扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
6503/6506/6509 高端防火墙可以采用虚拟防火墙以及透明防火墙的技术,从而更加有效地支持用户的安全需求。利用虚拟防火墙的特性,将一个或者多个互联网的接入线路直接终结在 C6500 交换机上,利用一个或两个以上的虚拟防火墙分别完成线路接入、路由处理以及地址翻译等工作,姑且将这一类虚拟防火墙称为外部防火墙。在这些外部防火墙的设置中,我们通常采用两端口或三端口的方式,后者主要考虑到对外服务器群的DMZ区域连接的问题,如图2所示。
同时我们将外部防火墙的内部端口分别与 C6500 的 MSFC 进行 L3 的连接,注意此处一定是分别连接,在路由处理方面可以采用静态路由的方式即可,这样比较简单有效。
在处理好外部接入与防护问题之后,我们可以有选择性地保护一些内部资源,例如关键性服务器资源以及重要的用户群等。此时,我们可以利用虚拟防火墙去分别连接此类资源,不同的是这些内部防火墙是用外部接口与 MSFC 分别互连,这样它们所保护的对象就处于防火墙的内部网段了,如图3所示。
C6500 作为网络的核心设备,MSFC 是一个中心的 L3 对象。以此为中心,对外可以通过外部防火墙进行外部的互连,此时整个网络均作为被保护对象处于外部防火墙的内部网段;同时,在面对内部需要保护的对象时,FWSM 防火墙模块可以通过 VLAN 的灵活划分,利用内部防火墙有选择性地加以保护,此时的保护连接可以是 L2,也可以是 L3 方式。比如说,普通的汇聚层交换机此时仍然可以通过 L3 的方式与 C6500 的 MSFC 进行连接,双方可以完成动态路由的交换,这样普通用户可以不受限制的接入,与传统网络设计没有什么区别。但是,如果我们认为某一台汇聚交换机所接入的用户安全等级比较高,此时就可以在 MSFC 与该汇聚交换机之间加入一个虚拟防火墙,只是此时防火墙的内部端口接的是汇聚交换机,外部端口接的是 MSFC 而矣。此时,该用户群就可以得到专门的防火墙保护了,任何针对该用户群的攻击都必须首先突破防火墙的防御,这样就可以有效提高内部的安全防护等级。当然,如果说保护的是一些关键性服务器等对象,也是可以采用内部防火墙的防护的,只是此时防火墙内部端口可以通过 VLAN 或 VLAN Trunk 方式连接,只要将服务器的网关设为防火墙内部端口的IP地址就可以了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。