CiscoCatalyst6509交换机FWSM防火墙模块测试报告我们以往接触比较多的防火墙大都是独立的设备产品,抑或是和路由器集成在一起的模块,这种防火墙往往是位于网关位置,担当了内外网之间的防护线职能。而思科系统公司充分利用自己对网络的理解,以一种不同的理念和思路把安全贯彻到了网络上的每一个角落。当我们《网络世界》评测实验室拿到插入FWSM防火墙模块的被测设备Catalyst6509交换机时,更是深刻地体会到了Cisco这种独特的视角。集成:改动防火墙角色从外观上看,不同于以往的防火墙,FWSM防火墙模块本身并不带有所有端口,能插在Catalyst6509交换机所有一个交换槽位中,交换机的所有端口都能够充当防火墙端口,一个FWSM模块能服务于交换机所有端口,在网络基础设施之中集成状态防火墙安全特性。由于70%的安全问题来自企业网络内部,因此企业网络的安全不仅在周边,防止未经授权的用户进入企业网络的子网和VLAN是我们一直忽视的问题,也正是6509交换机加上FWSM防火墙模块要完成的职责。Catalyst6509作为企业的汇聚或核心交换机,往往要为企业的不同部门划分子网和VLAN,FWSM模块的加入为不同部门之间搭建了坚实的屏障。和传统防火墙的体系结构不同,FWSM内部体系主要由一个双IntelPIII处理器和3个IBM网络处理器及相应的ASIC芯片组成。其中两个网络处理器各有三条千兆线路连接到6509的背板上。FWSM使用的是CiscoPIX操作系统这一实时、牢固的嵌入式操作系统,采用基于ASA(自适应安全算法)的核心实现机制,继承了思科PIX防火墙性能和功能方面的既有优势。对于已购买了Catalyst6509交换机的用户来说,他们不必对原有产品进行更换,就能通过独立购买FWSM模块,获得这种防火墙特性,在简化网络结构的同时,真正实现对用户的投资保护。功能:细致到每一处从FWSM防火墙模块的管理和易用性来看,对于那些非常熟悉CiscoIOS命令行的工程师来说,通过Console或Telnet进行设置非常容易上手,而对于笔者这种对Cisco命令仅略通一二的人来说,最佳的管理和设置方式莫过于用Web进行管理,Web管理其实是调用了用来管理PIX防火墙的PIXDeviceManager(PDM)2.1(1)工具,非常直观地帮助用户进行规则设置、管理和状态监视。进行Web管理的安全通过HTTP+SSL(HTTPS)来进行保障。网络特性方面,我们需要提及的是由于和交换机集成,所以FWSM模块拥有非常多独特之处,包括能支持各种百兆和千兆以太网接口,进而拥有了Catalyst6509交换机的可扩展性,支持静态路由和RIP、OSPF动态路由协议,能作ARP代理和DHCP服务器。在规则设定中支持基于VLAN设定安全区域,对每个VLAN实施安全策略。在高可用性方面,不仅在Catalyst6509上插的两个防火墙模块之间能实现冗余备份,两台Catalyst6509交换机之间能通过LAN进行故障恢复。据思科工程师介绍,6509最多能插入4个FWSM防火墙模块,这四个模块绑在一起能提供的吞吐量是单个防火墙模块的4倍。对于访问FWSM防火墙模块的用户,思科考虑的非常细心的一个特点是通过PDM能对CLI命令设置优先级,分为15个级别,创建和这些优先级对应的用户账号或登录环境,以更细的粒度对访问者进行管理。NAT是防火墙的必要特性,FWSM模块不仅对动态和静态NAT提供了良好支持,而且还支持基于端口的PAT(端口地址转换)。在使用PDM时,可通过组合网络对象、服务、协议或端口成为组进行管理和规则设置,最多支持128KACL设置。对日志的支持程度是防火墙功能是否完备的重要标志。FWSM不仅支持将日志记录到防火墙中,并对所用缓冲区进行限制,还支持用Syslog服务器记录日志,将日志警告分为8个级别进行限制。FWSM防火墙模块能够支持H.323、SIP等VoIP相关协议。PDM提供的状态监视功能非常强大,能按照图像或表格形式非常直观地显示CPU、内存利用率及进出防火墙的数据包状态等周详信息。易于查找的帮助信息也是思科为用户考虑的周到之处,用户通过Web界面能非常容易得到相关信息。性能:多流环境上佳表现传统防火墙往往会成为网络上的瓶颈,因此性能是用户相当关心的问题。通过此次测试(请见表中数据),我们能看到出众的性能是FWSM和Catalyst6500紧密集成所带来的结果,交换机的优异性能表目前启动...
