科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道6503/6506/6509防火墙解决方案(4)

6503/6506/6509防火墙解决方案(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对电子商务应用需求的增加,以及服务向公共领域的集中也增加了流量经过网络时的危险。Cisco Catalyst6500系列交换机提供的解决方案能够防止网络受到来自园区网和公共网的安全隐患的侵害。

作者:51CTO.COM 2007年11月2日

关键字: 加密 交换机 防火墙 CISCO 安全

  • 评论
  • 分享微博
  • 分享邮件

  6503/6506/6509 高端防火墙可以采用虚拟防火墙以及透明防火墙的技术,从而更加有效地支持用户的安全需求。利用虚拟防火墙的特性,将一个或者多个互联网的接入线路直接终结在 C6500 交换机上,利用一个或两个以上的虚拟防火墙分别完成线路接入、路由处理以及地址翻译等工作,姑且将这一类虚拟防火墙称为外部防火墙。在这些外部防火墙的设置中,我们通常采用两端口或三端口的方式,后者主要考虑到对外服务器群的DMZ区域连接的问题,如图2所示。

  同时我们将外部防火墙的内部端口分别与 C6500 的 MSFC 进行 L3 的连接,注意此处一定是分别连接,在路由处理方面可以采用静态路由的方式即可,这样比较简单有效。

  

  

  在处理好外部接入与防护问题之后,我们可以有选择性地保护一些内部资源,例如关键性服务器资源以及重要的用户群等。此时,我们可以利用虚拟防火墙去分别连接此类资源,不同的是这些内部防火墙是用外部接口与 MSFC 分别互连,这样它们所保护的对象就处于防火墙的内部网段了,如图3所示。

  C6500 作为网络的核心设备,MSFC 是一个中心的 L3 对象。以此为中心,对外可以通过外部防火墙进行外部的互连,此时整个网络均作为被保护对象处于外部防火墙的内部网段;同时,在面对内部需要保护的对象时,FWSM 防火墙模块可以通过 VLAN 的灵活划分,利用内部防火墙有选择性地加以保护,此时的保护连接可以是 L2,也可以是 L3 方式。比如说,普通的汇聚层交换机此时仍然可以通过 L3 的方式与 C6500 的 MSFC 进行连接,双方可以完成动态路由的交换,这样普通用户可以不受限制的接入,与传统网络设计没有什么区别。但是,如果我们认为某一台汇聚交换机所接入的用户安全等级比较高,此时就可以在 MSFC 与该汇聚交换机之间加入一个虚拟防火墙,只是此时防火墙的内部端口接的是汇聚交换机,外部端口接的是 MSFC 而矣。此时,该用户群就可以得到专门的防火墙保护了,任何针对该用户群的攻击都必须首先突破防火墙的防御,这样就可以有效提高内部的安全防护等级。当然,如果说保护的是一些关键性服务器等对象,也是可以采用内部防火墙的防护的,只是此时防火墙内部端口可以通过 VLAN 或 VLAN Trunk 方式连接,只要将服务器的网关设为防火墙内部端口的IP地址就可以了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章