- 1、本文档共44页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防火墙模块安装配置
1内容介绍
为配合PICC项目防火墙模块的安装,此防火墙配置说明文档将对防火墙基本配置和使用情况进行介绍。
本文章包括防火墙基本性能介绍、安装方法、防火墙配置命令说明等内容,并通过实例对命令进行一一讲解。
2防火墙模块介绍
2.1 防火墙模块介绍
Cisco Catalyst? 6500交换机和Cisco 7600系列路由器的防火墙服务模块(FWSM是一种高速的、集成化的服务模块,可以提供业界最快的防火墙数据传输速率:5Gb的吞吐量,100000CPS,以及一百万个并发连接。在一个设备中最多可以安装四个FWSM,因而每个设备最高可以提供20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的一部分,FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。
FWSM采用了Cisco PIX技术,并且运行Cisco PIX操作系统(OS--一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA的保护机制,它可以提供面向连接的全状态防火墙功能。利用ASA,FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。
FWSM 特性
主要特性 优点
性能 ? 5 Gbps
? 一百万个并发连接
? 每秒建立和断开超过10万个连接
多种接口 ? 最多可以支持100个防火墙VLAN--任何Cisco Catalyst 4000 VLAN
都可以充当防火墙VLAN
? 支持802.1q 和ISL 协议
切入型代理 对每个VLAN实施安全策略
主要特性 优点
配置支持 ? 控制台到命令行界面(CLI
? Telnet 到Cisco PIX防火墙的内部接口
? 基于IPSec的Telnet到Cisco PIX防火墙的外部接口
? SSH到 CLI
? SSL 到 Cisco PIX 设备管理器
AAA 支持 通过TACACS+和RADIUS支持,集成常见的身份认证、授权和记帐服务 NAT/PAT 支持 提供动态/静态的网络地址解析(NAT和端口地址解析(PAT
Cisco PIX 设备管理器(PDM ? 简便、直观、基于Web的GUI可以支持远程防火墙管理
? 多种基于实时数据和历史数据的报告可以提供使用趋势、基本性能和
安全事件等信息
安全网络管理 安全的、采用三重数据加密标准 (3DES加密的网络管理接入
访问控制列表 ? 最多支持128000条访问控制列表
URL 过滤 在服务器中设定策略,并利用Websense软件检查输出的URL请求
命令授权 对所有CLI设置优先级,创建与这些优先级对应的用户账号或者登录环
境。
对象群组 能够组合网络对象(例如主机和服务(例如ftp和http
防范 DoS ? DNS 保护
? Flood Defender
? Flood Guard
? TCP 阻截
? 单播反向路径发送
? FragGuard和虚拟重组
路由 ? 静态路由
? 动态;例如路由信息协议(RIP和开放最短路径优先(OSPF
高可用性 状态故障恢复--设备内部和设备之间
日志 全面的系统日志、FTP、URL和ACL日志
其他协议 ? H.323 V2
? 基于IP的NetBios
? RAS 第二版本
? RTSP
? SIP
? XDMCP
? Skinny
3安装防火墙模块
3.1 安装防火墙模块
此图为防火墙面板
注意在进行一下操作时,一定要带防静电手套或者采取相应防静电措施,以免由于产生的静电将防火墙元器件击坏。
第一步,关闭交换机电源,将交换机的插槽挡板卸除
第二步,将防火墙模块顺着导轨插到交换机中,确认插到插入交换机中
第三步,向下挤压防火墙模块下部的两个扳手,使防火墙模块进一步插入到交换机中,将螺丝拧紧,防火墙模块安装完毕
3.2 确认防火墙模块
安装完防火墙模块后,开启交换机,确认防火墙模块是否被交换机识别。
Cisco IOS software 通过命令show module 查看防火墙模块状态是否正常Router> show module
Mod Ports Card Type Model Serial No.
1 2 Catalyst 6000 supervisor 2 (Active WS-X6K-SUP2-2GE SAD0444099Y
2 48 48 port 10/100 mb RJ-45 ethernet WS-X6248-RJ-45 SASAD04250KV5
3 2 Intrusion Detection System
W
文档评论(0)