最近做工程用到了FWSM,关于FWSM我做了专门的学习,考虑到企业招聘中关于FWSM,会有一定的问题,就总结如下:
Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的防火墙服务模块)
Q. 什么是防火墙服务模块?
A. 防火墙服务模块(FWSM)是一个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块,可以与总线和交换矩阵进行交互。FWSM可以在Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器中提供状态防火墙功能。
Q. FWSM主要具有哪些特性?
A. FWSM的主要特性包括:
· 高性能,OC-48 或者 5 Gbps 吞吐量,全双工防火墙功能
· 具有整个PIX 6.0软件功能集和PIX 6.2的下列特性:
o 命令授权
o 对象组合
o ILS/NetMeeting修正
o URL过滤改进
· 3M pps 吞吐量
· 支持100个VLAN
·一百万个并发连接
· LAN故障恢复:主从备份模式,设备内部/设备之间
· 利用OSPF/RIP进行动态路由· 每个机箱支持多个模块
Q. 防火墙服务模块(FWSM)和Cisco PIX防火墙之间有何不同?
A. FWSM是Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的一种集成模块--与独立的Cisco PIX防火墙不同。
FWSM建立在Cisco PIX技术的基础之上。
Q. FWSM运行的是什么操作系统?
A. FWSM和Cisco PIX防火墙运行的操作系统都是实时操作系统Finesse。Finesse是一种真正的微核系统,能够提供可重复使用的软件、便于移植的源代码,并可以提高产品质量,减少测试次数,缩短产品上市时间,提高投资回报。
Q. FWSM用什么机制检测流量?
A. FWSM使用与Cisco PIX防火墙相同的检测算法:自适应安全算法(ASA)。ASA是一种状态检测引擎,可以检测流量的完整性。ASA可以使用源和目的地的地址和端口、TCP序列号,以及其他TCP标志,散列IP报头信息。散列的作用相当于指纹,即创建一个独特的代码,表明建立输入或者输出连接的客户端的身份。
如需查看更多的ASA文档,请接入:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_60/config/intro.htm
Q. Cisco PIX防火墙和PWSM的特性有何区别?
A. FWSM支持Cisco PIX防火墙6.0版本的所有功能和6.2版本的某些功能。下表列出了它们的主要区别。如需查看这些区别的详细说明,请参阅"Cisco PIX 与防火墙模块的区别"文档。
特性 | FSM | Cisco PIX |
性能 | 5 Gb | 1.7 Gb |
VLAN标签 | 有 | 无 |
路由 | 动态 | 静态 |
故障恢复使用许可 | 不需要 | 需要 |
××× 功能 | 无 | 有 |
IDS 签名 | 无 | 有 |
最大接口数 | 100 | 10 |
输入控制列表(ACL)支持 | 128000 | 2M |
Q. FWSM的性能如何?
A. 总性能约为5Gbps。FWSM可以每秒支持一百万个并发连接,并且每秒可以建立超过10万个连接。
Q. 装有FWSM的Catalyst 6500主要部署在什么地方?
A. 装有FWSM的Cisco Catalyst 6500 系列可以提供目前性能最高的防火墙功能--它能够让企业将多种关键任务型防火墙功能整合到一个设备之中,从而减少分散的防火墙的个数,简化对多个防火墙的管理。FWSM主要部署在企业园区的边缘和分布点。
