点击下载
Cisco
Catalyst® 6500交换机和Cisco 7600系列路由器的防火墙服务模块(FWSM)是一种高速的、集成化的服务模块,可以提供业界最快的防火墙数据传输速率:5Gb的吞吐量,100000CPS,以及一百万个并发连接。在一个设备中最多可以安装四个FWSM,因而每个设备最高可以提供20Gb的吞吐量。作为世界领先的Cisco
PIX防火墙系列的一部分,FWSM可以为大型企业和服务供给商提供无以伦比的安全性、可靠性和性能。
FWSM采用了Cisco
PIX技术,并且运行Cisco PIX操作系统(OS)--一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用ASA,FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。
FWSM的主要优点
防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护企业网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。FBI的统计数据显示,70%的安全问题都来自于企业内部。在FBI开展的调查中,五分之一的受访者表示,在过去12个月中,有入侵者闯入或者试图闯入他们的企业网络。大部分专家都认为,大多数网络入侵活动都没有被检测出来。
集成模块
FWSM安装在Cisco
Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部,让这些设备的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。Cisco
Catalyst 6500 真正成为了那些需要各种智能化服务(例如防火墙接入、入侵检测、虚拟专用网(VPN))和多层LAN、WAN和MAN交换功能的客户的首选ip服务交换机。
适应未来需要
FWSM可以支持5Gb的吞吐量,因而可以提供无以伦比的性能,让用户无须对系统进行彻底的升级,就可以满足未来的要求。在Catalyst
6500中最多可以添加三个FWSM,以满足用户不断发展的需求。
可靠性
FWSM建立在Cisco
PIX技术的基础之上,并使用了同一个经过时间检验的Cisco PIX操作系统--一个安全的、实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组,从而可以在同一个平台上提供性能和安全的独特组合。
低廉的整体运营成本
FWSM可以提供所有防火墙中最佳的性能价格比。Cisco
Catalyst机型的SmartNet® 合同中包含了维护成本。由于FWSM是基于Cisco PIX防火墙的,所以培训和治理成本都很低,而且由于它是集成在设备内部的,所以大大减少了需要治理的设备的数量。
易用性
Cisco PIX
设备治理器的直观的图形化用户界面(GUI)可以用于治理和配置FWSM。在配置和监控方面,FWSM可以获得思科治理框架和Cisco AVVID(集成化语音、视频和数据体系结构)合作伙伴的支持。
FWSM 特性
FWSM 特性
主要特性
优点
性能
5 Gbps
一百万个并发连接
每秒建立和断开超过10万个连接
多种接口
最多可以支持100个防火墙VLAN--任何Cisco Catalyst 4000 VLAN都可以充当防火墙VLAN
支持802.1q 和ISL 协议
切入型代理
对每个VLAN实施安全策略
主要特性
优点
配置支持
控制台到命令行界面(CLI)
Telnet 到Cisco PIX防火墙的内部接口
基于IPSec的Telnet到Cisco PIX防火墙的外部接口
SSH到 CLI
SSL 到 Cisco PIX 设备治理器
AAA
支持
通过TACACS+和RADIUS支持,集成常见的身份认证、授权和记帐服务
NAT/PAT
支持
提供动态/静态的网络地址解析(NAT)和端口地址解析(PAT)
Cisco
PIX 设备治理器(PDM)
简便、直观、基于Web的GUI可以支持远程防火墙治理
多种基于实时数据和历史数据的报告可以提供使用趋势、基本性能和安全事件等信息
安全网络治理
安全的、采用三重数据加密标准
(3DES)加密的网络治理接入
访问控制列表
最多支持128000条访问控制列表
URL
过滤
在服务器中设定策略,并利用Websense软件检查输出的URL请求
命令授权
对所有CLI设置优先级,创建与这些优先级对应的用户账号或者登录环境。
对象群组
能够组合网络对象(例如主机)和服务(例如FTP和http)
防范
DoS
DNS 保护
Flood Defender
Flood Guard
TCP 阻截
单播反向路径发送
FragGuard和虚拟重组
路由
静态路由 动态;例如路由信息协议(RIP)和开放最短路径优先(OSPF)
高可用性
状态故障恢复--设备内部和设备之间
日志
全面的系统日志、FTP、URL和ACL日志
其他协议
H.323 V2
基于IP的NetBios
RAS 第二版本
RTSP
SIP
XDMCP
SKINny
FWSM 部署
FWSM可以部署在企业园区的数据中心的网络拓扑中。
今天的企业不仅仅需要周边安全,还需要连接业务伙伴和提供园区安全区域,为企业中的各个部门提供安全服务。FWSM可以通过让用户和治理员以不同的策略在企业中设立安全域,提供一种灵活、经济、基于性能的解决方案。图2显示了一个利用状态过滤来建立不同的、基于VLAN的安全域的园区部署。
园区部署
利用FWSM,用户可以为不同的VLAN制定相应的策略。
数据中心也需要用状态防火墙安全解决方案来保护数据,并以尽可能低的成本提供千兆位的性能。
电子商务数据中心部署
FWSM可以通过在防火墙中提供最佳的性能价格比,最大限度地提高资本投资效率,让客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。
订购信息
订购信息
产品编号
说明
WS-SVC-FWM-1-K9
用于Cisco
Catalyst 6500的防火墙服务模块
WS-SVC-FWM-1-K9=
用于Cisco
Catalyst 6500的防火墙服务模块(备件)
SC-SVC-FWM-1.1-K9
用于Catalyst
6500的防火墙模块软件
SC-SVC-FWM-1.1-K9=
用于Catalyst
6500的防火墙模块软件(备件)
使用许可
FWSM不需要任何使用许可。
系统要求
Supervisor 2/多层交换功能卡2 (MSFC2)
内置Cisco IOS® 软件,版本在12.1(13)E以上
综合CatOS 最低软件版本7.5(1)
在Cisco Catalyst 6500系列交换机或者Cisco 7600系列互联网路由器中占有一个插槽
在同一个设备中最多安装四个防火墙模块
政策法规
安全
UL 1950
CSA C22.2 No. 950-95
EN60950
EN60825-1
TS001
CE Marking
IEC 60950
AS/NZS3260
EMI
FCC Part 15 Class A
ICES-003 Class A
VCCI Class B
EN55022 Class B
CISPR22 Class B
CE Marking
AS/NZS3548 Class B
NEBS
SR-3580
- NEBS: 标准等级 (符合第三级)
GR-63-CORE
- NEBS: 物理保护
GR-1089-CORE
- NEBS: EMC 和安全
ETSI
ETS-300386-2
交换设备
电信
ITU-T G.610
ITU-T G.703
ITU-T G.707
ITU-T G.783
Sections 9-10
ITU-T G.784
ITU-T G.803
ITU-T G.813
ITU-T G.825
ITU-T G.826
ITU-T G.841
ITU-T G.957
Table 3
ITU-T G.958
ITU-T I.361
ITU-T I.363
ITU I.432
ITU-T Q.2110
ITU-T Q.2130
ITU-T Q.2140
ITU-T Q.2931
ITU-T O.151
ITU-T O.171
ETSI ETS
300 417-1-1
TAS SC
BISDN (1998)
ACA TS 026 (1997)
BABT /TC/139 (Draft 1e)
发布于: Wed Oct 16 13:28:52 PDT 2002
所有内容都归© 1992--2002 思科系统公司版权所有。
重要声明和保密声明。