Cisco Services Modules

Cisco Catalyst 6500 Series 및 7600 Series 용 Firewall Services Module (FWSM) 데이터시트

데이터 시트



Cisco Catalyst 6500 Series 및 7600 Series 용 Firewall Services Module (FWSM)


Cisco® Catalyst® 6500 Series 스위치 및 Cisco 7600 Series 라우터에 사용되는 고속 통합 방화벽 모듈인 Cisco Catalyst 6500 Series FWSM(Firewall Services Module)은 5.5 Gbps의 전송량, 초 당 100,000개의 연결, 100만 개의 동시 연결을 제공합니다. 최대 4개의 FWSM을 단일 섀시에 설치하여 섀시 당 20 Gbps까지 확장이 가능합니다. Cisco PIX® 보안 어플라이언스 제품군의 일부분인 FWSM은 기업(Enterprise)과 서비스 제공업체(Service Provider)에 뛰어난 보안, 안정성 및 성능을 제공합니다.


FWSM은 Cisco PIX 기술을 사용하며, 견고한 실시간 운영 체제인 Cisco PIX OS를 실행하여 보안상의 허점과 성능 저하 요인을 제거합니다.
FWSM은 ASA (Adaptive Security Algorithm) 기반에서 상태 보존형 연결 중심의 방화벽(Stateful Connection-Oriented Firewall)기능을 제공하며, ASA를 사용하여 소스 및 대상 IP 주소, 랜덤 TCP 시퀀스 번호, 포트 번호 및 추가 TCP 플래그를 기반으로 세션 흐름에 대한 연결 테이블 항목을 만들고, 이 연결테이블 항목에 보안 정책을 적용하여 모든 인바운드 및 아웃바운드 트래픽을 제어합니다.


FWSM은 라우팅 모드 (L3 Mode) 및 브리징 모드(L2 Mode)에서 다중 보안 컨텍스트를 지원하는 가상 방화벽(Virtual Firewall)과 같은 다양한 고급 기능을 제공하므로 비용과 운영상의 복잡성을 줄일 수 있습니다.


FWSM의 가상화는 Cisco Catalyst 6500 Series 스위치와 Cisco 7600 Series 라우터가 제공하는 투자 보호를 더욱 향상시킵니다. FWSM 가상화를 Cisco Catalyst 6500 Series 스위치 또는 Cisco 7600 Series 라우터 내의 IPSec VPN, WebVPN, IPS(Intrusion Prevention System)와같은 다른 보안 서비스와 함께 사용하면 더욱 강력한"Defense-in-Depth"보안 솔루션을 구축할 수 있습니다. 또한 자원 관리 및 제한 기능을 통하여 특정 보안 컨텍스트에 할당된 방화벽의 자원을 언제든지 제한할 수 있으므로, 하나의 보안 컨텍스트가 다른 컨텍스트에 영향을 받지 않고 독립적으로 작동합니다.


FWSM은 투명 방화벽(Transparent Firewall,L2-Firewall) 기능을 제공합니다. 투명 방화벽 기능을 통하여 네트워크 토폴로지의 변경을 최소화하면서 방화벽 구현 및 배치 시간을 단축시킬 수 있습니다. 이것은 IT 리소스가 제한된 모든 기업에 명확한 이점을 제공합니다. 관리 인터페이스를 제외하면, IP 주소가 없으므로 투명 방화벽에서는 서브넷 또는 구성 업데이트가 필요 없습니다.


FWSM 서비스 관리 기능과 고급 리소스 관리 및 제한 기능은 여러 가상 컨텍스트에서 더욱 효과적으로 보안 서비스를 제공하고 모니터링합니다. 여기에는 클래스 만들기, 리소스 제한, 사용자별 액세스 제어 목록, 사용자 기반으로 Cisco ACS(Access Control Server)와 연계한 액세스제어 목록(ACL), ACL별 시스로그, 시스로그 수준 구성, ARP(Address Resolution Protocol) 검사 및 멀티캐스트 패스쓰루 지원이 포함됩니다.

