《Cisco安全防火墙服务模块(FWSM)解决方案》——2.7 软件架构

2.7 软件架构

Cisco安全防火墙服务模块(FWSM)解决方案
对于基于计算机的任何系统来说,另外一个组件就是软件。无论硬件多么复杂,如果没有安装操作系统,则它无异于一个发射器或纸镇1。

幸好FWSM拥有许多可以利用的特性和可以旋转的“傻瓜式旋钮”。理解软件如何处理流量只是一个基础,在下一节,你还需要花费大量的时间,以求对软件特性有一个非常详细的了解。

首先要对输入的数据包进行分段检查,如果有必要,将对数据包进行重组,然后再发送到“管理/路由”决策进程。该进程用来确定数据包是路由信息还是用于管理目的的数据包(比如Telnet、SSH或HTTPS)。如果数据包匹配该评判标准,将通过接口ACL,然后发送到会话管理进程并进行处理。

如果匹配评判标准,则第三方决策进程(TCP/UDP/ICMP)会把非TCP/UDP/ICMP数据包从那些需要进行目的网络地址转换(DNAT)、RPF校验和地址池分配的数据包中分离出去。为了验证数据包,还会对其执行ACL检查。

如果数据包是现有会话的一部分,那就会直接送至NAT进程并发送出去;否则,将执行ACL检查。如果有必要,数据包还会被发送到协议检测进程。协议检测进程(之前被称为“修正”协议)会对需要特别关注的数据包进行检测和修改,如下所示。

计算机电话集成快速缓冲区编码(CTIQBE):CTIQBE是Cisco私有的VoIP协议,用于电话应用编程接口(TAPI)和Java电话应用编程接口(JTAPI),以与呼叫管理器通信。
域名系统(DNS):DNS用于把主机名或域名转换成IP地址。
文件传输协议(FTP):FTP是一种用于在计算机之间交换文件的通信协议。
通用分组无线业务(GPRS)隧道协议(GTP):用于在节点之间传送信令与用户流量。 -H.323:H.323是国际电信联盟(ITU)推荐的用于多媒体通信的方法。
超文本传输协议(HTTP):HTTP是用于信息传输的协议。 - Internet控制消息协议(ICMP):ICMP用于交换控制、错误和信息消息。
Internet定位服务(ILS):ILS用于支持Microsoft的NetMeeting客户端。
媒体网关控制协议(MGCP):MGCP用于VoIP应用程序中的信令与控制。
网络基本输入/输出系统(NetBIOS):NetBIOS是计算机用来在相同的二层网络中进行通信的一种机制。 - 点对点隧道协议(PPTP):PPTP是一种跨越IP网络,对点对点(PPP)会话进行扩展的隧道协议。
远程Shell(RSH):RSH是用于远程执行命令的UNIX命令。 - 实时流传输协议(RTSP):**RTSP用于控制实时流量的数据交付。
会话初始化协议(SIP):SIP是一种用于多媒体会话的信令协议。
内部(Skinny)呼叫控制协议(SCCP):SCCP是一种用于VoIP应用程序通信的Cicso专有协议。
简单邮件传输协议(SMTP)/扩展简单邮件传输协议(ESMTP):这两个协议用于发送和接收E-mail消息。 - 简单网络管理协议(SNMP):SNMP是一种用于管理和监控网络设备的协议。
结构化查询语言SQL*Net/Net8:在客户端/服务器应用程序中用来进行数据库访问。
Sun远程过程调用(SunRPC):SunRPC是一种允许过程在另外一台计算机上运行的功能;它由Sun Microsystems公司开发。 - 简单文件传输协议(TFTP):TFTP是一种传输信息的机制。 - X显示管理器控制协议(XDMCP):XDMCP用于X终端与运行UNIX的工作站之间的通信。
这些应用要么已经在数据包的数据部分嵌入了IP地址、开放了辅助信道,要么需要对数据包的数据部分进行额外的检测。除非防火墙识别这些“特殊的应用程序”,否则这些应用程序可能无法正常工作,甚至防火墙会允许会这些应用程序的非必要访问。

从数据包的流动过程中可以看到,ACL不会检查属于已有会话的数据包,从实施的角度来看,这意味着如果允许流量从在接口之间传输,则它在刚开始时被ACL检查,但是返回流量(已经是已有会话的一部分)将不会再被检查。当允许访问服务或应用程序时,要记住这一点。

可以把这些服务部署在一个专用接口上,并创建一个无需在高级别接口上创建任何ACL,就能够允许流量从低级别接口(与安全等级相关,具体内容请见第4章)去往高级别端口(与安全等级相关,服务就是部署在高级别端口)的静态条目。由于会话已经建立,因此流量会正常返回。需要注意的是,没有配置ACL的高级别接口上不允许发起流量。该功能将人为配置错误的影响降至最低,并且不允许有权访问设备的人出于非法目的建立出站连接,从而增强了设备的安全性。

图2-3所示为决策进程的概述,用来帮助独立理解流量的传输。

当流量从高级别接口向下低级别接口传输时,仍然需要ACL。关键点是流量要首先匹配现有会话。

理解了流量的传输过程、在传输中历经哪些组件,以及以哪种顺序穿过FWSM后,你在FWSM设计、实施与排错方面也将会取得长足进步。

时间: 2024-08-01 11:16:36

《Cisco安全防火墙服务模块(FWSM)解决方案》——2.7 软件架构的相关文章

《Cisco安全防火墙服务模块(FWSM)解决方案》——导读

前言 Cisco安全防火墙服务模块(FWSM)解决方案 防火墙是一种用来保护网络基础设置的重要组件.要维护一个安全的网络,必须深入理解这些设备的运行机制. 本书从硬件和软件两个角度对防火墙服务模块(FWSM)的功能进行了讲解,同时附带有在不同部署场景中设计.实施.运行和管理FWSM的配置案例,因此本书是一本相当实用的FWSM设计指导. 本书的读者对象 本书主要针对那些设计.实施或维护FWSM(如安全/网络管理员)的人员而写.为了能从本书中获取最大收益,读者最好具有至少中级以上的网络和安全知识.

