思科FWSM防火牆在企業網絡邊緣的應用

正如人們所預期的，正在成為那些想要利用全球性分布式系統的優勢，而又不希望降低敏感信息的保密性和完整性的所面臨的一個重要問題。因此系統和員必須選擇可以提供各種適應他們不斷變化的安全需要的功能的產品。
　　對於防火牆的傳統角色已經在發生變化，它不再只是用於防止企業網絡受到來自互聯網的、未經授權的訪問的威脅，還可以用於在企業內部防止對企業網絡中的某個特定的子網、工作組或者LAN的未經授權的訪問。FBI的統計數據表明，70%的安全問題來自於組織內部。
　　在最近的一項調查中，五分之一的受訪者都承認，在過去12個月中，入侵者曾經通過互聯網闖入——或者試圖闖入——他們的企業網絡。實際情況可能比這更加嚴重，因為大部分專家認為，絕大多數闖入行為都是在未被發現的情況下進行的。
　　思科防火牆服務模塊是一個超高速的集成化防火牆，用於Catalyst系列交換機，可以滿足大型企業網絡和電信運營商的需要。作為全球領先的 PIX防火牆系列的一部分，它可以為今天的網絡客戶提供無以倫比的安全性、可靠性和性能。 .
　　思科CAT6K上的FWSM防火牆模塊是防火牆與交換機的完美結合，它本身並不帶有任何端口，可以插在CAT6K交換機或OSR的任何一個交換槽位中，交換機的任何端口都能夠充當防火牆端口。當在采用CAT6K或OSR搭建網絡的同時，可以非常方便的部署安全的策略和實施。對於已經購買CAT6K交換機的用戶，不需要對原有產品進行更換，就可以單獨購買FWSM模塊，獲得思科提供的所有防火牆特性，簡化用戶網絡的同時，真正實現對用戶的投資保護。
　　FWSM模塊提供非常高的性能，5.5G的容量，支持總共1，000，000個連接，每秒100，000連接響應，實現安全和性能的完美結合。這種防火牆模塊基於PIX技術，運行PIX操作系統(OS)。這是一種實時的嵌入式強化系統，可以消除安全漏洞和性能降級損耗。這個系統的核心是一種基於自適應安全機制(ASA)的保護機制，它可以提供全狀態的、面向連接的防火牆功能。
　　這種全狀態的、面向連接的ASA設計可以根據源和目的地地址、隨機的TCP序列號和附加的TCP標簽創建會話進程。所有輸入和輸出的流量都由安全策略在這些連接表條目上的應用所控制。該防火牆模塊提供了與人們熟悉的PIX一樣的管理界面。防火牆模塊為網絡人員和安全人員分別提供了管理界面。安全部門可以繼續利用PIX設備管理器來直接管理和設置防火牆服務模塊，而不需要和網絡部門打交道。

.

　　應用模式一
　　由於FWSM擁有很高的性能和轉發能力，可以部署在企業網的網絡邊界連接互聯網，作為企業網絡防護外部攻擊的第一道防火牆，增加企業網絡對網絡攻擊的承受能力。Cisco防火牆服務模塊(FWSM)安裝在Cisco Catalyst 6500系列交換機中，部署在企業外部網的邊緣分布層，制定服務器流量策略，提供防火牆功能、入侵檢測、虛擬專用網等。
　　Cisco FWSM是業界性能最高的防火牆解決方案，每個模塊的吞吐量能夠擴展到5GB以上。借助多個模塊，帶寬可高達20GB。FWSM完全支持VLAN，提供動態路由，提供可擴展性--能夠以業界最高的性能生成受狀態防火牆保護的多個安全域，從而消除來自企業園區網的越來越多的安全威脅;可靠性--以Cisco PIX技術為基礎，FWSM使用了同一個經過時間檢驗的Cisco PIX 操作系統，這是一種安全的硬化實時操作系統。另外，它還能在活躍/等待FWSM環境中提供基於LAN的故障恢復;易於使用--FWSM使用大家非常熟悉切實可行的Cisco PIX管理界面保持安全性及網絡管理界面的獨立性。
　　應用模式二
　　另外FWSM支持虛擬防火牆的模式，可以同時支持最多256個虛擬防火牆。虛擬防火牆可以在一個單一的硬件平台上提供多個防火牆實體。添加“虛擬”這個形容詞的目的是為了表明一個單一的硬件實體可以支持多個防火牆實體。虛擬防火牆的目標是讓流經某個流經虛擬防火牆的用戶流量與流經現有的防火牆設備的流量不存在明顯的區別。　　換句話說，所有常規的防火牆設備功能及其與外部世界的互動——獨立管理、獨立設置、每個虛擬防火牆專用的系統日志服務器和AAA服務器等，以及每個虛擬防火牆的各種內部組件——例如獨立路由表、轉換數據庫、ACL等，都將被虛擬化。 .
　　企業客戶將可以利用虛擬防火牆功能限制同一個企業網絡中的不同部門之間的流量。虛擬防火牆還特別適於和一個虛擬的IPSec VPN解決方案搭配，為某個企業的各個“保密”部門的移動員工提供服務。這種使用模式的實例包括下列情況。
　　公司的資源和財務部門都擁有一些遠程辦公人員，但是這些員工需要訪問他們各自所在部門的保密資源。但由於這兩個部門所控制的信息都非常敏感，所以都通過一個防火牆與公司其他部門隔離開——包括這兩個部門之間。 .