本节书摘来异步社区《Cisco安全防火墙服务模块(FWSM)解决方案》一书中的第1章,作者:【美】Ray Blair ,Arvind Durai,更多章节内容可以访问云栖社区“异步社区”公众号查看
Cisco安全防火墙服务模块(FWSM)解决方案从定义上来看,防火墙是一台通过控制流量,以在网络内部或网络之间执行安全策略的单一设备。
防火墙服务模块(Firewall Services Module,FWSM)就是一种可以执行这些安全策略的强力设备。开发FWSM的主要用途是,将其作为模块或者刀片用在Catalyst 6500系列机箱或7600系列路由器机箱内。FWSM与机箱的“紧密”集成提供了增强的灵活性,尤其是在网络虚拟化和难以置信的吞吐量(该吞吐量不但在如今会用到,而且随着4.x代码的引入,吞吐量还会显著增加)方面。
FWSM的外观看起来与PIX和ASA相似。这些产品隶属于同一产品家族——均源自PIX和“策略(finesse)”操作系统。如果读者以前使用过PIX或ASA,则可以很容易地上手FWSM的操作。
扎实地理解各种类型的防火墙的性能,有助于针对自己的安全需求来选择最合适的防火墙类型。
包过滤防火墙基于协议、源和/或目的IP地址、源和/或目的端口号、时间范围、区分服务代码点(DSCP)、服务类型(ToS)以及IP报头内的其他参数来验证数据包。包过滤通常使用路由器或交换机中的访问控制列表(ACL)来实现,执行速度很快,当在专用集成线路(ASIC)中执行时更具速度优势。当流量进入或离开接口时,防火墙将使用ACL来匹配已选定的过滤标准,从而对数据包个体做出允许或拒绝通过的决定。
