6503/6506/6509高端防火墻解決方案應用

2019-11-04 21:23:06

字體：大中小

來源：轉載

供稿：網友

　　借助 Cisco Catalyst 6500 系列交換機增強企業園區網的安全性
　　
　　借助當今先進的智能企業網，企業能夠有效地部署電子商務等應用，因而能實現勞動力的優化組合以及業務的全球化。這些強大的網絡能夠將許多遠程站點、分支辦公室、移動員工、合作伙伴和客戶連接在一起，從而能夠為數千用戶提供服務。但是，還存在一個問題所有網絡都越來越多地受到了企業園區網和互聯網上越來越多的安全隱患的威脅。另外，對電子商務應用需求的增加，以及服務向公共領域的集中也增加了流量經過網絡時的危險，在可能的地方，都需要對流量進行加密。
　　
　　Cisco Catalyst 6500 系列交換機提供的解決方案能夠防止網絡受到來自園區網和公共網的安全隱患的侵害。
　　
　　為企業園區網開發的新型智能安全服務
　　
　　由于網絡安全問題的危害越來越大，覆蓋面越來越廣，而且越來越輕易在企業園區網內部署，因此，網絡完整性受到的威脅將越來越大。因此，幾乎所有機構都需要采用適當的安全技術保護其 IT 投資和企業聲譽免受影響。為補充現有軟件安全產品的不足，Cisco Catalyst 6500 交換機將一套先進的安全模塊集成在一起，以便進一步增強網絡安全性。
　　
　　新型 Cisco 高級安全模塊包括防火墻服務模塊（FWSM）、安全套接層（SSL）、ip安全虛擬專用網（IPSec VPN）服務模塊和網絡分析模塊（NAM）。客戶將能夠在交換機上部署綜合安全性，而無需分別治理的不同設備，然后再與基本的基礎設施相連，因此，這種方式可以大大提高性能、可治理性和整個系統的性價比。
　　
　　為Catalyst 6500設計的Cisco安全服務模塊
　　
　　Cisco IPSec VPN 服務模塊是為 Cisco Catalyst 6500 交換機和 Cisco 7600 互聯網路由器設計的高速模塊，能夠提供基礎設施集成的IPSec VPN服務，不但能提供強有力的連接，還能增加帶寬。
　　
　　Cisco 防火墻服務模塊（FWSM）安裝在 Cisco Catalyst 6500 系列交換機中，不但適合作為數據中心和外部網的邊緣分布層，制定服務器流量策略，還適合作為網絡治理層。對于需要防火墻功能、入侵檢測、虛擬專用網，以及多層 LAN、WAN 和 MAN 交換功能的客戶來講，Cisco Catalyst 6500 是其首選IP服務交換機。
　　
　　Cisco FWSM是業界性能最高的防火墻解決方案，每個模塊的吞吐量能夠擴展到 5GB 以上。借助多個模塊，帶寬可高達 20GB。FWSM 完全支持 VLAN，提供動態路由，而且可以完全集成在 Cisco Catalyst 6500 系列交換機內。FWSM 基于 Cisco PIXTM Firewall 技術，因而能夠提供與屢獲大獎的 Cisco PIXTM 安全設備系列相同的安全性和可靠性。FWSM 采用了通過軟件下載增強特性的網絡處理器技術，能最大限度地適應未來需求和特性。
　　
　　主要特性包括：
　　
