Cisco Catalyst 6500系列交換機和Cisco 7600系列互聯網路由器的防火墻服務模塊

2019-11-05 00:42:05

字體：大中小

來源：轉載

供稿：網友

0-1000-ds-final.pdf">

點擊下載

Q. 什么是防火墻服務模塊？

A. 防火墻服務模塊（FWSM）是一個Catalyst 6500系列多千兆位防火墻模塊。FWSM是一種支持交換矩陣的模塊，可以與總線和交換矩陣進行交互。FWSM可以在Cisco Catalyst 6500系列交換機和Cisco 7600系列互聯網路由器中提供狀態防火墻功能。

Q. FWSM主要具有哪些特性？

A. FWSM的主要特性包括：
· 高性能，OC-48 或者 5 Gbps 吞吐量，全雙工防火墻功能
· 具有整個PIX 6.0軟件功能集和PIX 6.2的下列特性：
o 命令授權
o 對象組合
o ILS/NetMeeting修正
o URL過濾改進
· 3M pps 吞吐量
· 支持100個VLAN
· 一百萬個并發連接
· LAN故障恢復：主從備份模式，設備內部/設備之間
· 利用OSPF/Rip進行動態路由
· 每個機箱支持多個模塊

Q. 防火墻服務模塊（FWSM）和Cisco PIX防火墻之間有何不同？

A. FWSM是Cisco Catalyst 6500系列交換機和Cisco 7600系列互聯網路由器的一種集成模塊--與獨立的Cisco PIX防火墻不同。
FWSM建立在Cisco PIX技術的基礎之上。

Q. FWSM運行的是什么操作系統？

A. FWSM和Cisco PIX防火墻運行的操作系統都是實時操作系統Finesse。Finesse是一種真正的微核系統，能夠提供可重復使用的軟件、便于移植的源代碼，并可以提高產品質量，減少測試次數，縮短產品上市時間，提高投資回報。

Q. FWSM用什么機制檢測流量？

A. FWSM使用與Cisco PIX防火墻相同的檢測算法：自適應安全算法（ASA）。ASA是一種狀態檢測引擎，可以檢測流量的完整性。ASA可以使用源和目的地的地址和端口、TCP序列號，以及其他TCP標志，散列IP報頭信息。散列的作用相當于指紋，即創建一個獨特的代碼，表明建立輸入或者輸出連接的客戶端的身份。

如需查看更多的ASA文檔，請接入：
http://www.cisco.com/univercd/cc/td/doc/PRodUCt/iaabu/pix/pix_60/config/intro.htm

Q. Cisco PIX防火墻和PWSM的特性有何區別？

A. FWSM支持Cisco PIX防火墻6.0版本的所有功能和6.2版本的某些功能。下表列出了它們的主要區別。如需查看這些區別的具體說明，請參閱"Cisco PIX 與防火墻模塊的區別"文檔。[提供該文檔的URL][應當鏈接到防火墻網頁]

特性FSM Cisco PIX 性能5 Gb1.7 GbVLAN標簽有無路由動態靜態故障恢復使用許可不需要需要VPN 功能無有IDS 簽名無有最大接口數10010輸入控制列表（ACL）支持1280002M

Q. FWSM的性能如何？

A. 總性能約為5Gbps。FWSM可以每秒支持一百萬個并發連接，并且每秒可以建立超過10萬個連接。

Q. 裝有FWSM的Catalyst 6500主要部署在什么地方？

A. 裝有FWSM的Cisco Catalyst 6500 系列可以提供目前性能最高的防火墻功能--它能夠讓企業將多種要害任務型防火墻功能整合到一個設備之中，從而減少分散的防火墻的個數，簡化對多個防火墻的治理。FWSM主要部署在企業園區的邊緣和分布點。