Q. FWSM所能支持的最低的软件版本是多少?
A. 最低的IOS软件版本是12.1(13)E,而综合CatOS的最低版本是7.5(1)。
Q. FWSM支持交换矩阵吗?
A. 是的,FWSM支持交换矩阵。它具有一条与总线的连接和一条与交换矩阵的连接。
Q. FWSM是否利用热备份路由协议(HSRP)实现冗余?
A. 不是。主FWSM和冗余FWSM都使用与Cisco PIX防火墙相同的协议交换逻辑更新和状态信息。
Q. 怎样将流量发送给FWSM?该模块是否具有外部端口?
A. FWSM上没有外部端口。系统会给FWSM分配一些传输流量的VLAN,这些VLAN上的流量将获得防火墙的保护。
Q. FWSM是否支持冗余?
A. FCS可以提供状态防火墙故障恢复。FWSM采用了独特的设计,可以结合PIX状态故障恢复功能。FWSM模块可以安装在同一个或者另外一个Catalyst 6500系列交换机中。
Q. FWSM是否支持路由协议?
A. 是的,它支持开放最短路径优先(OSPF)和路由信息协议(RIP)。
Q. 在订购FWSM时,我应当使用什么产品编号?
A. FWSM的产品编号为:
产品编号 | 说明 |
WS-SVC-FWM-1-K9 | 用于Cisco Catalyst 6500的防火墙服务模块 |
WS-SVC-FWM-1-K9= | 用于Cisco Catalyst 6500的防火墙服务模块(备件) |
SC-SVC-FWM-1.1-K9 | 用于Catalyst 6500的防火墙模块软件 |
SC-SVC-FWM-1.1-K9= | 用于Catalyst 6500的防火墙模块软件(备件) |
Q. FWSM是否具有使用许可选项?
A. 没有,该模块没有任何受限的和不受限的使用许可选项。
Q. FWSM使用的是什么三重数据加密标准(3DES)软件?
A. FWSM上的加密功能只能用于北京舞蹈用品专卖店)掌声教学反思)网络管理。您不能用该模块上的3DES软件进行远程接入或者站点间隧道端接。
Q. 模块软件是否内置3DES软件,我是否需要单独订购该软件?
A. 3DES 与软件镜像捆绑提供。您不需要单独订购该软件。
Q. 机载闪存和DRAM内存有多大,我能否升级DRAM?
A. FWSM的闪存为128MB,DRAM内存为1GB。内存无法现场升级。
Q. FWSM获得了什么认证?
A. 我们将在2002日历年度的第四季度之前获得ICSA认证。
Q. 我是否可以在FWSM上连接远程虚拟专用网(×××)用户?
A. 不行,FWSM不能提供×××功能。
Q. 我是否可以在同一个机箱中安装多个模块?
A. 可以,每个机箱最多可以安装四个模块。
Q. FWSM是否支持组播功能?
A. 最初的版本不能支持组播功能,但是组播支持将在未来的版本中提供。
Q. 我是否可以在同一个设备中安装和运行FWSM和IPSec ×××加速模块?
A. 不能。最初版本的IOS镜像不能互相兼容,因而不能将这两个模块安装在同一个设备中。
Q. FWSM是否支持IDSM***检测模块?
A. 防火墙服务模块和IDS模块可以共存于同一个设备中。由于IDS模块是一个从设备,所以获得防火墙保护的VLAN也可以拓展到IDS模块,进行***检测。
Q. FWSM是否可以提供拒绝服务/DDoS检测和管理功能?
A. 可以。FWSM可以根据协议或者地址设置阀值、日志和配置。
Q. FWSM可以发现哪些拒绝服务***?
A. 它可以发现下列***:
o ICMP Flood
o UDP Flood
o Ping of Death
o IP Spoofing
o IP源路由选项
Q. FWSM是否支持IP源路由过滤功能?
A. IP源路由过滤功能由IOS提供。
Q. FWSM是否可以支持URL/HTTP过滤?
A. 是的,需要通过像Websense这样的Web过滤工具。
Q. FWSM缺省的安全设置是什么?
A. FWSM会拒绝所有方向上的所有分组,包括来自于管理接口的探测流量。
Q. FWSM是否可以提供高可用性的主/主备份支持?
A. FWSM 目前可以提供主/从备份支持。主/主备份支持目前正在研究之中。
Q. FWSM的主/从冗余功能是否可以提供无缝的故障恢复?
A. 北京舞蹈用品专卖店)掌声教学反思)婴幼儿奶粉配方)北京市企业信用网可以。
Q. FWSM是否支持流量整型?
A. FWSM可以通过Catalyst 6500线卡支持流量整型,这种线卡可以为FWSM提供VLAN接口。
Q. FWSM是否支持QoS机制和速率限制?
A. 可以,它支持Catalyst 6500的所有QoS功能。
Q. FWSMD是否支持安全的带外管理?
A. 可以,通过管理VLAN上的IPSec。
Q. FWSM是否支持Traceroute和ping?
A. 如果获得明确许可就可以支持。缺省状态下不支持。
Q. 应当用什么应用配置FWSM和监控系统日志流量?
A. 在最初的版本中,用户可以通过CLI 和Cisco PIX设备管理器(PDM)管理FWSM。PDM可以通过基于向导的菜单帮助用户进行防火墙配置。
FWSM,先就提问这么多问题吧,如果能掌握,对企业面试有很大的好处啊。
转载于:https://blog.51cto.com/dnsdhcp/597032