　　可擴展性--能夠以業界最高的性能生成受狀態防火墻保護的多個安全域，從而消除來自企業園區網的越來越多的安全威脅。每個FWSM模塊提供5GB吞吐量。假如安裝多個模塊，每個機箱的總帶寬可以擴展到20GB。
　　
　　可靠性--以 Cisco PIX 技術為基礎，FWSM使用了同一個經過時間檢驗的 Cisco PIX 操作系統，這是一種安全的硬化實時操作系統。借助切實可行的 Cisco PIX 分組檢查機制，FWSM能夠在一個平臺上同時提供高性能和高安全性。另外，它還能在活躍/等待 FWSM 環境中提供基于LAN的故障恢復。
　　
　　易于使用--FWSM使用大家非常熟悉切實可行的 Cisco PIX 治理界面保持安全性及網絡治理界面的獨立性。Cisco 治理框架和 Cisco AVVID（集成化視頻、視頻和數據體系結構）合作伙伴都支持FWSM的配置和監控。
　　
　　為 Cisco Catalyst 6500 系列設計的 Cisco 安全插接層（SSL）服務模塊非常適合部署在數據中心內，它能夠提高Web應用的性能和安全性，提供綜合安全內容聯網，并保證最優客戶體驗。由于能卸載與利用 SSL 協議保護流量相關的處理器密集型任務，因而能增加Web站點支持的安全連接數量。
　　
　　假如將 SSL 與 Cisco 內容交換模塊（CSM）集成在一起，將能夠加速加密和非加密流量，同時從Web服務器卸載資源密集型功能，從而提供高性能、可擴展、安全的服務器負載均衡解決方案。
　　
　　新型高性能 Cisco 網絡分析模塊（NAM-2）非常適合數據中心、企業邊緣、分布層使用，也可以作為網絡的要害業務接入層，為網絡提供給用級可視性，在千兆位環境中實現實時流量分析、性能監控和故障排除。
　　
　　集成在 Cisco Catalyst 6500 系列交換機中的這些服務模塊，假如能夠部署在推薦的網絡層中，并與Cisco Catalyst 6500 交換機的軟件安全產品一起使用，將能夠有效防止內部網絡遭受非法設備和用戶的侵害，使網絡免受外部安全隱患的威脅。
Cisco Catalyst 6500 系列交換機能夠為企業園區網提供全面的安全解決方案。
　　
　　503/6506/6509高端防火墻一體化安全保護
　　
　　思科的 Catalyst 6500 交換機通常作為網絡的核心交換機，承載了絕大部分的網絡流量，可謂是系統中的要害環節。在思科 Catalyst 6500 交換機中可以應用多種安全服務模塊，譬如說防火墻模塊、入侵檢測模塊、VPN 模塊、SSL 加速模塊、網絡流量分析模塊等等。這些模塊的組合應用，可以有效地保證用戶網絡系統與流量的安全，并且此時我們無須分別治理不同設備，可以大大提高針對安全事件的響應能力，從而提高系統的可治理性和整個安全系統的性價比。同樣，由于 Cisco 760 路由器與 Catalyst 6500 具有先天性的兼容性，所以在電信級別的應用中，也可以享受到這一系列服務模塊帶來的便利。
　　
　　在骨干網絡中使用增值服務模塊可以有效降低網絡拓撲的復雜程度，提高網絡的運行以及治理的效率。最重要的是通過此類模塊的使用，使我們對網絡的控制程度達到了一個新的境界。
　　

