思科交换产品

Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的防火墙服务模块

Q. 什么是防火墙服务模块?

A. 防火墙服务模块(FWSM)是一个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块,可以与总线和交换矩阵进行交互。FWSM可以在Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器中提供状态防火墙功能。

Q. FWSM主要具有哪些特性?

A. FWSM的主要特性包括:

  • 高性能,OC-48 或者 5 Gbps 吞吐量,全双工防火墙功能
  • 具有整个PIX 6.0软件功能集和PIX 6.2的下列特性:
    • 命令授权
    • 对象组合
    • ILS/NetMeeting修正
    • URL过滤改进
  • 3M pps 吞吐量
  • 支持100个VLAN
  • 一百万个并发连接
  • LAN故障恢复:主从备份模式,设备内部/设备之间
  • 利用OSPF/RIP进行动态路由
  • 每个机箱支持多个模块

Q. 防火墙服务模块(FWSM)和Cisco PIX防火墙之间有何不同?

A. FWSM是Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的一种集成模块--与独立的Cisco PIX防火墙不同。
FWSM建立在Cisco PIX技术的基础之上。

Q. FWSM运行的是什么操作系统?

A. FWSM和Cisco PIX防火墙运行的操作系统都是实时操作系统Finesse。Finesse是一种真正的微核系统,能够提供可重复使用的软件、便于移植的源代码,并可以提高产品质量,减少测试次数,缩短产品上市时间,提高投资回报。

Q. FWSM用什么机制检测流量?

A. FWSM使用与Cisco PIX防火墙相同的检测算法:自适应安全算法(ASA)。ASA是一种状态检测引擎,可以检测流量的完整性。ASA可以使用源和目的地的地址和端口、TCP序列号,以及其他TCP标志,散列IP报头信息。散列的作用相当于指纹,即创建一个独特的代码,表明建立输入或者输出连接的客户端的身份。

Q. Cisco PIX防火墙和PWSM的特性有何区别?

A. FWSM支持Cisco PIX防火墙6.0版本的所有功能和6.2版本的某些功能。下表列出了它们的主要区别。如需查看这些区别的详细说明,请参阅"Cisco PIX 与防火墙模块的区别"文档。[提供该文档的URL][应当链接到防火墙网页]

表一
特性 FSM Cisco PIX
性能 5 Gb 1.7 Gb
VLAN标签
路由 动态 静态
故障恢复使用许可 不需要 需要
VPN 功能
IDS 签名
最大接口数 100 10
输入控制列表(ACL)支持 128000 2M

Q. FWSM的性能如何?

A. 总性能约为5Gbps。FWSM可以每秒支持一百万个并发连接,并且每秒可以建立超过10万个连接。

Q. 装有FWSM的Catalyst 6500主要部署在什么地方?

A. 装有FWSM的Cisco Catalyst 6500 系列可以提供目前性能最高的防火墙功能--它能够让企业将多种关键任务型防火墙功能整合到一个设备之中,从而减少分散的防火墙的个数,简化对多个防火墙的管理。FWSM主要部署在企业园区的边缘和分布点。

