《Cisco安全防火墙服务模块（FWSM）解决方案》——第1部分简介

前言 Cisco安全防火墙服务模块(FWSM)解决方案 防火墙是一种用来保护网络基础设置的重要组件.要维护一个安全的网络,必须深入理解这些设备的运行机制. 本书从硬件和软件两个角度对防火墙服务模块(FWSM)的功能进行了讲解,同时附带有在不同部署场景中设计.实施.运行和管理FWSM的配置案例,因此本书是一本相当实用的FWSM设计指导. 本书的读者对象 本书主要针对那些设计.实施或维护FWSM(如安全/网络管理员)的人员而写.为了能从本书中获取最大收益,读者最好具有至少中级以上的网络和安全知识.

2.7 软件架构 Cisco安全防火墙服务模块(FWSM)解决方案 对于基于计算机的任何系统来说,另外一个组件就是软件.无论硬件多么复杂,如果没有安装操作系统,则它无异于一个发射器或纸镇1. 幸好FWSM拥有许多可以利用的特性和可以旋转的"傻瓜式旋钮".理解软件如何处理流量只是一个基础,在下一节,你还需要花费大量的时间,以求对软件特性有一个非常详细的了解. 首先要对输入的数据包进行分段检查,如果有必要,将对数据包进行重组,然后再发送到"管理/路由"决策进程.该进程用

2.2 安装 Cisco安全防火墙服务模块(FWSM)解决方案 在开始安装FWSM之前,不仅要准备Philips螺丝刀和防静电腕带,如果决定把FWSM安装在生产设备上,还需要有一份安装方案.这需要考虑FWSM所需的额外电源.它可以安置在哪个插槽.FWSM的配置是否会引起网络中断等. 由于FWSM没有外接线,因此可以考虑把它放在具有许多物理连接的模块之间,以便为布线提供额外的空间.如果你计划使用冗余的supervisor,那么就要尽可能地避免FWSM占用冗余superviser的插槽. 警告: 只

2.5 FWSM与其他安全设备的对比 Cisco安全防火墙服务模块(FWSM)解决方案 在选择合适的设备来提供防火墙功能时,应该考虑几个因素.这些因素包括需要支持的应用与安全策略.设备性能.未来的特性需求.产品的寿命.价格.重用.设备的熟悉度.运营整合.培训等.至于其他方面的技术因素,就需要你自己做出选择! FWSM.Internet操作系统防火墙(IOS FW).PIX和ASA设备在支持状态化应用和协议检测.NAT和PAT.路由.内容过滤.用户认证和授权方面都提供了相似的功能.FWSM不支持管

第1章防火墙类型 Cisco安全防火墙服务模块(FWSM)解决方案 从定义上来看,防火墙是一台通过控制流量,以在网络内部或网络之间执行安全策略的单一设备. 防火墙服务模块(Firewall Services Module,FWSM)就是一种可以执行这些安全策略的强力设备.开发FWSM的主要用途是,将其作为模块或者刀片用在Catalyst 6500系列机箱或7600系列路由器机箱内.FWSM与机箱的"紧密"集成提供了增强的灵活性,尤其是在网络虚拟化和难以置信的吞吐量(该吞吐量不但在如今会

1.1 理解包过滤防火墙 Cisco安全防火墙服务模块(FWSM)解决方案 1.1.1 优势 包过滤防火墙的主要优势是,它几乎可以位于网络中的任何设备上.路由器.交换机.无线接入点,虚拟专网(VPN)集中器等设备都可以具有包过滤防火墙的功能. 无论是家用路由器还是大型服务提供商使用的路由器,天生就具有使用ACL来控制数据包流动的功能. 交换机可以使用路由式访问控制列表(RACL).端口访问控制列表(PACL)和VLAN访问控制列表(VACL)来过滤数据包.其中,RACL提供了在路由式(第3层)接

1.3 理解逆向代理防火墙 Cisco安全防火墙服务模块(FWSM)解决方案 逆向代理防火墙的功能与代理防火墙相同,所不同的是逆向代理防火墙用来保护服务器而不是客户端.连接到Web服务器的客户端可能会不知不觉地将请求发送到代理服务器上,然后由代理服务器作为客户端的代理来处理该请求.代理服务器还能够采用负载均衡的方式把请求发往多台服务器,以分担工作量. 1.3.1 优势 为了发挥其效用,逆向代理必须理解应用程序的运行机制.例如,假定你的Web应用程序需要输入邮件地址,尤其是地区编码时,则应用防火墙

1.5 IP地址重用 Cisco安全防火墙服务模块(FWSM)解决方案 所有防火墙都有一个共同的特性,那就是网络地址转换(NAT)和端口地址转换(PAT).NAT隐藏了内部使用的IP地址规划,而PAT功能有助于将公共IP地址空间的使用降至最低. 图1-5所示为如何使用防火墙来提供NAT和/或PAT功能. 1.5.1 NAT NAT能够改变源和/或目的IP地址,通常在内部使用私有地址空间时会用到NAT.NAT在内部IP地址和外部IP地址之间建立一一对应关系. 在图1-6中,两个客户端位于防火墙的内

1.6 总结 Cisco安全防火墙服务模块(FWSM)解决方案 包过滤防火墙.应用防火墙和包检测防火墙这3中基本类型的防火墙都是用来控制流量的.本章讲解了这3种防火墙的通用功能.个别厂商可能会提供额外的特性,其具体信息请参阅相关的文档. 那么,FWSM是哪一类型的防火墙呢?FWSM是包检测防火墙,但是带有很多额外的功能特色,后续章节将对其进行讲解.