Модуль сервисов межсетевого экрана для серии Cisco Catalyst 6500 (Cisco Catalyst 6500 Series Firewall Services Module, FWSM)– это высокоскоростной, интегрированный модуль межсетевого экрана для коммутаторов серии Cisco Catalyst 6500 и маршрутизаторов серии Cisco 7600, который обеспечивает пропускную способность 5,5 Гб/сек., скорость установления соединений 100 000 в секунду и 1 миллион одновременных соединений. На одном шасси можно установить до 4 модулей FWSM, с масштабируемостью вплоть до 20 Гб/сек на каждое шасси. FWSM входит в семейство устройств обеспечения безопасности Cisco PIX и гарантирует крупным компаниям и провайдерам услуг безопасность, надежность и производительность самого высокого уровня. В модулях FWSM применяется технология Cisco PIX и работает действующая в режиме реального времени, надежная встроенная ОС Cisco PIX, которая устраняет ”дыры” в системе защиты, негативно отражающиеся на производительности. Центральное звено системы – это схема защиты, основанная на адаптивном алгоритме защиты (Adaptive Security Algorithm, ASA), которая выполняет функции межсетевого экрана, ориентированные на учет статуса соединений. Используя ASA, FWSM создает запись таблицы соединений для сеансового потока трафика на основании адресов отправителя и получателя, выбираемых по случайному принципу порядковых номеров сегментов TCP, номеров портов и дополнительных флагов TCP. FWSM контролирует весь входящий и исходящий трафик, применяя политику безопасности к этим записям таблицы соединений.
В FWSM реализован ряд функций высокого уровня, включая множественные контексты безопасности на маршрутизируемых уровнях и в режиме моста (bridging mode). Это помогает снизить расходы и сложность операций и при этом обеспечить управление несколькими межсетевыми экранами с одной управленческой платформы. Виртуализация на FWSM создает дополнительную защиту инвестиций, эффективность которых уже гарантирована применением коммутаторов серии Cisco Catalyst 6500 и маршрутизаторов серии 7600. Виртуализация FWSM в сочетании с другими сервисами обеспечения безопасности, которые заложены в коммутаторах серии Cisco Catalyst 6500 и в маршрутизаторах серии Cisco 7600, - это мощное решение по созданию глубокой системы защиты. Используя такие функции, как, например, менеджер ресурсов (Resource Manager), компании могут ограничить ресурсы, выделяемые в любой конкретный момент времени на любой контекст обеспечения безопасности. Благодаря этому не возникает конфликта контекстов безопасности. При наличии стандартной лицензии на программное обеспечение возможна работа двух контекстов обеспечения безопасности в дополнение к специальному административному контексту. Для использования большего количества контекстов безопасности требуется приобрести лицензию.
-
Интегрированный модульFWSM, установленный в коммутаторе Cisco Catalyst серии 6500 или маршрутизаторе Cisco серии 7600, дает любому порту коммутатора возможность выполнять функции порта межсетевого экрана, а также интегрирует в сетевую инфраструктуру функции безопасности межсетевого экрана, действующие с учетом параметров состояния. Это играет особенно важную роль, если основополагающим фактором выступает пространство стойки. Коммутаторы Cisco Catalyst серии 6500 и маршрутизаторы Cisco серии 7600 фактически становятся оптимальными коммутаторами с сервисами IP для тех клиентов, которым требуются интеллектуальные сервисы, в частности, сервисы межсетевого экрана, выявления вторжений и ресурсы VPN, наряду с многоуровневыми территориальными, локальными и городскими сетями.
-
Готовность к будущемуМодуль FWSM может обрабатывать трафик с интенсивностью до 5 Гб/сек., обеспечивая отличное быстродействие для удовлетворения будущих требований без необходимости капитальной перестройки системы. Для удовлетворения растущих требований к серии Cisco Catalyst 6500 можно добавить до трех дополнительных модулей FWSM, т.е. использовать в общей сложности четыре модуля.
-
Надежность и высокая готовностьFWSM создан на базе технологии Cisco PIX, в нем применяется надежная, апробированная, работающая в реальном времени операционная система Cisco PIX. Модуль FWSM – это уникальное сочетание быстродействия и надежности на одной платформе с использованием апробированной технологии Cisco PIX для инспектирования пакетов. Для обеспечения устойчивой работы модуль FWSM поддерживает высокоскоростной перехват функций управления в случае сбоя между модулями на одном шасси 6500 или 7600 и между модулями на отдельных шасси. Такая поддержка восстановления работоспособности после возникновения сбоев дает клиентам полную свободу действий в развертывании межсетевых экранов.
-
Менее высокая стоимость владенияМодуль FWSM – это оптимальное сочетание цены и эффективности работы межсетевого экрана. Поскольку основой модуля FWSM служит межсетевой экран Cisco PIX, снижаются затраты на обучение и управление; поскольку модуль FWSM интегрирован в шасси, уменьшается количество управляемых устройств.
-
Простота управленияИнтуитивный графический пользовательский интерфейс программы-менеджера устройств Cisco PIX (Cisco PIX Device Manager) можно использовать для управления и конфигурации функций в FWSM. Модуль FWSM поддерживается инфраструктурой управления Cisco, и партнерами AVVID (Architecture for Voice, Video and Integrated Data) по настройке и мониторингу. Cisco PIX Device Manager обеспечивает возможность упрощенного управления и мониторинга FWSM на уровне системы и устройства, а также большей детализации на уровне контекста безопасности.
Производительность |
|
Маршрутизируемый и прозрачный межсетевой экран | Межсетевой экран может работать в одном из следующих режимов:
|
Режим виртуального межсетевого экрана (несколько контекстов безопасности) |
|
Двунаправленная NAT и NAT на базе политики |
|
Управление ресурсами |
|
Коммуникация ресурсов с одинаковым уровнем безопасности |
|
Фильтрация URL |
|
Поддержка конфигурации |
|
Поддержка AAA |
|
Cisco PIX Device Manager |
|
Надежное управление сетями |
|
Списки доступа (ACL) |
|
Протоколы динамической маршрутизации |
В одноконтекстном режиме модуль FWSM поддерживает следующие протоколы маршрутизации:
В прозрачном режиме поддерживается только статическая маршрутизация. |
Авторизация команд |
|
Группировка объектов |
|
Защита от атак типа отказ в обслуживании (DoS) |
|
Инспектирование ARP |
|
Протокол DHCP |
|
Высокая готовность |
|
Регистрация |
|
Дополнительные протоколы |
|
Характеристики | |
---|---|
Тип устройства | Сервисный модуль |
Линейка Cisco | Catalyst 6500, 6500-E |
Производительность модульного коммутатора, Gbps | 5,5 |
Совместимая платформа | Шасси WS-C6506 Шасси WS-C6509 Шасси WS-C6513 Шасси WS-C6503 |
Совместимость с управляющими модулями | WS-SUP720-3BXL WS-SUP720-3B VS-S720-10G-3C VS-S720-10G-3CXL VS-S2T-10G VS-S2T-10G-XL |