cisco防火牆
cisco的防火牆服務模組(firewall service module,fwsm)是為其catalyst 6500系列交換機量身打造的防火牆解決方案,它可以提供cisco asa的狀態化監控技術。fwsm與asa防火牆系列有著共同的祖先,那就是pix防火牆。自然而然,這三款產品(命令列介面中)的配置命令和配置思路都是非常接近的。
fwsm服務模組是專用於防火牆服務的模組。這款產品可以與catalyst 6500系列的其他服務模組(如應用控制引擎,ace)工作在乙個機框中,為裝置實現伺服器負載均衡等功能。
fwsm模組與6500交換機是通過交換機背板進行通訊的。因此,如果使用fwsm,那麼交換機上的所有物理埠都可以直接使用防火牆策略,這不僅可以節省時間,也可以減少佈線的工作量。此外,只有機框中那些明確劃分給fwsm模組的vlan才會使用fwsm提供的服務,其他vlan流量可以一如既往地遵循交換機的**規則,實現正常的高速**。
fwsm服務模組特別適合在資料中心的內部網路中使用,控**務器所在vlan的訪問流量。同時,它也非常適合在防火牆虛擬化部署中使用,例如通過此模組分割企業內部不同的職能部門,或者作為服務提供商,為客戶提供(防火牆)服務的可選方案。fwsm可以同時使用透明模式和路由模式的兩種虛擬防火牆,這也是fwsm的一大特色(虛擬化技術將在本書的第6章中進行詳細的介紹)。
下面是fwsm服務模組的效能引數。
每秒10條連線(cps)。
每秒300萬個資料報(pps)。
每個模組可以提供超過5gbit/s的防火牆吞吐量。乙個機框中最多可以安裝4個模組,因此吞吐量只和最大可達20gbit/s。
併發連線數為100萬條。
圖2-9所示為fwsm服務模組的硬體架構,其中np是網路處理引擎(network processor)的縮寫。
np3通常稱為會話管理器(session manager),負責處理的內容包括:建立連線請求的首個資料報;統計已建立的連線數與未完成的連線數;建立位址轉換條目。它還負責處理tcp序列號隨機生成(與tcp序列號隨機生成有關的內容將在本書的第7章和第8章中進行討論)、校驗tcp和udp的校驗和。
np1和np2稱為快速**,這兩個引擎主要負責維護連線表、對每個資料報所屬的會話進行檢視、執行位址轉換(包括網路位址轉換[nat]和埠位址轉換[pat])並重組分片的資料幀。
控制中心(control point,cp)依託於核心cpu:負責處理去往fwsm或由fwsm傳送的流量(這部分流量以管理層面的流量居多,如snmp、ssh、telnet、https等),並處理控制協議(如故障倒換、路由協議和tacacs+等)。cp也負責對各種應用協議進行監控,包括對應用層中嵌入的位址進行轉換和過濾應用命令等。用來執行fwsm**的處理器cp,也常常稱為慢**。
注釋 fwsm服務模組可以應用在cisco 7600系列路由器上,但為了方便起見,本書後續篇章中在介紹fwsm時只會提及6500系列交換機。
注釋 asa防火牆最開始泛指所有使用自適應安全演算法(adaptive security algorithm, asa)的防火牆。隨著pix防火牆產品生命週期的終結,cisco也不再開發後續的pix系列產品,這類產品如今就只有fwsm和asa兩個系列。
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...
防火牆系列(一) 何為防火牆
簡單解釋下內聯網路和外聯網路 內聯網路類似於區域網是指某個企業或者單位內部互動的網路,外聯網路就是外部的internet 部署在使用者內聯網路和外聯網路之間的一道屏障,一切內外聯網路交換的資料都應該通過防火牆裝置。以預先定義好的安全規則為標準,防火牆將對通過他的資料進行安全監測,符合安全規則的資料流...
外圍防火牆規則 內部防火牆規則
外圍防火牆規則 通常情況下,您的外圍防火牆需要以預設的形式或者通過配置來實現下列規則 拒絕所有通訊,除非顯式允許的通訊。阻止宣告具有內部或者外圍網路源位址的外來資料報。阻止宣告具有外部源 ip 位址的外出資料報 通訊應該只源自堡壘主機 允許從 dns 解析程式到 internet 上的dns 伺服器...