Q. FWSM所能支持的最低的软件版本是多少?

A. 最低的IOS软件版本是12.1(13)E,而综合CatOS的最低版本是7.5(1)。

Q. FWSM支持交换矩阵吗?

A. 是的,FWSM支持交换矩阵。它具有一条与总线的连接和一条与交换矩阵的连接。

Q. FWSM是否利用热备份路由协议(HSRP)实现冗余?

A. 不是。主FWSM和冗余FWSM都使用与Cisco PIX防火墙相同的协议交换逻辑更新和状态信息。

Q. 怎样将流量发送给FWSM?该模块是否具有外部端口?

A. FWSM上没有外部端口。系统会给FWSM分配一些传输流量的VLAN,这些VLAN上的流量将获得防火墙的保护。

Q. FWSM是否支持冗余?

A. FCS可以提供状态防火墙故障恢复。FWSM采用了独特的设计,可以结合PIX状态故障恢复功能。FWSM模块可以安装在同一个或者另外一个Catalyst 6500系列交换机中。

Q. FWSM是否支持路由协议?

A. 是的,它支持开放最短路径优先(OSPF)和路由信息协议(RIP)。

Q. 在订购FWSM时,我应当使用什么产品编号?

A. FWSM的产品编号为:

表二
产品编号 说明
WS-SVC-FWM-1-K9 用于Cisco Catalyst 6500的防火墙服务模块
WS-SVC-FWM-1-K9= 用于Cisco Catalyst 6500的防火墙服务模块(备件)
SC-SVC-FWM-1.1-K9 用于Catalyst 6500的防火墙模块软件
SC-SVC-FWM-1.1-K9= 用于Catalyst 6500的防火墙模块软件(备件)


Q. FWSM是否具有使用许可选项?

A. 没有,该模块没有任何受限的和不受限的使用许可选项。

Q. FWSM使用的是什么三重数据加密标准(3DES)软件?

A. FWSM上的加密功能只能用于网络管理。您不能用该模块上的3DES软件进行远程接入或者站点间隧道端接。

Q. 模块软件是否内置3DES软件,我是否需要单独订购该软件?

A. 3DES 与软件镜像捆绑提供。您不需要单独订购该软件。

Q. 机载闪存和DRAM内存有多大,我能否升级DRAM?

A. FWSM的闪存为128MB,DRAM内存为1GB。内存无法现场升级。

Q. FWSM获得了什么认证?

A. 我们将在2002日历年度的第四季度之前获得ICSA认证。

Q. 我是否可以在FWSM上连接远程虚拟专用网(VPN)用户?

A. 不行,FWSM不能提供VPN功能。

Q. 我是否可以在同一个机箱中安装多个模块?

A. 可以,每个机箱最多可以安装四个模块。

Q. FWSM是否支持组播功能?

A. 最初的版本不能支持组播功能,但是组播支持将在未来的版本中提供。

Q. 我是否可以在同一个设备中安装和运行FWSM和IPSec VPN加速模块?

A. 不能。最初版本的IOS镜像不能互相兼容,因而不能将这两个模块安装在同一个设备中。

Q. FWSM是否支持IDSM入侵检测模块?

A. 防火墙服务模块和IDS模块可以共存于同一个设备中。由于IDS模块是一个从设备,所以获得防火墙保护的VLAN也可以拓展到IDS模块,进行入侵检测。

Q. FWSM是否可以提供拒绝服务/DDoS检测和管理功能?

A. 可以。FWSM可以根据协议或者地址设置阀值、日志和配置。

Q. FWSM可以发现哪些拒绝服务攻击?

A. 它可以发现下列攻击:

  • ICMP Flood
  • UDP Flood
  • Ping of Death
  • IP Spoofing
  • IP源路由选项

Q. FWSM是否支持IP源路由过滤功能?

A. IP源路由过滤功能由IOS提供。

Q. FWSM是否可以支持URL/HTTP过滤?

A. 是的,需要通过像Websense这样的Web过滤工具。

Q. FWSM缺省的安全设置是什么?

A. FWSM会拒绝所有方向上的所有分组,包括来自于管理接口的探测流量。

Q. FWSM是否可以提供高可用性的主/主备份支持?

A. FWSM 目前可以提供主/从备份支持。主/主备份支持目前正在研究之中。

Q. FWSM的主/从冗余功能是否可以提供无缝的故障恢复?

A. 可以。

Q. FWSM是否支持流量整型?

A. FWSM可以通过Catalyst 6500线卡支持流量整型,这种线卡可以为FWSM提供VLAN接口。

Q. FWSM是否支持QoS机制和速率限制?

A. 可以,它支持Catalyst 6500的所有QoS功能。

Q. FWSMD是否支持安全的带外管理?

A. 可以,通过管理VLAN上的IPSec。

Q. FWSM是否支持Traceroute和ping?

A. 如果获得明确许可就可以支持。缺省状态下不支持。

Q. 应当用什么应用配置FWSM和监控系统日志流量?

A. 在最初的版本中,用户可以通过CLI 和Cisco PIX设备管理器(PDM)管理FWSM。PDM可以通过基于向导的菜单帮助用户进行防火墙配置。

联系我们