インターフェイス/モジュール

Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用ファイアウォール サービス モジュール


注意 :本製品は既に生産/販売を終了しております。本製品を含むシリーズ全体については サービス モジュール をご覧ください。

 

データ シート





Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用ファイアウォール サービス モジュール


図 1 Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用ファイアウォール サービス モジュール

図 1 Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用ファイアウォール サービス モジュール

Cisco® Catalyst® 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用ファイアウォール サービス モジュール(FWSM)は、アプリケーションおよびプロトコル用のインスペクション エンジンを搭載した、高性能な統合型ステートフル インスペクション ファイアウォールです。このモジュールは、5.5 Gbps のスループット、毎秒 100,000 の接続処理、および 100 万の同時接続を実現します。また、1 台のシャーシに最大 4 つの FWSM を搭載することにより、シャーシあたり最大 20 Gbps まで拡張できます。Cisco PIX®/ASA ファミリ セキュリティ アプライアンスの拡張機能である FWSM は、大企業やサービス プロバイダーに、高度なセキュリティ、パフォーマンス、および信頼性を提供します。

FWSM は Cisco PIX/ASA セキュリティ アプライアンスのテクノロジーに基づいており、セキュリティ ホールや、パフォーマンス低下の原因となるオーバーヘッドを防ぐ、強固な組み込みシステムです。Cisco FWSM は、すべてのネットワーク通信の状態を追跡し、不正なネットワーク アクセスを防ぎます。また、VoIP(Voice over IP)、マルチメディア、インスタント メッセージング、ピアツーピア アプリケーションに対する最先端の保護を含む、レイヤ 4 ~ 7 のネットワーク フローを調べるインテリジェントなアプリケーション対応インスペクション エンジンにより、強力なアプリケーション レイヤでのセキュリティを提供します。


柔軟な管理オプション

Cisco FWSM は、Cisco FWSM Software v2.3 以下用の統合型 Cisco PIX Device Manager(PDM)、または Cisco FWSM Software v3.1 以上用の Cisco Adaptive Security Device Manager(ASDM)によって管理され、1 つの FWSM のデバイスおよびポリシーの設定、モニタリング、およびトラブルシューティングを行うことができます。Cisco PDM は、Cisco Catalyst スイッチやその他のサービス モジュールのデバイス プロビジョニングを行うことができる CiscoWorks CVDM(CiscoView Device Manager)から起動できます。Cisco FWSM は、CiscoWorks VMS(VPN/Security Management Solution)、Cisco Security Manager、CS-MARS(Cisco Security Monitoring, Analysis, and Response System)など、中央集中型のスケーラブルなマルチデバイス ポリシーベース管理ツールを利用して管理することもできます。これらの中央集中型管理ツールでは、他のセキュリティ デバイスと共に FWSM をネットワーク全体で一貫して管理できるため、大規模なセキュリティ機能の導入を迅速に進めることができます。


セキュリティ サービスの統合

Cisco FWSM は、IDSM-2(Intrusion Detection Services Module)、IPSec SPA(IPSec VPN Shared Port Adapter)、ADM(Traffic Anomaly Detection Module)、AGM(Anomaly Guard Module)、NAM-1 および NAM-2(Network Analysis Module)など、他のシスコ セキュリティ サービス モジュールと組み合わせることができます。これらのサービス モジュールを一緒に使うことで、完全な自己防衛型ネットワーク ソリューションを実現できます。サービス モジュールが単一のシャーシに統合されると、ネットワーク管理者にとって操作とサポートが容易になります。また、ロールベースのリモート アクセス コントロールによって IT マネージャのコラボレーションが容易になります。

このモジュール方式により、既存のスイッチングおよびルーティング インフラストラクチャを利用できるので、費用効果の高い導入を実現できます。またその一方で、業界で最高レベルのパフォーマンスと、マルチレイヤ LAN/WAN スイッチングおよびルーティング機能とともに安全な IP サービスを提供できます。