FWSM은 향상된 보안 기능 및 음성 어플리케이션과 같은 다양한 애플리케이션 보안 기능을 제공합니다. 정책 기반의 NAT(Network Address Translation), 양방향 NAT, 양방향 ACL, VoIP(Voice over IP) 기능 향상, Skinny 및 SIP(Session Initiation Protocol)에 대한 PAT(Port Address Translation) 지원, MGCP(Media Gateway Control Protocol), H.323 v3/v4, MPLS(Multiprotocol Label Switching) 및 방화벽 통합, WebSense 및 N2H2를 통한 URL 필터링, 공격 예방 및 차단 등 향상된 보안 기능을 제공합니다.

FWSM 이점
기존에 방화벽이 수행하던 역할이 변하고 있습니다. 오늘날의 방화벽은 외부의 허가 받지 않은 불법 액세스로부터 회사 네트워크를 보호하는 기능만을 수행하지는 않습니다. 방화벽은 위협으로부터 회사의 네트워크 경계을 보호할 뿐만 아니라, 불법 사용자가 회사 네트워크 내의 특정 서브넷, 워크그룹 또는 LAN에 액세스하지 못하도록 차단할 수 있습니다. 계층화된 보안 시스템("Layered Defense-in-Depth")을 갖추지 않는다면 그 대가가 엄청날 수 있습니다. 미국에서 절도 및 내부자 악용으로 인해 발생한 전체 회사의 손실 보고만도 2003년에만 총 8,200만 달러에 달했습니다(CSI/FBI 보고서, 2003). FBI 통계에 따르면 모든 보안 문제의 70%가 조직 내부에서 발생합니다. FBI 조사 응답자 5명 중 한 사람은지난 12개월 동안 침입자가 회사 네트워크에 침입했거나 침입을 시도했다고 말했으며, 대부분의 네트워크 침입이 감지되지 않고 그냥 넘어간다는 사실에 대다수의 전문가가 동의합니다. 회사 네트워크에는 늘어나는 위협으로부터 비즈니스 자산을 보호할 수 있는 안정적이고 통합된 보안 솔루션이 필요합니다.


통합된 모듈
Cisco Catalyst 6500 Series 스위치 또는 Cisco 7600 Series 라우터의 내부에 설치되는 FWSM은 스위치의 모든 포트가 방화벽 포트로 작동하도록 하며 상태보존형 방화벽 보안을 네트워크 인프라 내에 통합합니다. 이러한 통합은 랙 공간이 부족한 경우에 특히 중요합니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터는 멀티레이어 LAN, WAN 및 MAN 스위칭 기능과 함께 방화벽 서비스, 침입 감지 및 VPN과 같이 인텔리전트 서비스가 필요한 고객에게 최적의 IP 서비스 스위치가 되고 있습니다.


미래에 대한 충분한 확장성
FWSM은 최대 5.5 Gbps의 트래픽을 처리할 수 있기 때문에 시스템 정비가 없이도 향후의 요구사항을 충족시킬 수 있는 뛰어난 성능을 제공합니다. 최대 3개의 추가 FWSM(총 4개의 모듈)을 Cisco Catalyst 6500 Series에 추가하여 늘어나는 수요를 충족시킬 수 있습니다.


안정성 및 고가용성
FWSM은 Cisco PIX 기술을 기반으로 하며 안전한 실시간 운영체제인 Cisco PIX OS를 사용합니다. FWSM은 패킷 검사용으로 입증된 CiscoPIX 기술을 사용하여 우수한 성능과 강력한 보안을 동시에 제공합니다. 또한 FWSM은 모듈 이중화를 통하여 단일 6500 또는 7600 섀시 내의 모듈 간이나 별도 섀시의 모듈 간에 고속 장애 복구 성능을 지원합니다. 섀시 내부 및 섀시 간 장애 복구 성능을 통해 고객이 방화벽을 유연하게 배치할 수 있습니다.