《Cisco安全防火墙服务模块(FWSM)解决方案》——2.2 安装

2.2 安装 Cisco安全防火墙服务模块(FWSM)解决方案 在开始安装FWSM之前,不仅要准备Philips螺丝刀和防静电腕带,如果决定把FWSM安装在生产设备上,还需要有一份安装方案.这需要考虑FWSM所需的额外电源.它可以安置在哪个插槽.FWSM的配置是否会引起网络中断等. 由于FWSM没有外接线,因此可以考虑把它放在具有许多物理连接的模块之间,以便为布线提供额外的空间.如果你计划使用冗余的supervisor,那么就要尽可能地避免FWSM占用冗余superviser的插槽. 警告: 只

《Cisco安全防火墙服务模块(FWSM)解决方案》——2.5 FWSM与其他安全设备的对比

2.5 FWSM与其他安全设备的对比 Cisco安全防火墙服务模块(FWSM)解决方案 在选择合适的设备来提供防火墙功能时,应该考虑几个因素.这些因素包括需要支持的应用与安全策略.设备性能.未来的特性需求.产品的寿命.价格.重用.设备的熟悉度.运营整合.培训等.至于其他方面的技术因素,就需要你自己做出选择! FWSM.Internet操作系统防火墙(IOS FW).PIX和ASA设备在支持状态化应用和协议检测.NAT和PAT.路由.内容过滤.用户认证和授权方面都提供了相似的功能.FWSM不支持管

《Cisco安全防火墙服务模块(FWSM)解决方案》——第1部分简介

第1部分简介 Cisco安全防火墙服务模块(FWSM)解决方案 第1章 防火墙类型 第2章 防火墙服务模块概述 第3章 运行模式的分析 第4章 理解安全级别 第5章 理解context

《Cisco安全防火墙服务模块(FWSM)解决方案》——第1章防火墙类型

第1章防火墙类型 Cisco安全防火墙服务模块(FWSM)解决方案 从定义上来看,防火墙是一台通过控制流量,以在网络内部或网络之间执行安全策略的单一设备. 防火墙服务模块(Firewall Services Module,FWSM)就是一种可以执行这些安全策略的强力设备.开发FWSM的主要用途是,将其作为模块或者刀片用在Catalyst 6500系列机箱或7600系列路由器机箱内.FWSM与机箱的"紧密"集成提供了增强的灵活性,尤其是在网络虚拟化和难以置信的吞吐量(该吞吐量不但在如今会

《Cisco安全防火墙服务模块(FWSM)解决方案》——1.1 理解包过滤防火墙

1.1 理解包过滤防火墙 Cisco安全防火墙服务模块(FWSM)解决方案 1.1.1 优势 包过滤防火墙的主要优势是,它几乎可以位于网络中的任何设备上.路由器.交换机.无线接入点,虚拟专网(VPN)集中器等设备都可以具有包过滤防火墙的功能. 无论是家用路由器还是大型服务提供商使用的路由器,天生就具有使用ACL来控制数据包流动的功能. 交换机可以使用路由式访问控制列表(RACL).端口访问控制列表(PACL)和VLAN访问控制列表(VACL)来过滤数据包.其中,RACL提供了在路由式(第3层)接

《Cisco安全防火墙服务模块(FWSM)解决方案》——1.3 理解逆向代理防火墙

1.3 理解逆向代理防火墙 Cisco安全防火墙服务模块(FWSM)解决方案 逆向代理防火墙的功能与代理防火墙相同,所不同的是逆向代理防火墙用来保护服务器而不是客户端.连接到Web服务器的客户端可能会不知不觉地将请求发送到代理服务器上,然后由代理服务器作为客户端的代理来处理该请求.代理服务器还能够采用负载均衡的方式把请求发往多台服务器,以分担工作量. 1.3.1 优势 为了发挥其效用,逆向代理必须理解应用程序的运行机制.例如,假定你的Web应用程序需要输入邮件地址,尤其是地区编码时,则应用防火墙

《Cisco安全防火墙服务模块(FWSM)解决方案》——1.5 IP地址重用

1.5 IP地址重用 Cisco安全防火墙服务模块(FWSM)解决方案 所有防火墙都有一个共同的特性,那就是网络地址转换(NAT)和端口地址转换(PAT).NAT隐藏了内部使用的IP地址规划,而PAT功能有助于将公共IP地址空间的使用降至最低. 图1-5所示为如何使用防火墙来提供NAT和/或PAT功能. 1.5.1 NAT NAT能够改变源和/或目的IP地址,通常在内部使用私有地址空间时会用到NAT.NAT在内部IP地址和外部IP地址之间建立一一对应关系. 在图1-6中,两个客户端位于防火墙的内

《Cisco安全防火墙服务模块(FWSM)解决方案》——1.6 总结

1.6 总结 Cisco安全防火墙服务模块(FWSM)解决方案 包过滤防火墙.应用防火墙和包检测防火墙这3中基本类型的防火墙都是用来控制流量的.本章讲解了这3种防火墙的通用功能.个别厂商可能会提供额外的特性,其具体信息请参阅相关的文档. 那么,FWSM是哪一类型的防火墙呢?FWSM是包检测防火墙,但是带有很多额外的功能特色,后续章节将对其进行讲解.