FWSM の利点

統合モジュールによるセキュリティの強化と所有コストの削減

Cisco FWSM は、社内ネットワークの境界部分を脅威から守るほか、Cisco Catalyst 6500 シリーズ スイッチや Cisco 7600 シリーズ ルータ内に搭載することで、トラフィック フローを検査し、社内ネットワーク内の不正ユーザが特定のサブネット、ワークグループ、または LAN にアクセスするのを防ぐこともできます。このインテリジェントなネットワーク統合により、FWSM は、投資保護効果の強化と総所有コストの削減を実現し、電力とラック スペースのコストが高い場合には、設置面積の削減にも貢献します。スイッチ上の物理ポートは、ファイアウォール ポリシーと保護を適用して動作するように設定できるため、追加の設定やケーブル接続を行わなくても簡単に導入でき、ネットワーク インフラストラクチャ内にファイアウォール セキュリティを提供します。FWSM は、他の Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ セキュリティ サービス モジュールとともに導入でき、安全なマルチレイヤの階層防御式 IP サービス ソリューションを実現します。

将来を見据えた高性能、高い拡張性、および低遅延

FWSM は、高性能かつ汎用的な CPU の柔軟性も持つ高速のネットワーク プロセッサを基盤としています。Cisco FWSM は、毎秒 100,000 の接続処理、5.5 Gbps のスループット、およびサービス モジュールあたり 100 万の同時接続を実現する、業界最高レベルのパフォーマンスを提供します。この高度なパフォーマンスにより、企業はシステムをオーバーホールしなくても、将来的な要件を満たすことができます。スタティック VLAN 設定または Catalyst 6500 IOS Policy-based Routing(PBR; ポリシーベース ルーティング)を使用して複数の FWSM をクラスタ化し、FWSM にトラフィックを転送させることができます。最大 4 つの FWSM を同じシャーシ内に搭載して、合計 20 Gbps のスループットを実現できます。1 つの FWSM は最大 1000 の仮想インターフェイス(コンテキストあたり 256)をサポートし、1 台のシャーシは最大 4000 の VLAN まで拡張できます。また、Catalyst 6500 シャーシで 2 つの Cisco Application Control Engine(ACE)を使用して 3 つの FWSM 間でロード バランスを行い、15 Gbps のファイアウォール スループット、毎秒 150,000 以上の接続、200 万の同時接続をサポートできます。

ファイアウォールによる完全な保護がスイッチ バックプレーン全体に適用され、遅延を最小限(小さいフレームの場合 30 マイクロ秒)に抑えます。これは、金融市場データや Voice over IP(VoIP)といった遅延の影響を受けやすいアプリケーションを保護するうえで重要です。

サービスの仮想化によるコスト削減と管理の複雑性の軽減

Cisco FWSM が提供するサービスの仮想化により、サービス プロバイダーと大企業は、同じ物理インフラストラクチャ上に、複数の Demilitarized Zone(DMZ; 非武装地帯)といった、個々のお客様または機能分野に対応した個別のポリシーを実装できます。仮想化により、複数のデバイスを管理するためのコストと複雑性が軽減され、加入者が増加しても、セキュリティ コンテキストの追加や削除を簡単に行うことができます。Cisco FWSM Software v3.1 以上では、1 つの FWSM を最大 250 個の仮想ファイアウォール(セキュリティ コンテキスト)に分割できます。FWSM の仮想化では、トランスペアレント モード(レイヤ 2)とルーテッド モード(レイヤ 3)がサポートされます。FWSM の仮想化には、Network Address Translation(NAT; ネットワーク アドレス変換)、Access Control List(ACL; アクセス コントロール リスト)、インスペクション エンジン、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)、Syslog、Dynamic Host Control Protocol(DHCP)などが含まれ、すべてのポリシー、モニタリング、およびロギングがサポートされます。

FWSM のリソース管理機能を使用すると、各セキュリティ コンテキストに割り当てられるリソース使用率をいつでも制限できるので、ハイ アベイラビリティを実現できます。これにより、特定のコンテキストがすべてのリソースを使用して、他のコンテキストがリソースにアクセスできないような状況を防ぐことができます。このようなリソースには、さまざまな接続、ローカル ホスト、NAT、ACL、帯域幅、インスペクション レート、Syslog レートなどがあります。ロールベースの管理により、複数の IT 管理者がネットワーク レイヤとアプリケーション レイヤのセキュリティ ポリシーを設定して管理できます。FWSM をインターネット エッジで使用する場合、VRF(Virtual Routing and Forwarding)インスタンスに仮想ファイアウォールをマッピングするよう設定して、キャンパス ネットワークでの完全なトラフィック分離とセキュリティを実現できます。デフォルトの FWSM ソフトウェアを使用する場合、最大 2 つのセキュリティ コンテキストと追加の特別な管理コンテキストが提供されます。さらに多くのセキュリティ コンテキストを使用する場合は、別途ライセンスを購入する必要があります。