소유 비용(Cost of Ownership) 절감
FWSM은 다른 어떤 방화벽보다도 뛰어난 가격 대비 성능을 제공합니다. FWSM은 Cisco PIX 방화벽을 기반으로 하므로 교육 및 관리 비용이 저렴합니다. FWSM은 섀시에 통합되어 있으므로 관리할 기기(Box)의 수를 줄여 줍니다.


사용 용이성
Cisco PIX Device Manager(PDM)의 직관적인 GUI를 사용하여 FWSM 내의 기능을 관리하고 구성할 수 있으며, 상세한 보안 컨텍스트 수준에서 FWSM을 쉽게 관리하고 모니터링할 수 있습니다.
또한 CiscoWorks VMS(VPN/Security Management Solution)를 사용하여 중앙 콘솔에서 FWSM을 관리할 수 있습니다. CiscoWorks VMS는 시스코 네트워크 전체에서 모듈식 접근 방식을 사용하여 보안 솔루션을 관리하고 모니터링합니다. VPN, 라우터, 스위치, 방화벽 및 시스코 보안 에이전트(Cisco Security Agent)를 비롯한 여러 솔루션에 통합 확장형 관리 센터를 사용할 수 있습니다. 특히, CiscoWorks Management Center for Firewall는 네트워크 전체에서 FWSM, Cisco PIX 보안 어플라이언스 및 Cisco IOS® 라우터 기반 방화벽을 일관된 방식으로 중앙에서 관리하므로 대규모 보안 어플라이언스를 신속하게 배치/관리 할 수 있습니다.

