品一起使用，将能够有效防止内部网络遭受非法设备和用户的侵害，使网络免受外部安全隐患的威胁。Cisco Catalyst 6500 系列交换机能够为企业园区网提供全面的安全解决方案。
　　
　　503/6506/6509高端防火墙一体化安全保护
　　
　　思科的 Catalyst 6500 交换机通常作为网络的核心交换机，承载了绝大部分的网络流量，可谓是系统中的关键环节。在思科 Catalyst 6500 交换机中可以应用多种安全服务模块，譬如说防火墙模块、入侵检测模块、VPN 模块、SSL 加速模块、网络流量分析模块等等。这些模块的组合应用，可以有效地保证用户网络系统与流量的安全，并且此时我们无须分别管理不同设备，可以大大提高针对安全事件的响应能力，从而提高系统的可管理性和整个安全系统的性价比。同样，由于 Cisco 760 路由器与 Catalyst 6500 具有先天性的兼容性，所以在电信级别的应用中，也可以享受到这一系列服务模块带来的便利。
　　
　　在骨干网络中使用增值服务模块可以有效降低网络拓扑的复杂程度，提高网络的运行以及管理的效率。最重要的是通过此类模块的使用，使我们对网络的控制程度达到了一个新的境界。
　　

　

　　Cisco 的 6503/6506/6509 高端防火墙可以说是业界性能最高的防火墙产品，它的每一个模块的吞吐量可以达到 5GB。在一个机箱当中可以承载多达四个模块，总体的处理带宽最高可达 20GB。FWSM 防火墙模块的最大优势在于其接口完全基于 VLAN，这样就可以突破物理端口的限制，即使本机箱当中没有足够的物理端口，也可以利于 VLAN Trunk 方式将二级交换机纳入防护体系当中。例如图1中所示，在防火墙的接口设置中，我们具有相当大的灵活性。一旦用户的需求发生变化时，只需要更改交换机的内部VLAN设置即可，不需要进行物理接口的变动。
　　

　

　　6503/6506/6509 高端防火墙可以采用虚拟防火墙以及透明防火墙的技术，从而更加有效地支持用户的安全需求。利用虚拟防火墙的特性，将一个或者多个互联网的接入线路直接终结在 C6500 交换机上，利用一个或两个以上的虚拟防火墙分别完成线路接入、路由处理以及地址翻译等工作，姑且将这一类虚拟防火墙称为外部防火墙。在这些外部防火墙的设置中，我们通常采用两端口或三端口的方式，后者主要考虑到对外服务器群的DMZ区域连接的问题，如图2所示。
　　

　

　　同时我们将外部防火墙的内部端口分别与 C6500 的 MSFC 进行 L3 的连接，注意此处一定是分别连接，在路由处理方面可以采用静态路由的方式即可，这样比较简单有效。
　　
　　在处理好外部接入与防护问题之后，我们可以有选择性地保护一些内部资源，例如关键性服务器资源以及重要的用户群等。此时，我们可以利用虚拟防火墙去分别连接此类资源，不同的是这些内部防火墙是用外部接口与 MSFC 分别互连，这样它们所保护的对象就处于防火墙的内部网段了，如图3所示。
　　
　　C6500 作为网络的核心设备，MSFC 是一个中心的 L3 对象。以此为中心，对外可以通过外部防火墙进行外部的互连，此时整个网络均作为被保护对象处于外部防火墙的内部网段；同时，在面对内部需要保护的对象时，FWSM 防火墙模块可以通过 VLAN 的灵活划分，利用内部防火墙有选择性地加以保护，此时的保护连接可以是 L2，也可以是 L3 方式。比如说，普通的汇聚层交换机此时仍然可以通过 L3 的方式与 C6500 的 MSFC 进行连接，双方可以完成动态路由的交换，这样普通用户可以不受限制的接入，与传统网络设计没有什么区别。但是，如果我们认为某一台汇聚交换机所接入的用户安全等级比较高，此时就可以在 MSFC 与该汇聚交换机之间加入一个虚拟防火墙，只是此时防火墙的内部端口接的是汇聚交换机，外部端口接的是 MSFC 而矣。此时，该用户群就可以得到专门的防火墙保护了，任何针对该用户群的攻击都必须首先突破防火墙的防御，这样就可以有效提高内部的安全防护等级。当然，如果说保护的是一些关键性服务器等对象，也是可以采用内部防火墙的防护的，只是此时防火墙内部端口可以通过 VLAN 或 VLAN Trunk 方式连接，只要将服务器的网关设为防火墙内部端口的IP地址就可以了。
　　

　

　　当在电信 POP 点应用 6503/6506/6509 高端防火墙时，可以通过 FWSM 的 VFW 功能，提供针对每个用户的安全保护增值服务，例如图4所示，我们可以在PE-CE之间加入VFW的保护，具体的安全策略可以由各个用户自行制定，也可以由电信运营商代理。
　　
　　思科CAT6K集成安全系统
　　
　　防火墙技术的发展有两个主要趋势，一是将 IDS/IPS 集成到防火墙中，提供单一设备的网络防护整体