トランスペアレント(レイヤ 2)ファイアウォールによる容易な導入

トランスペアレント ファイアウォール機能を使用すると、FWSM はレイヤ 2 ブリッジング ファイアウォールとして機能するように設定されるので、ネットワーク トポロジへの変更が最小限で済みます。また、設定および配置に要する時間が短縮されます。管理インターフェイス以外に IP アドレスはないので、トランスペアレント ファイアウォールではサブネットの作成や設定更新の必要はありません。トランスペアレント ファイアウォール機能により、ホストを保護するデータセンターでの展開が大幅に簡素化されます。トランスペアレント ファイアウォールは、レイヤ 3 を変更せずに既存のネットワークにも適合し、ルータからのレイヤ 3 トラフィックを透過的に通過させるため、Hot Standby Router Protocol(HSRP; ホット スタンバイ ルータ プロトコル)、Virtual Router Redundancy Protocol(VRRP; 仮想ルータ冗長プロトコル)、Gateway Load Balancing Protocol(GLBP)、マルチキャストなどの IP サービス、および Internetwork Packet Exchange(IPX)、Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)、Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)などの非 IP トラフィックと相互運用が可能です。トランスペアレント ファイアウォールは、複数の仮想ファイアウォールでもサポートされます。Cisco FWSM Software v3.1 では、トランスペアレント ファイアウォールとルーテッド ファイアウォールの両方を同じ FWSM に実装することもできるため、より柔軟なネットワーク展開が可能です。Cisco FWSM Software v3.2 では、NAT や PAT などすべてのレイヤ 3 ファイアウォール機能がトランスペアレント ファイアウォールでサポートされます。

ハイ アベイラビリティ

ネットワークの耐障害性を実現するために、Cisco FWSM は、同じ Cisco Catalyst 6500 または Cisco 7600 シャーシ内のモジュール間(シャーシ内)、および異なるシャーシのモジュール間(シャーシ間)での高速のフェールオーバーをサポートしており、ユーザは必要に応じて柔軟にファイアウォールを配置できます。Cisco FWSM Software v3.1 では、アクティブ/スタンバイ ステートフル フェールオーバーに加えて、マルチ コンテキスト モードでのアクティブ/アクティブ ステートフル フェールオーバーもサポートされます。

堅牢なステートフル インスペクションとアプリケーション レイヤ セキュリティ

Cisco FWSM は、ASA(アダプティブ セキュリティ アルゴリズム)とも呼ばれる Cisco PIX セキュリティ アプライアンス テクノロジーを基盤としています。FWSM は、機能豊富なステートフル インスペクション ファイアウォール サービスを提供し、すべてのネットワーク通信状態の追跡、セキュリティ ポリシーの適用、および DoS 攻撃(サービス拒絶攻撃)や不正なネットワーク アクセスの防止を行います。また、送信元と宛先のアドレス、ランダム化された TCP シーケンス番号、ポート番号、およびその他の TCP フラグに基づいて、セッション フローの接続テーブル エントリを作成し、これらの接続にセキュリティ ポリシーを適用します。

FWSM は、ネットワークベースのファイアウォール サービスを基盤としているため、レイヤ 4 ~ 7 のネットワーク フローを調べるインテリジェントなアプリケーション対応インスペクション エンジンを通じて、強力なアプリケーション レイヤ セキュリティも提供します。アプリケーション レイヤへの攻撃からネットワークを保護するために、これらのインスペクション エンジンにはさまざまなアプリケーションとプロトコルの情報が組み込まれています。また、標準規格への適合のチェック、プロトコル異常の検出、アプリケーションとプロトコルの状態の追跡、双方向 NAT サービス、双方向 ACL、Port Address Translation(PAT; ポート アドレス変換)や、アプリケーション/プロトコル コマンド フィルタリング、コンテンツ検証、URL 隠蔽化、URL フィルタリングなどの攻撃を検出および緩和する方法など、さまざまなセキュリティ実施テクノロジーを使用します。これらのインスペクション エンジンにより、企業はインスタント メッセージング、ピアツーピアでのファイル共有、およびトンネリング アプリケーションを制御できます。また、FWSM は、さまざまな VoIP やその他のマルチメディア標準に最先端の保護を提供します。