주요 기능

기능 설명
성능 • 5.5 Gbps
• 100만개의 동시 연결
• 초 당 100,000개의 연결 설정 및 해제
• 256,000개의 PAT 변환 및 256,000개의 NAT 변환
라우팅 방화벽 및 투명 방화벽 다음 모드 중 하나에서 방화벽을 실행할 수 있습니다.
• 라우팅 모드 방화벽-네트워크에서 FWSM이 라우터 홉(hop)으로 간주됩니다.
• 투명 방화벽-FWSM이"Bump-in-the-Wire"모드로 작동하며 라우터 홉이 아니고 Wire로 간주됩니다.
FWSM은 동일한 네트워크를 내부 포트와 외부 포트에 연결하지만 각 포트는 다른 VLAN에 있어야 합니다.
동적 라우팅 프로토콜이나 NAT은 필요하지 않습니다.
가상 방화벽
(다중 보안 컨텍스트)
• 다중 컨텍스트 모드에서는 소프트웨어 라이센스에 따라 별도의 보안 컨텍스트를 최대 100개까지 만들 수 있습니다. 보안 컨텍스트는 고유의 보안 정책과 인터페이스를 가지고 있는 가상 방화벽입니다.
각 컨텍스트는 라우팅 모드에서 256개의 VLAN을 지원할 수 있습니다. 투명 모드에서는 컨텍스트 당 2개의 인터페이스만을 지원합니다.
• 다중 컨텍스트는 독립형 방화벽이 여러 개 있는 것과 유사합니다.
• 모든 보안 컨텍스트는 라우팅 모드나 투명 모드에서 실행될 수 있습니다.
양방향 NAT 및 정책 기반 NAT • 동적/정적 NAT 및 PAT를 제공합니다.
• 내부 주소와 외부 주소에 NAT를 구성할 수 있습니다. 정책 기반 NAT의 경우는 확장된 ACL을 사용하여 변환할 주소를 식별할 수 있습니다. 이렇게 하면 어떤 주소를 변환할지 더 쉽게 결정할 수 있습니다.
자원 (리소스) 관리 • 하나의 컨텍스트가 모든 리소스를 사용하지 못하도록 컨텍스트 당 리소스를 제한합니다.
Cut-Through 프록시 • VLAN 기반으로 보안 정책을 시행합니다.
URL 필터링 • WebSense 또는 N2H2(Secure Computing Corporation의 일부)의 서버와 연계하여 HTTP, HTTPS 및 FTP 요청을 필터링합니다.
구성 지원 • 커맨드 라인 인터페이스(CLI)에 대한 콘솔(스위치의 세션)
• FWSM의 내부 인터페이스에 대한 텔넷
• FWSM의 외부 인터페이스에 대한 텔넷(IPSec 경유)
• CLI에 대한 SSH(Secure Shell Protocol)
• Cisco PIX Device Manager에 대한 SSL(Secure Sockets Layer)
• 방화벽용 CiscoWorks VMS Management Center
AAA 지원 • TACACS+ 및 RADIUS 지원을 통해 인증, 권한 부여 및 계정 관리(AAA) 서비스와 통합됩니다.
Cisco PIX Device Manager • 간단하고 직관적인 웹 기반 GUI가 원격 방화벽 관리를 지원합니다.
• 수많은 실시간 보고서와 기록 보고서가 사용량 현황, 성능 기준 및 보안 이벤트 정보를 제공합니다.
• Cisco PIX Device Manager는 또한 Cisco Catalyst 6500 Series용 장치 관리 툴인
CiscoView Device Manager와 통합됩니다. CiscoView Device Manager(CVDM)에서는 사용이 쉬운 GUI를 통해 Cisco Catalyst 6500 시스템 내의 모듈(예: FWSM 모듈 및 수퍼바이저 모듈)을 일괄적으로 관리할 수 있습니다.
안전한 네트워크 관리 • 안전한 3DES(Triple Data Encryption Standard) 암호화 네트워크 관리 액세스
액세스 목록 • 최대 80,000개의 ACL
다음과 같은 유형의 ACL이 지원됩니다.
• 인터페이스상에서 다음과 같은 IP 트래픽을 제어하는 확장 ACL:
- 인바운드
- 아웃바운드
• 투명 방화벽 모드의 경우 인터페이스상의 다음과 같은 비IP 트래픽을 제어하는 EtherType ACL:
- 인바운드
- 아웃바운드
• OSPF(Open Shortest Path First) 경로 재분배를 위한 표준 ACL
• 사용자별 Cisco Secure ACS 기반의 ACL
동적 라우팅 프로토콜 단일 컨텍스트 모드에서 FWSM은 다음과 같은 라우팅 프로토콜을 지원합니다.
• RIP(Routing Information Protocol) v1 및 v2(수동 모드)
• OSPF
투명 모드는 정적 라우팅만을 지원합니다.
명령 액세스 권한 부여 • 명령에 대한 사용자 액세스를 제어할 수 있으며 권한 수준에 연결된 사용자 계정이나 로그인을 만들 수 있습니다.
객체 그룹화 (Object Grouping) • 네트워크 객체(예: 호스트)와 서비스(FTP 및 HTTP)를 그룹화하여 ACL에서 사용합니다.
서비스 거부(DoS) 공격으로부터 보호 • DNS Guard
• Flood Defender
• Flood Guard
• TCP Intercept
• uRPF(unicast Reverse Path Forwarding)
• Mail Guard
• FragGuard 및 Virtual Reassembly
• ICMP(Internet Control Message Protocol) 상태보존형 검사
• UDP(User Datagram Protocol) Rate Control
ARP 검사 • 투명 방화벽 모드에서는 FWSM이 모든 ARP 패킷의 MAC 주소와 IP 주소를 ARP 테이블의 정적 항목과 비교합니다.
DHCP(Dynamic Host Control Protocol) • FWSM은 DHCP 서버로 작동합니다. FWSM은 또한 DHCP 요청을 업스트림 라우터에 전달하기 위해 DHCP 릴레이를 지원합니다.
고가용성 • 상태보존형 장애 복구-섀시 내부 및 섀시 간
로깅 • 광범위한 시스로그 로깅, FTP, URL 및 ACL 로깅
추가 프로토콜 • H.323 v3 및 v4
• NetBios over IP
• RAS 버전 2
• RTSP(Real-Time Streaming Protocol)
• SIP용 PAT
• XDMCP
• Skinny


