙策略和进行防御,从而无需更多配置和布线即能方便地部署,并在网络基础设施中提供防火墙安全。FWSM可与其他Cisco Catalyst 6500系列和Cisco 7600系列安全服务模块一起部署,提供安全、多层的深度防御IP服务解决方案。
应用检测控制
先进的HTTP检测服务:为协议异常检测、HTTP命令过滤、MIME型过滤、内容验证、URI长度实施等提供RFC符合性检查
隧道应用控制:AOL Instant Messenger, Microsoft Messenger, Yahoo Messenger,对等应用(如KaZaA和Gnutella),以及其他应用(如GoToMyPC)
产品简介
用于Cisco Catalyst 6500系列和Cisco 7600系列的
思科防火墙服务模块
用于Cisco Catalyst®6500系列交换机和Cisco 7600系列路由器的思科®防火墙服务模块(FWSM)是一种高性能、集成化的状态化检测防火墙,配有应用和协议检测引擎。它可以提供5.5Gb的吞吐量,每秒10万个连接,以及一百万个并发连接。在一个机箱中最多可以安装四个FWSM,因而每个机箱最高可以提供20Gb的吞吐量。作为思科®PIX安全设备系列的扩展,FWSM可以为大型企业和电信运营商提供无以伦比的安全性、可靠性和性能。
支持巨型以太网分组(8500字节)
VLAN接口
每FWSM共1000个VLAN接口
在路由模式下,每安全环境有256个VLAN
在透明模式下,每安全环境有8个VLAN对
ACL
最多80000个ACL
虚拟防火墙(安全环境)
20、50、100和250个虚拟防火墙许可证
为进行测试,提供2个虚拟防火墙和1个管理环境
在VLAN间提供相同安全级别的通信(无NAT/静态策略),有每主机最多连接限制
防御拒绝服务(DoS)攻击:DNS Guard,Flood Defender,Flood Guard,带SYN cookies优化的TCP截获,uRPF, Mail Guard,FragGuard和虚拟重组,ICMP状态检测,UDP速率控制,TCP流重组和恢复引擎,用于攻击检测的TCP流量规范化服务
凭借透明(第二层)防火墙简化部署
透明防火墙特性可将FWSM配置为一个第二层桥接防火墙,且只需对网络拓扑稍加改动。使用透明防火墙可缩短配置和部署时间。除管理接口外无IP地址;透明防火墙也无需划分子网或配置更新。透明防火墙特性大大简化了数据中心内用于保护主机的部署。透明防火墙也适用于现有网络,无需第三层改动,即可透明地传输来自路由器的第三层流量,并与热待机路由器协议(HSRP)、虚拟路由器冗余协议(VRRP)、网关负载均衡协议(GLBP)和组播等IP服务,以及网络互联分组交换(IPX)、多协议标签交换(MPLS)和网桥协议数据单元(BPDU)等非IP流量互操作。在有多个虚拟防火墙的情况下,也支持透明防火墙。使用思科FWSM软件v3.1时,同一FWSM上可混合部署透明防火墙和路由防火墙,提供最为灵活的网络部署选择。
FWSM以基于网络的防火墙服务为基础,还可通过智能的应用感知型检测引擎来检查第四到七层的网络流量,从而提供强大的应用层安全。为帮助网络防御应用层攻击,这些检测引擎运用了广泛的应用和协议知识,并采用了安全实施技术,包括协议异常检测、应用和协议状态跟踪、双向NAT服务、双向ACL、端口地址转换(PAT)和攻击检测,以及防御技术,如应用/协议命令过滤、内容验证、模糊URL和URL过滤等。这些检测引擎可帮助企业控制即时消息、对等文件共享和隧道化应用。此外,FWSM为范围广泛的VoIP和其他多媒体标准提供了市场领先的保护。
特殊应用:Microsoft Windows Messenger, Microsoft NetMeeting, Real Player,思科IP电话,思科软电话
安全服务:点到点隧道协议(PPTP)
高可用性
机箱间和机箱内
主用-备用状态化故障转换
在多环境模式下支持主用-主用状态化故障转换
通过主用-主用冗余性支持非对称路由
图1:Cisco Catalyst 6500系列防火墙服务模块
FWSM采用了思科PIX技术,是一种经过强化的内嵌系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。思科FWSM可跟踪所有网络通信的状态,防止未授权网络接入。它通过智能的应用感知型检测引擎来检查第四到七层的网络流量,从而提供了强大的应用层安全性,包括市场领先的IP语音(VoIP)、多媒体、即时消息和对等应用安全保护。
思科FWSM软件2.3或更早的版本可由集成的思科PIX设备管理器(PDM)管理,思科FWSM软件3.1版本可由思科自适应安全设备管理器(ASDM)管理,包括FWSM的设备和策略配置、监控和故障排除。思科PDM可从CiscoWorks CiscoView设备管理器(CVDM)启动,对Cisco Catalyst交换机和其他服务模块进行设备配置。思科FWSM也可由集中、可扩展、基于策略的多设备管理工具管理,这其中包括CiscoWorks VPN/安全管理解决方案(VMS);思科安全管理器和思科安全监控、分析和响应系统(MARS)。这些中央管理工具与其他安全设备一起,能统一地管理网络中的FWSM,从而加速大规模的安全部署。
核心互联网协议:HTTP, FTP, TFTP, SMTP, ESMTP, DNS, EDNS, ICMP, TCP, UDP