Cisco FWSM プラットフォームのパフォーマンスとキャパシティ

表 1 に、Cisco FWSM のパフォーマンスとキャパシティの詳細を示します。

表 1 Cisco FWSM プラットフォームのパフォーマンスとキャパシティ

  
  キャパシティ
パフォーマンス
  • サービス モジュールあたり 5.5 Gbps のスループット
  • Cisco Catalyst 6500 シャーシあたり最大 4 つの FWSM(20 Gbps)(スタティック VLAN または IOS PBR を使用)
  • 2.8 Mpps
  • 100 万の同時接続
  • 毎秒 100,000 の接続のセットアップおよび解放
  • 256,000 の NAT と 256,000 の PAT の同時変換
  • ジャンボ イーサネット パケット(8,500 バイト)のサポート
VLAN インターフェイス
  • サービス モジュールあたり合計 1,000
  • セキュリティ コンテキストあたり 256 の VLAN(ルーテッド モード)
  • セキュリティ コンテキストあたり 8 つの VLAN ペア(トランスペアレント モード)
アクセス リスト
  • 最大 80,000 の ACL(シングル コンテキスト モード)
仮想ファイアウォール(セキュリティ コンテキスト)
  • 20、50、100、および 250 の仮想ファイアウォール ライセンス
  • 仮想ファイアウォール× 2 とテスト用に管理コンテキスト× 1 を提供