FWSM 구성 예
고성능/안정성/고가용성이 요구되는 기업, 데이터 센터 또는 서비스 제공업체에서 FWSM을 구성하여 서비스를 제공할 수 있습니다.
오늘날의 기업은 인터넷 연결과 같은 네트워크 경계 보안 (Perimeter Security)뿐만 아니라, 비즈니스 파트너와 연결 보안, 또한 조직 내의 여러 그룹에 대한 보안을 제공하는 캠퍼스 보안 도메인을 구성해야 합니다. FWSM은 사용자와 관리자가 조직 내에 다양한 여러 정책을 사용하여 보안 도메인을 구성함으로써 유연하고 경제적인 성능 기반의 솔루션을 제공할 수 있습니다.
그림 2는 FWSM을 사용하여 별도의 VLAN 기반 보안 도메인을 구성하는 캠퍼스 배치를 나타냅니다.

그림 2 캠퍼스 배치



FWSM을 사용하면 다양한 여러 VLAN에 적절한 정책을 설정할 수 있습니다.
또한 데이터 센터도 최소한의 비용으로 데이터를 보호하고 기가비트 성능을 제공하기 위해 상태보존형 방화벽 보안 솔루션을 필요로 합니다.
그림 3는 이중화 FWSM을 사용하여 서버 데이터를 보호하는 데이터 센터를 나타냅니다.

그림 3 전자 상거래(e-Commerce) 데이터 센터 배치



FWSM은 가격 대비 성능이 최고인 방화벽을 제공하여 자본 투자를 극대화하며, 방화벽 로드 밸런서를 추가해야 하는 고가의 여러 방화벽을 사
용하지 않아도 됩니다.


그림 4
다중 컨텍스트 배치 (가상 방화벽 구성)




다중 컨텍스트 모드에서 각 방화벽은 고유의 정책, 관리 도메인 및 시스로그 로깅을 실행하며 기본적으로 완전히 독립된 보안 도메인을 제공합니다. 자체의 고유 정책으로 구성된 가상 방화벽 보안 컨텍스트는 기능적으로는 독립된 물리적 방화벽과 유사하지만 관리가 더 쉽습니다. 가상화를 사용하면 입자 증가에 따라 보안 컨텍스트를 쉽게 추가하거나 삭제할 수 있습니다. 이렇게 하면 조직이 여러 대의 장치를 배치하지 않고도 동일한 성능을 실현하고 보안 컨텍스트를 완벽하게 구성, 관리 및 제공할 수 있기 때문에 배치 비용 절감을 통해 비용을 줄일 수 있습니다. 서비스 제공업체가 개별 고객에게 보안 컨텍스트를 제공할 수 있으며 기업에서는 각 부서나 팀에 보안 컨텍스트를 할당할 수 있습니다.


주문 정보

표 2.

제품번호 설명

하드웨어

WS-SVC-FWM-1-K9 Cisco Catalyst 6500 Series용 FWSM

WS-SVC-FWM-1-K9=

Cisco Catalyst 6500 Series용 FWSM(예비 부품)

소프트웨어

SC-SVC-FWM-1.1-K9

Cisco Catalyst 6500 Series용 Firewall Module Software Release 1.1

SC-SVC-FWM-1.1-K9=

Cisco Catalyst 6500 Series용 Firewall Module Software Release 1.1 (예비 부품)

SC-SVC-FWM-2.2-K9

Cisco Catalyst 6500 Series용 Firewall Module Software Release 2.2

SC-SVC-FWM-2.2-K9= Cisco Catalyst 6500 Series용 Firewall Module Software Release 2.2(예비 부품)


라이센스
표 1은 보안 컨텍스트 라이센스를 주문할 때 필요한 부품 번호를 나타냅니다. 시스코는 세 가지 계층의 라이센스를 지원합니다. 세 가지 계층의 라이센스를 주문하기 위해서는 FWSM Software Release 2.2(1) 이상을 실행해야 합니다. FWSM Software Release 1.1에서 Release 2.2로 업그레이드할 때는 하드웨어를 변경하지 않아도 됩니다.


