6503/6506/6509防火墙解决方案(5)

　　当在电信 POP 点应用 6503/6506/6509 高端防火墙时，可以通过 FWSM 的 VFW 功能，提供针对每个用户的安全保护增值服务，例如图4所示，我们可以在PE-CE之间加入VFW的保护，具体的安全策略可以由各个用户自行制定，也可以由电信运营商代理。

　　思科CAT6K集成安全系统

　　防火墙技术的发展有两个主要趋势，一是将 IDS/IPS 集成到防火墙中，提供单一设备的网络防护整体方案；另外一个趋势是防火墙与交换机的整合，或者说是防火墙功能在网络中向分布式发展，交换机中会有更多，更强大的防火墙功能。

　　思科公司的 CAT6K 交换机里部署 FWSM 防火墙模块和 IDS 入侵监测模块是这两种技术趋势的完美结合，具有独特的优势。

　　FWSM防火墙模块部署在CAT6K中的好处

　　FWSM 防火墙模块具有非常高的性能，提供 5.5G 的容量，同时支持共 1,000,000 个连接，每秒 100,000 连接响应，实现安全和性能的完美结合

　　FWSM 防火墙模块具有丰富的安全功能，支持虚拟防火墙，透明模式和路由模式，资源控制，日志监控，内容过滤等业界领先的功能

　　FWSM 防火墙模块本身不带有任何端口，通过 6GE 的背板总线和 CAT6K 其他部件通讯，可以插在 CAT6K 交换机或 OSR 的任何一个交换槽位中，CAT6K 交换机的任何端口都可以定义成防火墙端口。因此在采用 CAT6K 或 OSR 搭建网络的时后，可以非常方便的部署安全策略和实施，控制需要管理的流量。

　　简化用户网络的同时，真正实现对用户的投资保护。对于已经购买 CAT6K 交换机 /OSR 的用户，不需要对原有产品进行更换，只需购买 FWSM 防火墙模块，就可获得思科提供的所有防火墙特性和非常高的性能。

　　FWSM 防火墙模块融合在 CAT6K 交换机中，其融合之美在应用上为用户提供了特别的方便，如下图所示

　　最早的串接结构模式，明显的防火墙成为了网络的瓶颈，而且部署非常不灵活，所有的流量均需要通过，可能需要部署多个防火墙；串接模式的改进型为单臂模式，解决了瓶颈和部署不灵活的问题，但网络逻辑结构复杂，有时还需要交换机支持PBR策略路由来控制流量，因此在动态环境下，会有路由无法备份，无法支持热备份等问题，同时交换机和防火墙之间的安全相关的互联互通有时也会出现问题；思科公司的融合模式，即将 FWSM 防火墙模块和 CAT6K 交换机融为一体，逻辑结构清晰，容易管理和部署，交换机的每个端口均可作为防火墙的端口，流量很容易控制，方便灵活，真正完全满足用户的需要