FWSM 全体の機能の概要

表 2 に、Cisco FWSM 全体の機能の概要を示します。

表 2 FWSM 全体の機能の概要

機能 概要
Catalyst 6K インフラストラクチャで最大 20 Gbps 超のファイアウォール サービスをサポートするスケーラブルなアーキテクチャ
  • 業界で認められたさまざまなクラスタ処理技術によってファイアウォールのパフォーマンスを 20 Gbps 以上にシームレスに拡張可能
暗号化された脅威の認識
  • FWSM は、Catalyst 6K インフラストラクチャの SSL 複合化機能を利用して、暗号化されたポリシー違反を認識可能(従来のファイアウォールにはない機能)
インテリジェントなネットワーク サービス
  • レイヤ 2 ファイアウォール(トランスペアレント モード)(NAT および PAT のサポート)
  • レイヤ 3 ファイアウォール(ルートまたは NAT モード)
  • FWSM ごとにレイヤ 2/レイヤ 3 ファイアウォールを混成可能
  • ダイナミックまたはスタティックの NAT および PAT
  • ポリシーベースの NAT
  • VRF に対応した NAT
  • マルチキャスト用宛先 NAT
  • シングルおよびマルチ セキュリティ コンテンツ モードでのスタティック ルーティングのサポート
  • シングル セキュリティ コンテキスト モードでのダイナミック ルーティング:Open Shortest Path First(OSPF)、Routing Information Protocol(RIP)v1 および v2、PIM 希薄モード v2 マルチキャスト ルーティング、Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)v2
  • スタブ iBGP を使用したシングルおよび仮想セキュリティ コンテキスト モードでのダイナミック ルーティング(ライセンスが必要)
  • トランスペアレント モードではスタティック ルーティングのみをサポート
  • L2 および L3 ファイアウォール用プライベート VLAN による独立したポート間でのファイアウォール セキュリティ ポリシー
  • 同期ルーティング グループの使用による冗長性のない非同期ルーティングのサポート
  • IPv6 HTTPS、Secure Shell Protocol(SSH)v1 および v2、Telnet を使用した IPv6 ネットワーキングおよび管理アクセス
中心となるステートフル ファイアウォール
  • NAT 変換のバイパスにより no nat-control コマンドまたは NAT 除外機能が使用されている場合は NAT 変換エントリが作成されないため拡張性が向上
  • フロー単位で TCP 状態のバイパスを選択可能
  • フロー単位でのタイムアウト(TCP フローおよび非 TCP フロー)
  • ACL:IP トラフィック用拡張 ACL、非 IP トラフィック用 Ethertype ACL、OSPF ルート配信用標準 ACL、ユーザ単位の Cisco Secure Access Control Server(ACS)ベースの ACL、ユーザ単位の ACL の上書き、ACL のオブジェクト グループ化、時間ベースの ACL
  • フローベースのセキュリティ ポリシーを使用した Cisco Modular Policy Framework(MPF)
  • ローカル データベースと外部 AAA サーバのサポートによるカットスルー ユーザ認証プロキシ:TCP、HTTP、FTP、HTTPS など
  • URL フィルタリング:WebSense Enterprise または N2H2(現在は Secure Computing Corporation の一部門)の HTTP フィルタリング を使用して、HTTP、HTTPS、および FTP 要求をフィルタリング
  • VLAN 間で同じセキュリティレベルの通信(NAT/スタティック ポリシーなし)とホスト単位の最大接続制限
  • DoS 攻撃からの保護:DNS Guard、Flood Defender、Flood Guard、SYN cookie の構成による TCP Intercept、Unicast Reverse Path Forwarding(uRPF)、Mail Guard、FragGuard および Virtual Reassembly、Internet Control Message Protocol(ICMP)ステートフル インスペクション、User Datagram Protocol(UDP)レート制御、TCP ストリーム リアセンブリおよび非隠蔽化エンジン、攻撃検出用 TCP トラフィック正常化サービス
  • トランスペアレント ファイアウォール モードでの Address Resolution Protocol(ARP; アドレス解決プロトコル)インスペクション
  • DHCP サーバ、アップストリーム ルータへの DHCP リレー(インターフェイス単位で設定)
サービスの仮想化(マルチ セキュリティ コンテキスト モード)
  • トランスペアレント
  • ルーテッド モード
  • NAT/PAT
  • ACL
  • プロトコル インスペクション
  • SNMP
  • Syslog
  • DHCP
  • リソース管理によるセキュリティ コンテキスト単位のリソース使用率の制御
インスペクション エンジン
  • アプリケーション ポリシーの強制
  • プロトコルの適合チェック
  • プロトコル状態の追跡
  • セキュリティ チェック
  • NAT/PAT のサポート
  • ダイナミックなポート割り当て
  • 中心となるインターネット プロトコル:HTTP、FTP、Trivial File Transfer Protocol(TFTP)、Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)、Extended SMTP(ESMTP; 拡張 SMTP)、DNS、Extended DNS(EDNS)、ICMP、TCP、UDP
  • データベース/OS サービス:Internet Locater Service/Lightweight Directory Access Protocol(ILS/LDAP)、Oracle/SQL*Net v1 および v2、NetBIOS over IP、NFS、Remote Shell Protocol(RSH)、SunRPC/NIS+、XWindows(XDMCP)、Registration Admission and Status(RAS)v2
  • マルチメディア/VoIP:H.323 v1 ~ v4、H.323 ゲートキーパー クラスタ GUP メッセージのサポート、Session Initiation Protocol(SIP)、SCCP(Skinny)、Skinny ビデオ、GPRS Tunneling Protocol(GTP)v0 および v1(3G Mobile Wireless)、Media Gateway Control Protocol(MGCP)v0.1 および v1.0、Real-Time Streaming Protocol(RTSP)、Telephony Application Programming Interface(TAPI)および Java TAPI(JTAPI)、T.38 Fax over IP、Gatekeeper Routed Control Signaling(GKRCS)、フラグメント化およびセグメント化マルチメディア ストリーム インスペクション
  • 特定のアプリケーション:Microsoft Windows Messenger、Microsoft NetMeeting、Real Player、Cisco IP Phone、Cisco SoftPhone
  • セキュリティ サービス:Point-to-Point Tunneling Protocol(PPTP)
ハイ アベイラビリティ
  • シャーシ内およびシャーシ間
  • アクティブ/スタンバイ ステートフル フェールオーバー
  • マルチ コンテキスト モードでのアクティブ/アクティブ ステートフル フェールオーバーのサポート
  • アクティブ/アクティブの冗長性による非同期ルーティングのサポート
アプリケーション インスペクション制御
  • 高度な HTTP インスペクション サービス:RFC の適合チェックによるプロトコル異常の検出、HTTP コマンド フィルタリング、MIME タイプ フィルタリング、コンテンツ検証、Uniform Resource Identifier(URI)長の強制など
  • トンネリング アプリケーション制御:AOL Instant Messenger、Microsoft Messenger、Yahoo Messenger、ピアツーピア アプリケーション(KaZaA、Gnutella など)、およびその他のアプリケーション(GoToMyPC など)
システム管理
  • CLI(コマンドライン インターフェイス)へのコンソール接続:スイッチからのセッション、Cisco IOS ソフトウェアに似た CLI パーサー
  • FWSM の内部インターフェイスへの Telnet 接続
  • FWSM の外部インターフェイスへの Telnet over IPSec 接続
  • CLI への SSH v1 および v2
  • Web GUI ベースの単一デバイス マネージャ(HTTP、HTTPS):FWSM Software 3.2 用 Cisco ASDM v5.2F、FWSM Software 3.1 用 Cisco ASDM v5.0F、FWSM Software 2.3 用 Cisco PIX Device Manager 4.1
  • Web GUI ベースの複数デバイス マネージャ:FWSM Software 2.3 以上用 Cisco Security Manager v3.0 以上、FWSM Software 2.3 以下用 CiscoWorks VMS Management Center v1.3
  • Cisco Catalyst 6500 用 Web GUI ベース CiscoView Device Manager v1.0 による、FWSM Software 2.3 以下の設定と Cisco PIX Device Manager の起動
  • Web GUI ベースの複数デバイス マネージャ:FWSM Software 2.3 以下用 CiscoWorks VMS Management Center v1.3、FWSM Software 2.3 用 Cisco Security Manager
  • SNMP v2c MIB およびトラップ
  • Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング):TACACS+ および RADIUS のサポート
  • ロールベースの管理アクセス
  • オンライン アップグレード
  • 専用のアウトバンド管理インターフェイス
ロギング/モニタリング
  • Syslog:外部サーバ、最大 16 台のサーバ(コンテキストあたり 4)
  • FTP、URL、ACL ロギング
  • SNMP v2c
  • FWSM Software 2.3 以上用の CS-MARS(Cisco Security Monitoring, Analysis and Response System)v4.2 によるマルチプラットフォームのリアルタイム モニタリング、分析、およびレポート


