思科6500防火墙模块配置指南.doc

防火墙模块安装配置 1内容介绍 为配合PICC项目防火墙模块的安装,此防火墙配置说明文档将对防火墙基本配置和使用情况进行介绍。 本文章包括防火墙基本性能介绍、安装方法、防火墙配置命令说明等内容,并通过实例对命令进行一一讲解。 2防火墙模块介绍 2.1 防火墙模块介绍 Cisco Catalyst? 6500交换机和Cisco 7600系列路由器的防火墙服务模块(FWSM是一种高速的、集成化的服务模块,可以提供业界最快的防火墙数据传输速率:5Gb的吞吐量,100000CPS,以及一百万个并发连接。在一个设备中最多可以安装四个FWSM,因而每个设备最高可以提供20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的一部分,FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。 FWSM采用了Cisco PIX技术,并且运行Cisco PIX操作系统(OS--一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA的保护机制,它可以提供面向连接的全状态防火墙功能。利用ASA,FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。 FWSM 特性 主要特性 优点 性能 ? 5 Gbps ? 一百万个并发连接 ? 每秒建立和断开超过10万个连接 多种接口 ? 最多可以支持100个防火墙VLAN--任何Cisco Catalyst 4000 VLAN 都可以充当防火墙VLAN ? 支持802.1q 和ISL 协议 切入型代理 对每个VLAN实施安全策略 主要特性 优点 配置支持 ? 控制台到命令行界面(CLI ? Telnet 到Cisco PIX防火墙的内部接口 ? 基于IPSec的Telnet到Cisco PIX防火墙的外部接口 ? SSH到 CLI ? SSL 到 Cisco PIX 设备管理器 AAA 支持 通过TACACS+和RADIUS支持,集成常见的身份认证、授权和记帐服务 NAT/PAT 支持 提供动态/静态的网络地址解析(NAT和端口地址解析(PAT Cisco PIX 设备管理器(PDM ? 简便、直观、基于Web的GUI可以支持远程防火墙管理 ? 多种基于实时数据和历史数据的报告可以提供使用趋势、基本性能和 安全事件等信息 安全网络管理 安全的、采用三重数据加密标准 (3DES加密的网络管理接入 访问控制列表 ? 最多支持128000条访问控制列表 URL 过滤 在服务器中设定策略,并利用Websense软件检查输出的URL请求 命令授权 对所有CLI设置优先级,创建与这些优先级对应的用户账号或者登录环 境。 对象群组 能够组合网络对象(例如主机和服务(例如ftp和http 防范 DoS ? DNS 保护 ? Flood Defender ? Flood Guard ? TCP 阻截 ? 单播反向路径发送 ? FragGuard和虚拟重组 路由 ? 静态路由 ? 动态;例如路由信息协议(RIP和开放最短路径优先(OSPF 高可用性 状态故障恢复--设备内部和设备之间 日志 全面的系统日志、FTP、URL和ACL日志 其他协议 ? H.323 V2 ? 基于IP的NetBios ? RAS 第二版本 ? RTSP ? SIP ? XDMCP ? Skinny 3安装防火墙模块 3.1 安装防火墙模块 此图为防火墙面板 注意在进行一下操作时,一定要带防静电手套或者采取相应防静电措施,以免由于产生的静电将防火墙元器件击坏。 第一步,关闭交换机电源,将交换机的插槽挡板卸除 第二步,将防火墙模块顺着导轨插到交换机中,确认插到插入交换机中 第三步,向下挤压防火墙模块下部的两个扳手,使防火墙模块进一步插入到交换机中,将螺丝拧紧,防火墙模块安装完毕 3.2 确认防火墙模块 安装完防火墙模块后,开启交换机,确认防火墙模块是否被交换机识别。 Cisco IOS software 通过命令show module 查看防火墙模块状态是否正常Router> show module Mod Ports Card Type Model Serial No. 1 2 Catalyst 6000 supervisor 2 (Active WS-X6K-SUP2-2GE SAD0444099Y 2 48 48 port 10/100 mb RJ-45 ethernet WS-X6248-RJ-45 SASAD04250KV5 3 2 Intrusion Detection System W