2.2 防火墙服务模块的概述
Cisco防火墙
Cisco的防火墙服务模块(Firewall Service Module,FWSM)是为其Catalyst 6500系列交换机量身打造的防火墙解决方案,它可以提供Cisco ASA的状态化监控技术。FWSM与ASA防火墙系列有着共同的祖先,那就是PIX防火墙。自然而然,这三款产品(命令行界面中)的配置命令和配置思路都是非常接近的。
FWSM服务模块是专用于防火墙服务的模块。这款产品可以与Catalyst 6500系列的其他服务模块(如应用控制引擎,ACE)工作在一个机框中,为设备实现服务器负载均衡等功能。
FWSM模块与6500交换机是通过交换机背板进行通信的。因此,如果使用FWSM,那么交换机上的所有物理端口都可以直接使用防火墙策略,这不仅可以节省时间,也可以减少布线的工作量。此外,只有机框中那些明确划分给FWSM模块的VLAN才会使用FWSM提供的服务,其他VLAN流量可以一如既往地遵循交换机的转发规则,实现正常的高速转发。
FWSM服务模块特别适合在数据中心的内部网络中使用,控制服务器所在VLAN的访问流量。同时,它也非常适合在防火墙虚拟化部署中使用,例如通过此模块分割企业内部不同的职能部门,或者作为服务提供商,为客户提供(防火墙)服务的可选方案。FWSM可以同时使用透明模式和路由模式的两种虚拟防火墙,这也是FWSM的一大特色(虚拟化技术将在本书的第6章中进行详细的介绍)。
下面是FWSM服务模块的性能参数。
每秒10条连接(CPS)。
每秒300万个数据包(PPS)。
每个模块可以提供超过5Gbit/s的防火墙吞吐量。一个机框中最多可以安装4个模块,因此吞吐量只和最大可达20Gbit/s。
并发连接数为100万条。
图2-9所示为FWSM服务模块的硬件架构,其中NP是网络处理引擎(Network Processor)的缩写。
NP3通常称为会话管理器(Session Manager),负责处理的内容包括:建立连接请求的首个数据包;统计已建立的连接数与未完成的连接数;创建地址转换条目。它还负责处理TCP序列号随机生成(与TCP序列号随机生成有关的内容将在本书的第7章和第8章中进行讨论)、校验TCP和UDP的校验和。
NP1和NP2称为快速转发,这两个引擎主要负责维护连接表、对每个数据包所属的会话进行查看、执行地址转换(包括网络地址转换[NAT]和端口地址转换[PAT])并重组分片的数据帧。
控制中心(Control Point,CP)依托于核心CPU:负责处理去往FWSM或由FWSM发送的流量(这部分流量以管理层面的流量居多,如SNMP、SSH、Telnet、HTTPS等),并处理控制协议(如故障倒换、路由协议和TACACS+等)。CP也负责对各种应用协议进行监控,包括对应用层中嵌入的地址进行转换和过滤应用命令等。用来运行FWSM代码的处理器CP,也常常称为慢转发。
注释 FWSM服务模块可以应用在Cisco 7600系列路由器上,但为了方便起见,本书后续篇章中在介绍FWSM时只会提及6500系列交换机。
注释 ASA防火墙最开始泛指所有使用自适应安全算法(Adaptive Security Algorithm, ASA)的防火墙。随着PIX防火墙产品生命周期的终结,Cisco也不再开发后续的PIX系列产品,这类产品如今就只有FWSM和ASA两个系列。