lesson2 防火墙服务模块概述

防火墙服务模块概述Cisco防火墙模块是一个单独防火墙模块，可以插在CISCO6500系列交换机和CISCO7600系列的路由器上，提供状态防火墙功能。FWSM是一种支持交换矩阵的模块，能和总线或交换矩阵进行交互。Cisco防火墙模块业界唯一集成板卡式防火墙!Cisco防火墙模块CiscoCatalyst®6500交换机和Cisco7600系列路由器的防火墙服务模块（FWSM）是一种高速的、集成化的服务模块，可以提供业界最快的防火墙数据传输速率Cisco防火墙模块作为世界领先的CiscoPIX防火墙系列的一部分，FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。FWSM采用了CiscoPIX技术，并且运行CiscoPIX操作系统（OS）--一个实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（ASA）的保护机制，继承了思科PIX防火墙性能和功能方面的既有优势Cisco防火墙模块由于70%的安全问题来自企业网络内部，Catalyst6509作为企业的汇聚或核心交换机，它为企业的不同部门划分子网和VLAN，FWSM模块的加入为不同部门之间搭建了坚实的屏障。Cisco防火墙模块FWSM内部体系主要由一个双IntelPIII处理器和3个IBM网络处理器及相应的ASIC芯片组成。其中两个网络处理器各有三条千兆线路连接到6509的背板上。Cisco防火墙模块对于已购买了Catalyst6509交换机的用户来说，他们不必对原有产品进行更换，只要购买FWSM模块，就能够获得这种防火墙特性，在简化网络结构的同时，真正实现对用户的投资保护。Cisco防火墙模块支持各种百兆和千兆以太网接口支持静态路由和RIP、OSPF动态路由协议（第9章）支持ARP代理和DHCP服务器。（第13章）支持基于VLAN设定安全区域，对每个VLAN实施安全策略。（第7章）Cisco防火墙模块在Catalyst6509上插的两个防火墙模块之间能实现冗余备份，两台Catalyst6509交换机之间能通过LAN进行故障恢复。6509最多能插入4个FWSM防火墙模块，这四个模块绑在一起能提供的吞吐量是单个防火墙模块的4倍,每个模块的吞吐量能够扩展到5GB以上。借助多个模块，带宽可高达20GB虚拟化•通过虚拟化，可以把一个防火墙划分为多个防火墙，每个虚防火墙都可以实现不同的功能，设置不同的网络安全功能。FWSM与其他安全设备的对比FWSM、Internet操作系统防火墙（IOSFW）、PIX和ASA设备在对于状态化协议检测、NAT和PAT、路由、内容过滤、用户认证和授权方面都有相似的功能。只是FWSM不支持管理用途之外的虚拟专用网（VPN）。IOS防火墙IOS防火墙通常是由寻求一体化解决方案的用户在分支站点路由器上配置的。在软件上执行控制，所以在业务修改改变的时候，运行IOS防火墙的路由器可以提供惊人的灵活性和快速添加新服务的可选择性。但是由于是软件，每次执行都需要软件判断，因此运行速率比较慢。PIX和ASA防火墙PIX基于硬件防火墙，处理速度比较快，但是比较不灵活，属于静态包过滤防火墙。ASA不仅拥有包过滤防火墙，还包括IPS,防病毒，防间谍软件等。软件和硬件结合。因此实用性相对比较好。硬件架构FWSM的架构由4个部分组成：网络处理器（NP1A）网络处理器（NP1B）网络处理器2（NP2）运行FWSM代码的处理器（FWSM综合处理器）。NP通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。可以实现用GEC实现流量负载均衡，硬件设备上可以通过showetherchannelload-balancemodule查看。软件架构对于计算机系统来说，另一个组件就是软件，软件可以对数据进行分段检查和分析。并控制流入数据流向和处理，之后再从网络设备流出。流量通过硬件架构流出。因此无论硬件多复杂，如果没有安装操作系统，则它无异于一个发射器。