注:Cisco FWSM Software バージョン 3.2、3.1、2.3、および 2.2 にはそれぞれ、Cisco PIX Security Appliance Software バージョン 7.0、6.3、および 6.2 のさまざまな機能が組み込まれています。


FWSM の展開例

Cisco FWSM は、エンタープライズ キャンパス、データセンター、またはサービス プロバイダーに適したトポロジでの展開が可能です。FWSM は最高の価格性能比を実現するファイアウォール製品で、投資が最大限に活用されます。

今日の企業が必要とするのは境界セキュリティだけではありません。ビジネス パートナーとの接続や、組織内の複数のグループにサービスを提供できるようなキャンパス セキュリティ ドメインも必要です。Cisco FWSM を使用すると、1 つの組織内に、異なるポリシーを持つ複数のセキュリティ ドメインを確立できるので、柔軟かつ費用効果の高いパフォーマンスベースのソリューションが実現されます。Cisco FWSM を使用することにより、ユーザは異なる VLAN に適切なポリシーを設定できます。またデータセンターも、最小限のコストでギガビット級のパフォーマンスを実現しながら、不正なトラフィックをフィルタして Demilitarized Zone(DMZ; 非武装地帯)やエクストラネット サーバ ファームでデータを保護できるようなステートフル ファイアウォール セキュリティ ソリューションを必要としています。図 2 に、Cisco FWSM を使用した企業のキャンパスとデータセンターのセキュアな LAN 構成を示します。