표 3. 컨텍스트 라이센스 부품 번호

제품번호 설명
FR-SVC-FWM-VC-T1 20개의 가상 방화벽

FR-SVC-FWM-VC-T2

50개의 가상 방화벽

FR-SVC-FWM-VC-T3

100개의 가상 방화벽



표 4는 업그레이드 부품 번호를 나타냅니다.

표 4. 업그레이드 부품 번호

제품번호 설명
FR-SVC-FWM-UPGR1 가상 방화벽을 20개에서 50개로 업그레이드

FR-SVC-FWM-UPGR2

가상 방화벽을 50개에서 100개로 업그레이드



시스템 요구사항
• MSFC2(Multilayer Switch Feature Card 2)가 있는 Cisco Catalyst 6500 Series Supervisor Engine 2 또는 Cisco Catalyst 6500 Series Supervisor Engine 720
• Native Cisco IOS Software Release 12.1(13)E 이상. Supervisor Engine 720을 실행 중인 경우는 Cisco IOS Software Release 12.2(14)SX 이상이 필요합니다.
• 하이브리드 Cisco Catalyst OS Software Release 7.5(1) 이상. Supervisor Engine 720을 실행 중인 경우는 최소한 Cisco Catalyst OS Software Release 8.2 이상이 필요합니다.
• 멀티 SVI 기능을 사용하려면 기본 Cisco IOS Software의 경우 Cisco IOS Software Release 12.2(20)E 이상을, Cisco Catalyst OS 소프트웨어의 경우 7.(6) 이상의 버전이 필요합니다.
• Cisco Catalyst 6500 Series 스위치나 Cisco 7600 Series Router에서 슬롯 1개를 점유합니다.
• 동일한 섀시에 최대 4개의 방화벽 모듈을 배치할 수 있습니다.


추가 정보
Cisco FWSM Software Release 2.2에 대한 자세한 내용은 지역 고객 담당자에게 문의하시거나 http://www.cisco.com/go/tds를 방문하십시오.
시스코 보안 솔루션에 대한 자세한 내용은 다음 웹 사이트를 방문하십시오.
• Cisco SDN(Self-Defending Networking) 전략: www.cisco.com/go/selfdefend
• 시스코 위협 방어 시스템: www.cisco.com/go/tds
• 시스코 통합 보안 솔루션: www.cisco.com/go/security


규정 준수


Safety
• UL 1950
• CSA C22.2 No. 950-95
• EN60950
• EN60825-1
• TS001
• CE 표시
• IEC 60950
• AS/NZS3260


EMI
• FCC Part 15 Class A
• ICES-003 Class A
• VCCI Class B
• EN55022 Class B
• CISPR22 Class B
• CE 표시
• AS/NZS3548 Class B


NEBS
• SR-3580-NEBS: Criteria Levels (Level 3 호환)
• GR-63-CORE-NEBS: Physical Protection
• GR-1089-CORE-NEBS: EMC and Safety


ETSI
• ETS-300386-2 Switching Equipment


통신
• ITU-T G.610
• ITU-T G0.703
• ITU-T G0.707
• ITU-T G.783 Sections 9-10
• ITU-T G0.784
• ITU-T G0.803
• ITU-T G0.813
• ITU-T G0.825
• ITU-T G.826
• ITU-T G0.841
• ITU-T G.957 Table 3
• ITU-T G0.958
• ITU-T I.361
• ITU-T I.363
• ITU I.432
• ITU-T Q0.2110
• ITU-T Q0.2130
• ITU-T Q0.2140
• ITU-T Q0.2931
• ITU-T O.151
• ITU-T O.171
• ETSI ETS 300 417-1-1
• TAS SC BISDN (1998)
• ACA TS 026 (1997)
• BABT /TC/139 (Draft 1e)



<업데이트: 2005년 6월 16일>

Cisco에 문의하세요