　　Cisco 的 6503/6506/6509 高端防火墻可以說是業界性能最高的防火墻產品，它的每一個模塊的吞吐量可以達到 5GB。在一個機箱當中可以承載多達四個模塊，總體的處理帶寬最高可達 20GB。FWSM 防火墻模塊的最大優勢在于其接口完全基于 VLAN，這樣就可以突破物理端口的限制，即使本機箱當中沒有足夠的物理端口，也可以利于 VLAN Trunk 方式將二級交換機納入防護體系當中。例如圖1中所示，在防火墻的接口設置中，我們具有相當大的靈活性。一旦用戶的需求發生變化時，只需要更改交換機的內部VLAN設置即可，不需要進行物理接口的變動。
　　

　　6503/6506/6509 高端防火墻可以采用虛擬防火墻以及透明防火墻的技術，從而更加有效地支持用戶的安全需求。利用虛擬防火墻的特性，將一個或者多個互聯網的接入線路直接終結在 C6500 交換機上，利用一個或兩個以上的虛擬防火墻分別完成線路接入、路由處理以及地址翻譯等工作，姑且將這一類虛擬防火墻稱為外部防火墻。在這些外部防火墻的設置中，我們通常采用兩端口或三端口的方式，后者主要考慮到對外服務器群的DMZ區域連接的問題，如圖2所示。
　　

　　同時我們將外部防火墻的內部端口分別與 C6500 的 MSFC 進行 L3 的連接，注重此處一定是分別連接，在路由處理方面可以采用靜態路由的方式即可，這樣比較簡單有效。
　　
　　在處理好外部接入與防護問題之后，我們可以有選擇性地保護一些內部資源，例如要害性服務器資源以及重要的用戶群等。此時，我們可以利用虛擬防火墻去分別連接此類資源，不同的是這些內部防火墻是用外部接口與 MSFC 分別互連，這樣它們所保護的對象就處于防火墻的內部網段了，如圖3所示。
　　
　　C6500 作為網絡的核心設備，MSFC 是一個中心的 L3 對象。以此為中心，對外可以通過外部防火墻進行外部的互連，此時整個網絡均作為被保護對象處于外部防火墻的內部網段；同時，在面對內部需要保護的對象時，FWSM 防火墻模塊可以通過 VLAN 的靈活劃分，利用內部防火墻有選擇性地加以保護，此時的保護連接可以是 L2，也可以是 L3 方式。比如說，普通的匯聚層交換機此時仍然可以通過 L3 的方式與 C6500 的 MSFC 進行連接，雙方可以完成動態路由的交換，這樣普通用戶可以不受限制的接入，與傳統網絡設計沒有什么區別。但是，假如我們認為某一臺匯聚交換機所接入的用戶安全等級比較高，此時就可以在 MSFC 與該匯聚交換機之間加入一個虛擬防火墻，只是此時防火墻的內部端口接的是匯聚交換機，外部端口接的是 MSFC 而矣。此時，該用戶群就可以得到專門的防火墻保護了，任何針對該用戶群的攻擊都必須首先突破防火墻的防御，這樣就可以有效提高內部的安全防護等級。當然，假如說保護的是一些要害性服務器等對象，也是可以采用內部防火墻的防護的，只是此時防火墻內部端口可以通過 VLAN 或 VLAN Trunk 方式連接，只要將服務器的網關設為防火墻內部端口的IP地址就可以了。
　　

　　當在電信 POP 點應用 6503/6506/6509 高端防火墻時，可以通過 FWSM 的 VFW 功能，提供針對每個用戶的安全保護增值服務，例如圖4所示，我們可以在PE-CE之間加入VFW的保護，具體的安全策略可以由各個用戶自行制定，也可以由電信運營商代理。
　　
　　思科CAT6K集成安全系統
　　
　　防火墻技術的發展有兩個主要趨勢，一是將 IDS/IPS 集成到防火墻中，提供單一設備的網絡防護整體方案；另外一個趨勢是防火墻與交換機的整合，或者說是防火墻功能在網絡中向分布式發展，交換機中會有更多，更強大的防火墻功能。
　　
　　思科公司的 CAT6K 交換機里部署 FWSM 防火墻模塊和 IDS 入侵監測模塊是這兩種技術趨勢的完美結合，具有獨特的優勢。
　　
　　FWSM防火墻模塊部署在CAT6K中的好處
　　
　　·FWSM 防火墻模塊具有非常高的性能，提供 5.5G 的容量，同時支持共 1,000,000 個連接，每秒 100,000 連接響應，實現安全和性能的完美結合
　　
　　·FWSM 防火墻模塊具有豐富的安全功能，支持虛擬防火墻，透明模式和路由模式，資源控制，日志監控，內容過濾等業界領先的功能
　　
　　·FWSM 防火墻模塊本身不帶有任何端口，通過 6GE 的背板總線和 CAT6K 其他部件通訊，可以插在 CAT6K 交換機或 OSR 的任何一個交換槽位中，CAT6K 交換機的任何端口都可以定義成防火墻端口。因此在采用 CAT6K 或 OSR 搭建網絡的時后，可以非常方便的部署安全策略和實施，控制需要治理的流量。