図 2 企業のキャンパスおよびデータセンターのセキュアな LAN 構成

図 2 企業のキャンパスとデータセンターのセキュアな LAN 構成
※ 画像をクリックすると、大きく表示されます。popup_icon

企業やサービス プロバイダーの WAN エッジでは、FWSM を Cisco IPSec VPN SPA と組み合わせて VRF で定義される VPN トンネル単位のファイアウォール ポリシーを実施できます。

図 3 WAN エッジのセキュアな WAN 構成

図 3 WAN エッジのセキュアな WAN 構成
※ 画像をクリックすると、大きく表示されます。popup_icon


発注情報

表 3 Cisco FWSM のハードウェアおよびソフトウェアの製品番号

製品番号 説明
ハードウェア
WS-SVC-FWM-1-K9 Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 FWSM
WS-SVC-FWM-1-K9= Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 FWSM(スペア)
セキュリティ バンドル
WS-C6506-E-FWM-K9 Cisco Catalyst 6506 Firewall Security System(拡張シャーシおよび Supervisor Engine 720 3B 搭載)
WS-C6509-E-FWM-K9 Cisco Catalyst 6509 Firewall Security System(拡張シャーシおよび Supervisor Engine 720 3B 搭載)
WS-C6513-FWM-K9 Cisco Catalyst 6513 Firewall Security System(Supervisor Engine 720 3B 搭載)
ソフトウェア
SC-SVC-FWM-1.1-K9 Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 Firewall Services Module Software Release 1.1
SC-SVC-FWM-1.1-K9= Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 Firewall Services Module Software Release 1.1(スペア)
SC-SVC-FWM-2.2-K9 Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 Firewall Services Module Software Release 2.2
SC-SVC-FWM-2.2-K9= Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 Firewall Services Module Software Release 2.2(スペア)
SC-SVC-FWM-2.3-K9 Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 Firewall Services Module Software Release 2.3
SC-SVC-FWM-2.3-K9= Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 Firewall Services Module Software Release 2.3(スペア)
SC-SVC-FWM-3.1-K9 Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 Firewall Services Module Software Release 3.1
SC-SVC-FWM-3.1-K9= Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 Firewall Services Module Software Release 3.1(スペア)
SC-SVC-FWM-3.2-K9 Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 Firewall Services Module Software Release 3.2
SC-SVC-FWM-3.2-K9= Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ用 Firewall Services Module Software Release 3.2(スペア)


注:Cisco Firewall Services Module Software 1.1 は販売を終了しています。FWSM Software 2.3、3.1 または 3.2 にアップグレードまたは購入することを推奨します。


ライセンス

仮想ファイアウォール(セキュリティ コンテキスト)ライセンスの発注時には、表 4 に記載されている製品番号が必要となります。これらのいずれかのライセンスを購入するには、FWSM Software 2.2(1) 以上を使用する必要があります。FWSM Software 1.1 からバージョン 2.2、2.3、3.1 および 3.2 へのアップグレードには、ハードウェアの変更は必要ありません。

表 4 コンテキスト ライセンスの製品番号

製品番号 説明
FR-SVC-FWM-VC-T1 仮想ファイアウォールのライセンス(Cisco FWSM Software 2.2 以上)× 20
FR-SVC-FWM-VC-T2 仮想ファイアウォールのライセンス(Cisco FWSM Software 2.2 以上)× 50
FR-SVC-FWM-VC-T3 仮想ファイアウォールのライセンス(Cisco FWSM Software 2.2 以上)× 100
FR-SVC-FWM-VC-T4 仮想ファイアウォールのライセンス(Cisco FWSM Software 3.1 以上)× 250
FR-SVC-FWM-UPGR1 仮想ファイアウォール× 20 から 50 へのアップグレード(Cisco FWSM Software 2.2 以上)
FR-SVC-FWM-UPGR2 仮想ファイアウォール× 50 から 100 へのアップグレード(Cisco FWSM Software 2.2 以上)
FR-SVC-FWM-UPGR3 仮想ファイアウォール× 100 から 250 へのアップグレード(Cisco FWSM Software 3.1、3.2)


表 5 GTP/GPRS モバイル ワイヤレス インスペクションのライセンス

製品番号 説明
FR-SVC-FWM-GTP GTP Protocol Inspection Engine のライセンス(Cisco FWSM Software 3.1、3.2)


