6503/6506/6509防火墙解决方案(4)

　　6503/6506/6509 高端防火墙可以采用虚拟防火墙以及透明防火墙的技术，从而更加有效地支持用户的安全需求。利用虚拟防火墙的特性，将一个或者多个互联网的接入线路直接终结在 C6500 交换机上，利用一个或两个以上的虚拟防火墙分别完成线路接入、路由处理以及地址翻译等工作，姑且将这一类虚拟防火墙称为外部防火墙。在这些外部防火墙的设置中，我们通常采用两端口或三端口的方式，后者主要考虑到对外服务器群的DMZ区域连接的问题，如图2所示。

　　同时我们将外部防火墙的内部端口分别与 C6500 的 MSFC 进行 L3 的连接，注意此处一定是分别连接，在路由处理方面可以采用静态路由的方式即可，这样比较简单有效。

　　在处理好外部接入与防护问题之后，我们可以有选择性地保护一些内部资源，例如关键性服务器资源以及重要的用户群等。此时，我们可以利用虚拟防火墙去分别连接此类资源，不同的是这些内部防火墙是用外部接口与 MSFC 分别互连，这样它们所保护的对象就处于防火墙的内部网段了，如图3所示。

　　C6500 作为网络的核心设备，MSFC 是一个中心的 L3 对象。以此为中心，对外可以通过外部防火墙进行外部的互连，此时整个网络均作为被保护对象处于外部防火墙的内部网段；同时，在面对内部需要保护的对象时，FWSM 防火墙模块可以通过 VLAN 的灵活划分，利用内部防火墙有选择性地加以保护，此时的保护连接可以是 L2，也可以是 L3 方式。比如说，普通的汇聚层交换机此时仍然可以通过 L3 的方式与 C6500 的 MSFC 进行连接，双方可以完成动态路由的交换，这样普通用户可以不受限制的接入，与传统网络设计没有什么区别。但是，如果我们认为某一台汇聚交换机所接入的用户安全等级比较高，此时就可以在 MSFC 与该汇聚交换机之间加入一个虚拟防火墙，只是此时防火墙的内部端口接的是汇聚交换机，外部端口接的是 MSFC 而矣。此时，该用户群就可以得到专门的防火墙保护了，任何针对该用户群的攻击都必须首先突破防火墙的防御，这样就可以有效提高内部的安全防护等级。当然，如果说保护的是一些关键性服务器等对象，也是可以采用内部防火墙的防护的，只是此时防火墙内部端口可以通过 VLAN 或 VLAN Trunk 方式连接，只要将服务器的网关设为防火墙内部端口的IP地址就可以了。