　　
　　·簡化用戶網絡的同時，真正實現對用戶的投資保護。對于已經購買 CAT6K 交換機 /OSR 的用戶，不需要對原有產品進行更換，只需購買 FWSM 防火墻模塊，就可獲得思科提供的所有防火墻特性和非常高的性能。
　　
　　·FWSM 防火墻模塊融合在 CAT6K 交換機中，其融合之美在應用上為用戶提供了非凡的方便，如下圖所示
　　

　　最早的串接結構模式，明顯的防火墻成為了網絡的瓶頸，而且部署非常不靈活，所有的流量均需要通過，可能需要部署多個防火墻；串接模式的改進型為單臂模式，解決了瓶頸和部署不靈活的問題，但網絡邏輯結構復雜，有時還需要交換機支持PBR策略路由來控制流量，因此在動態環境下，會有路由無法備份，無法支持熱備份等問題，同時交換機和防火墻之間的安全相關的互聯互通有時也會出現問題；思科公司的融合模式，即將 FWSM 防火墻模塊和 CAT6K 交換機融為一體，邏輯結構清楚，輕易治理和部署，交換機的每個端口均可作為防火墻的端口，流量很輕易控制，方便靈活，真正完全滿足用戶的需要。
　　
　　IDSM-2入侵監測模塊部署在CAT6K中的好處
　　
　　·IDSM-2 入侵監控模塊提供 600Mbps 業界領先的處理性能，在 CAT6K 中可以部署多塊，可達 6G 的處理能力。
　　
　　·CAT6K 支持廣域網接口，IDSM-2 工作在 CAT6K 中，可以非常輕松的監控來自于廣域網模塊的流量。
　　
　　·IDSM-2 入侵監控模塊本身沒有物理端口，通過多個 GE 和背板總線連接，可以同時監控多個 VLAN 和 VLAN ID，通過 VLAN 訪問控制列表 VACL 獲取功能來提供對數據流的訪問權限 VACL 可以支持無限個 VLAN。
　　
　　·采用多種用于獲取和響應的技術包括 SPAN/RSPAN 和 VACL 獲取功能，以及屏蔽和 TCP 重置功能，從而讓用戶可以監控不同的網段和流量，同時讓產品可以采取及時的措施以消除威脅。
　　
　　·IDSM-2 入侵監控模塊在硬件設計上已經支持 IPS 技術模式，當 IPS 技術成熟后，可以通過簡單的軟件升級就可以實現從 IDS 到 IPS 的平滑過渡，保護投資。
　　
　　FWSM防火墻模塊和IDSM-2入侵監測模塊在CAT6K中的優勢
　　
　　·融合最前面兩種技術發展趨勢的優點，在單一設備中提供業界領先的安全保護
　　
　　·具有非常高的性價比，是單獨部署防火墻和IDS入侵監測投資的50%。
　　
　　·FWSM 和 IDSM 具有業界領先的性能，完全匹配 CAT6K 的高性能交換，提供完美的解決方案。
　　
　　·IDSM-2 和 FWSM 防火墻模塊之間可以非常輕易的實現互動，IDSM-2 在監測到網絡攻擊之后，可以直接控制 FWSM 防火墻模塊和 CAT6K 做出相應的安全防護動作，有效的防護網絡攻擊，解決了不同廠家之間 IDS 和防火墻之間無法互動的問題。
　　
　　·思科這種集成化網絡安全解決方案讓企業可以提高生產率，降低運營成本。

上一篇：用SATA與SAS磁盤建立RAID連接方案

下一篇：CTM高可用（HA）系統解決方案