表 6 システム要件

FWSM 3.1、3.2
  スーパーバイザ エンジン 1
Cisco IOS
12.2(18)SXF 以上 720、32
12.2(18)SXF2 以上 2、720、32
Catalyst OS 4
8.5(3) 以上 2、720、32


FWSM 2.2、2.3
  FWSM の機能
  スーパーバイザ エンジン 1 複数の SVI 2 トランスペアレント ファイアウォール(フェールオーバー可能) 3
Cisco IOS
12.1(13)E 2 非サポート 非サポート
12.1(19)E 2 サポート 非サポート
12.1(22)E 以上 2 サポート サポート
12.2(14)SY 以上 2 サポート 非サポート
12.2(14)SX 以上 2、720 非サポート 非サポート
12.2(17a)SX3 2、720 サポート サポート
12.2(17b)SXA 2、720 サポート サポート
12.2(17d)SXB 以上 2、720 サポート サポート
Catalyst OS 4
7.5(x) 2 非サポート 非サポート
7.6(1) ~ 7.6(4) 2 サポート 非サポート
7.6(5) 以上 2 サポート サポート
8.2(x) 以上 2、720 サポート サポート
8.3(x) 2、720 サポート サポート


1 FWSM は Supervisor Engine 1 または 1A をサポートしません。FWSM は、MSFC2(Multilayer Switch Feature Card 2)が搭載された Supervisor Engine 2、Supervisor Engine 32、または Supervisor Engine 720 をサポートします。

2 MSFC と FWSM 間で複数の Switched VLAN Interface(SVI)をサポートします。SVI は MSFC でルーティングされる VLAN インターフェイスです。

3 フェールオーバーを使用する場合にトランスペアレント ファイアウォール モードがサポートされます。フェールオーバーでは FWSM への BPDU フォワーディングが必要です。BPDU フォワーディングをサポートしない他のリリースではフェールオーバーなしのトランスペアレント モードがサポートされます。

4 スーパーバイザ エンジンで Catalyst OS を使用する場合、MSFC では上記のサポート対象の Cisco IOS リリースのいずれも使用できます。スーパーバイザ エンジンのソフトウェアによってサポート対象の FWSM の機能が決まります。

リンク障害を迅速に検出するための autostate 機能は、Cisco Catalyst OS Release 8.4(1) 以上および Cisco IOS 12.2(18)SXF(5) 以上でサポートされます。


ハードウェア仕様

  • 重量:10 ポンド
  • 消費電力:171.78 W

適合規格

安全性

  • UL 1950
  • CSA C22.2 No. 950-95
  • EN60950
  • EN60825-1
  • TS001
  • CE マーキング
  • IEC 60950
  • AS/NZS3260

テレコミュニケーション

  • ITU-T G.610
  • ITU-T G.703
  • ITU-T G.707
  • ITU-T G.783 Sections 9-10
  • ITU-T G.784
  • ITU-T G.803
  • ITU-T G.813
  • ITU-T G.825
  • ITU-T G.826
  • ITU-T G.841
  • ITU-T G.957 Table 3
  • ITU-T G.958
  • ITU-T I.361
  • ITU-T I.363
  • ITU I.432
  • ITU-T Q.2110
  • ITU-T Q.2130
  • ITU-T Q.2140
  • ITU-T Q.2931
  • ITU-T O.151
  • ITU-T O.171
  • ETSI ETS 300 417-1-1
  • TAS SC BISDN(1998)
  • ACA TS 026(1997)
  • BABT/TC/139(Draft 1e)

EMI

  • FCC Part 15 クラス A
  • ICES-003 クラス A
  • VCCI クラス B
  • EN55022 クラス B
  • CISPR22 クラス B
  • CE マーキング
  • AS/NZS3548 クラス B

共通基準

  • EAL4+

NEBS

  • SR-3580-NEBS:基準レベル(レベル 3 適合)
  • GR-63-CORE-NEBS:物理的保護
  • GR-1089-CORE-NEBS:EMC および安全性

ETSI

  • ETS-300386-2 スイッチング機器

関連情報

詳細については、以下のサイトをご覧ください。

お問い合わせ