Q. FWSM所能支持的最低的軟件版本是多少？

A. 最低的IOS軟件版本是12.1(13)E，而綜合CatOS的最低版本是7.5(1)。

Q. FWSM支持交換矩陣嗎？

A. 是的，FWSM支持交換矩陣。它具有一條與總線的連接和一條與交換矩陣的連接。

Q. FWSM是否利用熱備份路由協議（HSRP）實現冗余？

A. 不是。主FWSM和冗余FWSM都使用與Cisco PIX防火墻相同的協議交換邏輯更新和狀態信息。

Q. 怎樣將流量發送給FWSM？該模塊是否具有外部端口？

A. FWSM上沒有外部端口。系統會給FWSM分配一些傳輸流量的VLAN，這些VLAN上的流量將獲得防火墻的保護。

Q. FWSM是否支持冗余？

A. FCS可以提供狀態防火墻故障恢復。FWSM采用了獨特的設計，可以結合PIX狀態故障恢復功能。FWSM模塊可以安裝在同一個或者另外一個Catalyst 6500系列交換機中。

Q. FWSM是否支持路由協議？

A. 是的，它支持開放最短路徑優先（OSPF）和路由信息協議（RIP）。

Q. 在訂購FWSM時，我應當使用什么產品編號？

A. FWSM的產品編號為：

產品編號說明WS-SVC-FWM-1-K9用于Cisco Catalyst 6500的防火墻服務模塊WS-SVC-FWM-1-K9=用于Cisco Catalyst 6500的防火墻服務模塊（備件）SC-SVC-FWM-1.1-K9用于Catalyst 6500的防火墻模塊軟件SC-SVC-FWM-1.1-K9=用于Catalyst 6500的防火墻模塊軟件（備件）

Q. FWSM是否具有使用許可選項？

A. 沒有，該模塊沒有任何受限的和不受限的使用許可選項。

Q. FWSM使用的是什么三重數據加密標準（3DES）軟件？

A. FWSM上的加密功能只能用于網絡治理。您不能用該模塊上的3DES軟件進行遠程接入或者站點間隧道端接。

Q. 模塊軟件是否內置3DES軟件，我是否需要單獨訂購該軟件？

A. 3DES 與軟件鏡像捆綁提供。您不需要單獨訂購該軟件。

Q. 機載閃存和DRAM內存有多大，我能否升級DRAM？

A. FWSM的閃存為128MB，DRAM內存為1GB。內存無法現場升級。

Q. FWSM獲得了什么認證？

A. 我們將在2002日歷年度的第四季度之前獲得ICSA認證。

Q. 我是否可以在FWSM上連接遠程虛擬專用網（VPN）用戶？

A. 不行，FWSM不能提供VPN功能。

Q. 我是否可以在同一個機箱中安裝多個模塊？

A. 可以，每個機箱最多可以安裝四個模塊。

Q. FWSM是否支持組播功能？

A. 最初的版本不能支持組播功能，但是組播支持將在未來的版本中提供。

Q. 我是否可以在同一個設備中安裝和運行FWSM和IPSec VPN加速模塊？

A. 不能。最初版本的IOS鏡像不能互相兼容，因而不能將這兩個模塊安裝在同一個設備中。

Q. FWSM是否支持IDSM入侵檢測模塊？

A. 防火墻服務模塊和IDS模塊可以共存于同一個設備中。由于IDS模塊是一個從設備，所以獲得防火墻保護的VLAN也可以拓展到IDS模塊，進行入侵檢測。

Q. FWSM是否可以提供拒絕服務/DDoS檢測和治理功能？

A. 可以。FWSM可以根據協議或者地址設置閥值、日志和配置。

Q. FWSM可以發現哪些拒絕服務攻擊？

A. 它可以發現下列攻擊：
o ICMP Flood
o UDP Flood
o Ping of Death
o IP Spoofing
o IP源路由選項

Q. FWSM是否支持IP源路由過濾功能？

A. IP源路由過濾功能由IOS提供。

Q. FWSM是否可以支持URL/HTTP過濾?

A. 是的，需要通過像Websense這樣的Web過濾工具。

Q. FWSM缺省的安全設置是什么？

A. FWSM會拒絕所有方向上的所有分組，包括來自于治理接口的探測流量。

Q. FWSM是否可以提供高可用性的主/主備份支持？

A. FWSM 目前可以提供主/從備份支持。主/主備份支持目前正在研究之中。

Q. FWSM的主/從冗余功能是否可以提供無縫的故障恢復？

A. 可以。

Q. FWSM是否支持流量整型？

A. FWSM可以通過Catalyst 6500線卡支持流量整型，這種線卡可以為FWSM提供VLAN接口。

Q. FWSM是否支持QoS機制和速率限制？

A. 可以，它支持Catalyst 6500的所有QoS功能。

Q. FWSMD是否支持安全的帶外治理？

A. 可以，通過治理VLAN上的IPSec。

Q. FWSM是否支持Traceroute和ping?

A. 假如獲得明確許可就可以支持。缺省狀態下不支持。

Q. 應當用什么應用配置FWSM和監控系統日志流量？

A. 在最初的版本中，用戶可以通過CLI 和Cisco PIX設備治理器（PDM）治理FWSM。PDM可以通過基于向導的菜單幫助用戶進行防火墻配置。