数据库/OS服务:ILS/LDAP,Oracle/SQL*Net v1和v2, NetBIOS over IP, NFS, RSH, SunRPC/NIS+,XWindows (XDMCP), RASv2
强大的状态化检测和应用层安全
思科FWSM采用了思科PIX防火墙技术,即自适应安全算法(ASA)。FWSM提供了丰富的状态化检测防火墙服务,可跟踪所有网络通信的状态,运用安全策略,并防止未授权设备接入网络。FWSM根据源和目的地地址、随机TCP顺序号、端口号和附加的TCP标记,为每一连接的流量创建一个连接表项目,并对这些连接应用安全策略。
在单安全环境模式下提供动态路由:OSPF、RIPv1和v2、PIM稀疏模式v2组播路由、IGMP v2
透明模式仅支持静态路由
专用VLAN
通过使用不对称路由组,支持无冗余的不对称路由
使用IPv6 HTTPS、SSH v1和v2以及Telnet,提供IPv6网络和管理访问
核心状态化防火墙服务
ACL:用于IP流量的扩展ACL、用于非IP流量的Ethertype ACL、用于OSPF路由分发的标准ACL、基于每用户思科安全访问控制服务器(ACS)的ACL、每用户ACL重写、用于ACL的对象分组、基于时间的ACL
思科FWSM平台的性能和功能
表1提供了有关思科FWSM的性能和功能。
表1.思科FWSM平台的性能和功能
功能
性能
每FWSM可达到5.5Gbps吞吐量
每个Cisco Catalyst 6500机箱最多可安装4个FWSM(20 Gbps)
2.8 Mpps
一百万个并发连接
每秒建立和断开10万个连接
256000个并发NAT和256000个并发PAT转换
多媒体/VoIP:H.323 v1–4, SIP, SCCP (Skinny), Skinny Video, GTP v0和v1 (3G移动无线), MGCPv0.1和v1.0, RTSP, TAPI和Java TAPI (JTAPI) T.38 Fax over IP, GKRCS,分片和分段多媒体流检测
安全服务集成
思科FWSM可与其他思科安全服务模块共用,如入侵检测服务模块(IDSM-2)、IP安全(IPSec) VPN共享端口适配器(SPA)、SSL VPN服务模块(WEBVPNSM)、流量异常检测模块(ADM)、异常防护模块(AGM),以及网络分析模块(NAM-1和NAM-2)。这些服务模块相结合,构成了一个全面的自防御网络解决方案。
系统管理
控制台到命令行界面(CLI):交换机进程,类似Cisco IOS软件的CLI分析器
Telnet到FWSM的内部接口
Telnet over IPSec到FWSM的外部接口
FWSM资源管理器可限制在各时间段分配给每个安全环境的资源,以确保高可用性。这可防止某些环境占用所有资源并拒绝其他环境利用这些资源。资源包括连接、本地主机、NAT、ACL、带宽、检测速率和系统日志速率。基于角色的管理允许多个IT负责人配置和管理网络和应用层安全策略。FWSM在互联网边缘使用,可通过配置,将虚拟防火墙映射到虚拟路由和转发实例(VRF),在园区网络上提供全面的流量隔离和安全。随FWSM软件缺省提供两个安全环境和一个特殊的管理环境。如需更多的安全环境,必须购买许可证。
思科模块化策略框架(MPF),采用基于流量的安全策略
直通用户验证代理,带本地数据库和外部AAA服务器支持:TCP、HTTP、FTP、HTTPS等
URL过滤;根据Websense Enterprise过滤HTTP、HTTPS和FTP请求,或通过N2H2(现在属于Secure Computing公司)进行HTTP过滤
高可用性
为实现网络永续性,思科FWSM支持单一Cisco Catalyst 6500或Cisco 7600机箱内各模块间的高速(机箱内)故障转换,以及不同机箱中模块间的高速(机箱间)故障转换,为客户的防火墙部署提供全面的灵活性。思科FWSM软件v3.1除主用-备用状态化故障转换外,还增加了主用-主用状态化故障转换。
适用于未来的高性能和可扩展性
思科FWSM提供了业界领先的性能,包括每秒100,000个连接、5.5 Gbps吞吐量和100万个并发连接。这一出色的性能使机构无需重新部署系统,即可满足未来的增长需求。一个机箱中最多可部署4个FWSM,总吞吐量为20 Gbps。单一FWSM可支持多达1000个虚拟接口(每个环境256个),一个机箱可扩展到最多支持4000个VLAN。在交换背板上采用了完全防火墙保护,提供了最低延迟(小型帧为30ms)。FWSM基于高速网络处理器,在提供高性能的同时,保留了专用CPU的灵活性。
服务虚拟化降低了管理成本和复杂度
思科FWSM提供了服务虚拟化,使电信运营商和大型企业可在同一物理基础设施上,为不同客户或职能领域,如多个DMZ,执行不同的策略。虚拟化有助于降低管理多个设备的成本和复杂度,从而在用户增加时更方便地添加或删除安全环境。在思科FWSM软件3.1版本中,一个FWSM最多可划分为250个虚拟防火墙(安全环境)。FWSM虚拟化包括对透明模式(第二层)和路由模式(第三层)的支持。服务虚拟化则包括网络地址转换(NAT)、访问控制列表(ACL)、检测引擎、简单网络管理协议(SNMP)、系统日志和动态主机控制协议(DHCP)等。
FWSM特性总结
表2提供了思科FWSM的特性总结。
表2.FWSM特性总结
特性
总结
智能网络服务
第二层防火墙(透明模式)
第三层防火墙(路由和/或NAT模式)
每FWSM支持第二层和第三层混合防火墙
动态/静态NAT和PAT
基于策略的NAT
VRF感知型NAT
用于组播的目的地NAT
在单安全环境和多安全环境模式下支持静态路由