《Cisco Catalyst 6509交换机FWSM防火墙模块设置资料》由会员分享,可在线阅读,更多相关《Cisco Catalyst 6509交换机FWSM防火墙模块设置资料(15页珍藏版)》请在金锄头文库上搜索。
1、Cisco Catalyst 6509交换机FWSM防火墙模块测试报告 我们以往接触比较多的防火墙大都是独立的设备产品,抑或是和路由器集成在一起的模块, 这种防火墙往往是位于网关位置,担当了内外网之间的防护线职能。而思科系统公司充分利用自己对网络的理解,以一种不同的理念和思路把安全贯彻到了网络上的每一个角落。当我们网络世界评测实验室拿到插入FWSM防火墙模块的被测设备Catalyst 6509交换机时,更是深刻地体会到了Cisco这种独特的视角。 集成:改动防火墙角色 从外观上看,不同于以往的防火墙,FWSM防火墙模块本身并不带有所有端口,能插在Catalyst 6509交换机所有一个交换槽位
2、中,交换机的所有端口都能够充当防火墙端口,一个FWSM模块能服务于交换机所有端口,在网络基础设施之中集成状态防火墙安全特性。 由于70%的安全问题来自企业网络内部,因此企业网络的安全不仅在周边,防止未经授权的用户进入企业网络的子网和VLAN是我们一直忽视的问题,也正是6509交换机加上FWSM防火墙模块要完成的职责。 Catalyst 6509作为企业的汇聚或核心交换机,往往要为企业的不同部门划分子网和VLAN,FWSM模块的加入为不同部门之间搭建了坚实的屏障。 和传统防火墙的体系结构不同,FWSM内部体系主要由一个 双 Intel PIII处理器和3个IBM网络处理器及相应的ASIC芯片组成
3、。其中两个网络处理器各有三条千兆线路连接到6509的背板上。FWSM使用的是Cisco PIX操作系统这一实时、牢固的嵌入式操作系统,采用基于ASA(自适应安全算法)的核心实现机制,继承了思科PIX防火墙性能和功能方面的既有优势。 对于已购买了Catalyst 6509交换机的用户来说,他们不必对原有产品进行更换,就能通过独立购买FWSM模块,获得这种防火墙特性,在简化网络结构的同时,真正实现对用户的投资保护。 功能:细致到每一处 从FWSM防火墙模块的管理和易用性来看,对于那些非常熟悉Cisco IOS命令行的工程师来说,通过Console或Telnet进行设置非常容易上手,而对于笔者这种对
4、Cisco 命令仅略通一二的人来说,最佳的管理和设置方式莫过于用Web进行管理,Web管理其实是调用了用来管理PIX防火墙的PIX Device Manager(PDM)2.1(1)工具,非常直观地帮助用户进行规则设置、管理和状态监视。进行Web管理的安全通过HTTP+SSL(HTTPS)来进行保障。 网络特性方面,我们需要提及的是由于和交换机集成,所以FWSM模块拥有非常多独特之处,包括能支持各种百兆和千兆以太网接口,进而拥有了Catalyst 6509交换机的可扩展性,支持静态路由和RIP、OSPF动态路由协议,能作ARP代理和DHCP服务器。在规则设定中支持基于VLAN设定安全区域,对每
5、个VLAN实施安全策略。 在高可用性方面,不仅在Catalyst 6509上插的两个防火墙模块之间能实现冗余备份,两台Catalyst 6509交换机之间能通过LAN进行故障恢复。据思科工程师介绍,6509最多能插入4个FWSM防火墙模块,这四个模块绑在一起能提供的吞吐量是单个防火墙模块的4倍。 对于访问FWSM防火墙模块的用户,思科考虑的非常细心的一个特点是通过PDM能对CLI命令设置优先级,分为15个级别,创建和这些优先级对应的用户账号或登录环境,以更细的粒度对访问者进行管理。 NAT是防火墙的必要特性,FWSM模块不仅对动态和静态NAT提供了良好支持,而且还支持基于端口的PAT(端口地址
6、转换)。 在使用PDM时,可通过组合网络对象、服务、协议或端口成为组进行管理和规则设置,最多支持128K ACL设置。 对日志的支持程度是防火墙功能是否完备的重要标志。FWSM不仅支持将日志记录到防火墙中,并对所用缓冲区进行限制,还支持用Syslog 服务器记录日志,将日志警告分为8个级别进行限制。 FWSM防火墙模块能够支持H.323、SIP等VoIP相关协议。 PDM提供的状态监视功能非常强大,能按照图像或表格形式非常直观地显示CPU、内存利用率及进出防火墙的数据包状态等周详信息。 易于查找的帮助信息也是思科为用户考虑的周到之处,用户通过Web界面能非常容易得到相关信息。 性能:多流环境上
7、佳表现 传统防火墙往往会成为网络上的瓶颈,因此性能是用户相当关心的问题。通过此次测试(请见表中数据),我们能看到出众的性能是FWSM和Catalyst 6500紧密集成所带来的结果,交换机的优异性能表目前启动防火墙后同样得到了良好的体现。去年我们原来作过千兆防火墙公开比较评测,当时测试环境是在两条流条件下进行的,成绩最佳的千兆防火墙在64字节帧长下吞吐量达到59%线速。此次测试我们选用两个1000Base-SX分别作内、外网口,采用20条UDP流并存的条件下,测试结果64、512、1518三种帧长下吞吐量为85.19%、100%、100%,显然,和以往我们原来测试过的结果相比,吞吐量性能更为出
8、色。 而且,我们还发现由于设置为按照目的端口进行负载均衡,在防火墙上使用show conn命令能实时观察到网络处理器之间确实对所承担的Session进行了分担。 帧丢失率和延迟的测试结果更是让人眼前一亮,三种帧长下的结果为6.29%、0、0。在吞吐量的条件下测试的延迟结果也均在90?以下。 衡量防火墙性能的一个更有标志性的指标“最大TCP/HTTP并发连接数”结果为942802,完万能满足大型企业级用户的需求。 性能测试结果帧长64字节512字节1518字节吞吐量85.19%100%100%帧丢失率6.29%00延迟(s)80.8848.8681.29最大并发连接数942802 我们能看到防火
