天下网吧 >> 网吧方案 >> 网络方案 >> 正文

6503/6506/6509高端防火墙解决方案应用

品一起使用,将能够有效防止内部网络遭受非法设备和用户的侵害,使网络免受外部安全隐患的威胁。Cisco Catalyst 6500 系列交换机能够为企业园区网提供全面的安全解决方案
  
  503/6506/6509高端防火墙一体化安全保护
  
  思科的 Catalyst 6500 交换机通常作为网络的核心交换机,承载了绝大部分的网络流量,可谓是系统中的关键环节。在思科 Catalyst 6500 交换机中可以应用多种安全服务模块,譬如说防火墙模块、入侵检测模块、VPN 模块、SSL 加速模块、网络流量分析模块等等。这些模块的组合应用,可以有效地保证用户网络系统与流量的安全,并且此时我们无须分别管理不同设备,可以大大提高针对安全事件的响应能力,从而提高系统的可管理性和整个安全系统的性价比。同样,由于 Cisco 760 路由器与 Catalyst 6500 具有先天性的兼容性,所以在电信级别的应用中,也可以享受到这一系列服务模块带来的便利。
  
  在骨干网络中使用增值服务模块可以有效降低网络拓扑的复杂程度,提高网络的运行以及管理的效率。最重要的是通过此类模块的使用,使我们对网络的控制程度达到了一个新的境界。
  

 


  Cisco 的 6503/6506/6509 高端防火墙可以说是业界性能最高的防火墙产品,它的每一个模块的吞吐量可以达到 5GB。在一个机箱当中可以承载多达四个模块,总体的处理带宽最高可达 20GB。FWSM 防火墙模块的最大优势在于其接口完全基于 VLAN,这样就可以突破物理端口的限制,即使本机箱当中没有足够的物理端口,也可以利于 VLAN Trunk 方式将二级交换机纳入防护体系当中。例如图1中所示,在防火墙的接口设置中,我们具有相当大的灵活性。一旦用户的需求发生变化时,只需要更改交换机的内部VLAN设置即可,不需要进行物理接口的变动。
  

 


  6503/6506/6509 高端防火墙可以采用虚拟防火墙以及透明防火墙的技术,从而更加有效地支持用户的安全需求。利用虚拟防火墙的特性,将一个或者多个互联网的接入线路直接终结在 C6500 交换机上,利用一个或两个以上的虚拟防火墙分别完成线路接入、路由处理以及地址翻译等工作,姑且将这一类虚拟防火墙称为外部防火墙。在这些外部防火墙的设置中,我们通常采用两端口或三端口的方式,后者主要考虑到对外服务器群的DMZ区域连接的问题,如图2所示。
  

 


  同时我们将外部防火墙的内部端口分别与 C6500 的 MSFC 进行 L3 的连接,注意此处一定是分别连接,在路由处理方面可以采用静态路由的方式即可,这样比较简单有效。
  
  在处理好外部接入与防护问题之后,我们可以有选择性地保护一些内部资源,例如关键性服务器资源以及重要的用户群等。此时,我们可以利用虚拟防火墙去分别连接此类资源,不同的是这些内部防火墙是用外部接口与 MSFC 分别互连,这样它们所保护的对象就处于防火墙的内部网段了,如图3所示。
  
  C6500 作为网络的核心设备,MSFC 是一个中心的 L3 对象。以此为中心,对外可以通过外部防火墙进行外部的互连,此时整个网络均作为被保护对象处于外部防火墙的内部网段;同时,在面对内部需要保护的对象时,FWSM 防火墙模块可以通过 VLAN 的灵活划分,利用内部防火墙有选择性地加以保护,此时的保护连接可以是 L2,也可以是 L3 方式。比如说,普通的汇聚层交换机此时仍然可以通过 L3 的方式与 C6500 的 MSFC 进行连接,双方可以完成动态路由的交换,这样普通用户可以不受限制的接入,与传统网络设计没有什么区别。但是,如果我们认为某一台汇聚交换机所接入的用户安全等级比较高,此时就可以在 MSFC 与该汇聚交换机之间加入一个虚拟防火墙,只是此时防火墙的内部端口接的是汇聚交换机,外部端口接的是 MSFC 而矣。此时,该用户群就可以得到专门的防火墙保护了,任何针对该用户群的攻击都必须首先突破防火墙的防御,这样就可以有效提高内部的安全防护等级。当然,如果说保护的是一些关键性服务器等对象,也是可以采用内部防火墙的防护的,只是此时防火墙内部端口可以通过 VLAN 或 VLAN Trunk 方式连接,只要将服务器的网关设为防火墙内部端口的IP地址就可以了。
  

 


  当在电信 POP 点应用 6503/6506/6509 高端防火墙时,可以通过 FWSM 的 VFW 功能,提供针对每个用户的安全保护增值服务,例如图4所示,我们可以在PE-CE之间加入VFW的保护,具体的安全策略可以由各个用户自行制定,也可以由电信运营商代理。
  
  思科CAT6K集成安全系统
  
  防火墙技术的发展有两个主要趋势,一是将 IDS/IPS 集成到防火墙中,提供单一设备的网络防护整体

本文来源:天下网吧 作者:网吧方案

相关文章
没有相关文章
声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下