正如人们所预期的,安全正在成为那些想要利用全球性分布式系统的优势,而又不希望降低敏感信息的保密性和完整性的企业所面临的一个重要问题。因此系统和网络管理员必须选择可以提供各种适应他们不断变化的安全需要的功能的产品。
对于防火墙的传统角色已经在发生变化,它不再只是用于防止企业网络受到来自互联网的、未经授权的访问的威胁,还可以用于在企业内部防止对企业网络中的某个特定的子网、工作组或者LAN的未经授权的访问。FBI的统计数据表明,70%的安全问题来自于组织内部。在最近的一项调查中,五分之一的受访者都承认,在过去12个月中,入侵者曾经通过互联网闯入——或者试图闯入——他们的企业网络。实际情况可能比这更加严重,因为大部分专家认为,绝大多数闯入行为都是在未被发现的情况下进行的。
思科防火墙服务模块是一个超高速的集成化防火墙,用于Catalyst系列交换机,可以满足大型企业网络和电信运营商的需要。作为全球领先的Cisco PIX防火墙系列的一部分,它可以为今天的网络客户提供无以伦比的安全性、可靠性和性能。思科CAT6K上的FWSM防火墙模块是防火墙与交换机的完美结合,它本身并不带有任何端口,可以插在CAT6K交换机或OSR的任何一个交换槽位中,交换机的任何端口都能够充当防火墙端口。当在采用CAT6K或OSR搭建网络的同时,可以非常方便的部署安全的策略和实施。对于已经购买CAT6K交换机的用户,不需要对原有产品进行更换,就可以单独购买FWSM模块,获得思科提供的所有防火墙特性,简化用户网络的同时,真正实现对用户的投资保护。FWSM模块提供非常高的性能,5.5G的容量,支持总共1,000,000个连接,每秒100,000连接响应,实现安全和性能的完美结合。这种防火墙模块基于PIX技术,运行PIX操作系统(OS)。这是一种实时的嵌入式强化系统,可以消除安全漏洞和性能降级损耗。这个系统的核心是一种基于自适应安全机制(ASA)的保护机制,它可以提供全状态的、面向连接的防火墙功能。这种全状态的、面向连接的ASA设计可以根据源和目的地地址、随机的TCP序列号和附加的TCP标签创建会话进程。所有输入和输出的流量都由安全策略在这些连接表条目上的应用所控制。 该防火墙模块提供了与人们熟悉的PIX一样的管理界面。防火墙模块为网络人员和安全人员分别提供了管理界面。安全部门可以继续利用PIX设备管理器来直接管理和设置防火墙服务模块,而不需要和网络部门打交道。
应用模式一
由于FWSM拥有很高的性能和转发能力,可以部署在企业网的网络边界连接互联网,作为企业网络防护外部攻击的第一道防火墙,增加企业网络对网络攻击的承受能力。Cisco防火墙服务模块(FWSM)安装在Cisco Catalyst 6500系列交换机中,部署在企业外部网的边缘分布层,制定服务器流量策略,提供防火墙功能、入侵检测、虚拟专用网等。Cisco FWSM是业界性能最高的防火墙解决方案,每个模块的吞吐量能够扩展到5GB以上。借助多个模块,带宽可高达20GB。FWSM完全支持VLAN,提供动态路由,提供可扩展性--能够以业界最高的性能生成受状态防火墙保护的多个安全域,从而消除来自企业园区网的越来越多的安全威胁;可靠性--以Cisco PIX技术为基础,FWSM使用了同一个经过时间检验的Cisco PIX 操作系统,这是一种安全的硬化实时操作系统。另外,它还能在活跃/等待FWSM环境中提供基于LAN的故障恢复;易于使用--FWSM使用大家非常熟悉切实可行的Cisco PIX管理界面保持安全性及网络管理界面的独立性。
应用模式二
另外FWSM支持虚拟防火墙的模式,可以同时支持最多256个虚拟防火墙。虚拟防火墙可以在一个单一的硬件平台上提供多个防火墙实体。 添加“虚拟”这个形容词的目的是为了表明一个单一的硬件实体可以支持多个防火墙实体。虚拟防火墙的目标是让流经某个流经虚拟防火墙的用户流量与流经现有的防火墙设备的流量不存在明显的区别。换句话说,所有常规的防火墙设备功能及其与外部世界的互动——独立管理、独立设置、每个虚拟防火墙专用的系统日志服务器和AAA服务器等,以及每个虚拟防火墙的各种内部组件——例如独立路由表、转换数据库、ACL等,都将被虚拟化。
企业客户将可以利用虚拟防火墙功能限制同一个企业网络中的不同部门之间的流量。虚拟防火墙还特别适于和一个虚拟的IPSec VPN解决方案搭配,为某个企业的各个“保密”部门的移动员工提供服务。这种使用模式的实例包括下列情况。公司的人力资源和财务部门都拥有一些远程办公人员,但是这些员工需要访问他们各自所在部门的保密资源。但由于这两个部门所控制的信息都非常敏感,所以都通过一个防火墙与公司其他部门隔离开——包括这两个部门之间。如果VPN隧道端接于公司的外围防火墙,那么远程办公人员和其他远程用户就没有任何区别。但是,如果由虚拟防火墙或者协作的虚拟VPN设备端接IPSec连接,远程办公人员就可以在他们所属部门的防火墙背后进行身份认证,从而以正确的方式访问他们的部门的数据。
一般而言,虚拟防火墙适用于企业需要部署多个防火墙设备的场合,例如:
无线网络
需要不对称的安全等级的网络拓扑
公司的并购或者“拆分”
不同远程办公室对安全防火墙的需求