9、墙和交换机的结合在提升企业网络内部安全性的同时对网络性能的影响并不大,让用户能真正体验到安全和性能的完美结合。 传统防火墙处于网关位置,往往会结合入侵检测或VPN功能,是各种功能的综合体。而思科Catalyst 6500系列FWSM模块的防火墙特性更为突出,不仅能独立工作,还能和部署在同一台6500交换机箱中独立的入侵检测模块、VPN模块和SSL加密模块密切协作,各司其职,这也显示了细化分工的趋势,使企业能按照更为清晰的架构搭建多层次的安全网络。 测试方法 在性能测试中,我们使用了由思傅伦通信公司提供的SmartBits 6000B测试仪。我们在测试中使用的测试软件为SmartFlow 1.5
10、0和WebSuite Firewall 1.10。使用1000Base-X SmartMetrics模块的两个1000Base-SX GBIC,通过光纤将其分别和被测设备的两个千兆端口直连。测试环境如图所示。 在测试中,我们将Catalyst 6509交换机设置为类似于一台防火墙和一个路由器串联,防火墙设置为内、外网全通,交换机设置为根据目的端口进行负载均衡。 我们用SmartFlow完成了吞吐量、延迟和帧丢失率的测试,双向设置20个流(每个方向各有10个流),测试时间为120秒。 每个方向的10个流中源MAC/IP/端口相同,目的MAC/IP相同,目的端口不同。其中吞吐量测试中允许的帧丢失率
11、为0,延迟测试是在吞吐量的条件下完成的。测试过程选用了64、512、1518字节三种帧长。 我们用WebSuite Firewall 完成了最大并发连接数的测试,测试速率为4000个连接/秒。每项测试我们都进行三遍,最终取平均值作最后结果。 被测的Catalyst 6509交换机控制引擎设置为SUP2/MSFC2,IOS版本为12.1(13)E5,FWSM 软件版本为1.1(2),PDM版本为2.1(1)。 Cisco Catalyst 6500系列交换机和Cisco 7600系列互连网路由器的防火墙服务模块(1)阅读提示:防火墙服务模块(FWSM)是个Catalyst 6500系列多千兆位防
12、火墙模块。FWSM是一种支持交换矩阵的模块,能和总线和交换矩阵进行交互。 Q. 什么是防火墙服务模块?A. 防火墙服务模块(FWSM)是个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块,能和总线和交换矩阵进行交互。FWSM能在Cisco Catalyst 6500系列交换机和Cisco 7600系列互连网路由器中提供状态防火墙功能。Q. FWSM主要具有哪些特性? A. FWSM的主要特性包括: ? 高性能,OC-48 或 5 Gbps 吞吐量,全双工防火墙功能 ? 具有整个PIX 6.0软件功能集和PIX 6.2的下列特性:o 命令授权o 对象组合o IL
13、S/NetMeeting修正o URL过滤改进? 3M pps 吞吐量? 支持100个VLAN? 一百万个并发连接 ? LAN故障恢复:主从备份模式,设备内部/设备之间? 利用OSPF/RIP进行动态路由? 每个机箱支持多个模块Q. 防火墙服务模块(FWSM)和Cisco PIX防火墙之间有何不同? A. FWSM是Cisco Catalyst 6500系列交换机和Cisco 7600系列互连网路由器的一种集成模块-和独立的Cisco PIX防火墙不同。 FWSM建立在Cisco PIX技术的基础之上。Q. FWSM运行的是什么操作系统?A. FWSM和Cisco PIX防火墙运行的操作系统都
14、是实时操作系统Finesse。Finesse是一种真正的微核系统,能够提供可重复使用的软件、便于移植的原始码,并能提高产品质量,减少测试次数,缩短产品上市时间,提高投资回报。 Q. FWSM用什么机制检测流量? A. FWSM使用和Cisco PIX防火墙相同的检测算法:自适应安全算法(ASA)。ASA是一种状态检测引擎,能检测流量的完整性。ASA能使用源和目的地的地址和端口、TCP序列号,及其他TCP标志,散列IP报头信息。散列的作用相当于指纹,即创建一个独特的代码,表明建立输入或输出连接的客户端的身份。如需查看更多的ASA文件,请接入:http:/ . 60/config/intro.ht
15、mQ. Cisco PIX防火墙和PWSM的特性有何差别? A. FWSM支持Cisco PIX防火墙6.0版本的所有功能和6.2版本的某些功能。下表列出了他们的主要差别。如需查看这些差别的周详说明,请参阅Cisco PIX 和防火墙模块的差别文件。提供该文件的URL应当链接到防火墙网页 特性 FSMCisco PIX性能 5 Gb 1.7 Gb VLAN标签 有 无 路由 动态 静态 故障恢复使用许可 不必 需要 VPN 功能 无 有 IDS 签名 无 有 最大接口数 100 10 输入控制列表(ACL)支持 128000 2M Q. FWSM的性能怎么? A. 总性能约为5Gbps。FWSM能每秒支持一百万个并发连接,并且每秒能建立超过10万个连接。Q. 装有FWSM的Catalyst 6500主要部署在什么地方? A. 装有FWSM的Cisco Catalyst 6500 系列能提供目前性能最高的防火墙功能-他能够让企业将多种关键任务型防火墙功能整合到一个设
