最近做工程用到了FWSM,關於FWSM我做了專門的學習,考慮到企業招聘中關於FWSM,會有一定的問題,就總結如下:
Cisco Catalyst 6500系列交換機和Cisco 7600系列互聯網路由器的防火牆服務模塊)
Q. 什麼是防火牆服務模塊?
A. 防火牆服務模塊(FWSM)是一個Catalyst 6500系列多千兆位防火牆模塊。FWSM是一種支持交換矩陣的模塊,可以與總線和交換矩陣進行交互。FWSM可以在Cisco Catalyst 6500系列交換機和Cisco 7600系列互聯網路由器中提供狀態防火牆功能。
Q. FWSM主要具有哪些特性?
A. FWSM的主要特性包括:
· 高性能,OC-48 或者 5 Gbps 吞吐量,全雙工防火牆功能
· 具有整個PIX 6.0軟件功能集和PIX 6.2的下列特性:
o 命令授權
o 對象組合
o ILS/NetMeeting修正
o URL過濾改進
·
· 支持100個VLAN
·一百萬個併發連接
· LAN故障恢復:主從備份模式,設備內部/設備之間
· 利用OSPF/RIP進行動態路由· 每個機箱支持多個模塊
Q. 防火牆服務模塊(FWSM)和Cisco PIX防火牆之間有何不同?
A. FWSM是Cisco Catalyst 6500系列交換機和Cisco 7600系列互聯網路由器的一種集成模塊--與獨立的Cisco PIX防火牆不同。
FWSM建立在Cisco PIX技術的基礎之上。
Q. FWSM運行的是什麼操作系統?
A. FWSM和Cisco PIX防火牆運行的操作系統都是實時操作系統Finesse。Finesse是一種真正的微核系統,能夠提供可重複使用的軟件、便於移植的源代碼,並可以提高產品質量,減少測試次數,縮短產品上市時間,提高投資回報。
Q. FWSM用什麼機制檢測流量?
A. FWSM使用與Cisco PIX防火牆相同的檢測算法:自適應安全算法(ASA)。ASA是一種狀態檢測引擎,可以檢測流量的完整性。ASA可以使用源和目的地的地址和端口、TCP序列號,以及其他TCP標誌,散列IP報頭信息。散列的作用相當於指紋,即創建一個獨特的代碼,表明建立輸入或者輸出連接的客戶端的身份。
如需查看更多的ASA文檔,請接入:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_60/config/intro.htm
Q. Cisco PIX防火牆和PWSM的特性有何區別?
A. FWSM支持Cisco PIX防火牆6.0版本的所有功能和6.2版本的某些功能。下表列出了它們的主要區別。如需查看這些區別的詳細說明,請參閱"Cisco PIX 與防火牆模塊的區別"文檔。
|
特性 |
FSM |
Cisco PIX |
|
性能 |
5 Gb |
1.7 Gb |
|
VLAN標籤 |
有 |
無 |
|
路由 |
動態 |
靜態 |
|
故障恢復使用許可 |
不需要 |
需要 |
|
××× 功能 |
無 |
有 |
|
IDS 簽名 |
無 |
有 |
|
最大接口數 |
100 |
10 |
|
輸入控制列表(ACL)支持 |
128000 |
|
Q. FWSM的性能如何?
A. 總性能約爲5Gbps。FWSM可以每秒支持一百萬個併發連接,並且每秒可以建立超過10萬個連接。
Q. 裝有FWSM的Catalyst 6500主要部署在什麼地方?
A. 裝有FWSM的Cisco Catalyst 6500 系列可以提供目前性能最高的防火牆功能--它能夠讓企業將多種關鍵任務型防火牆功能整合到一個設備之中,從而減少分散的防火牆的個數,簡化對多個防火牆的管理。FWSM主要部署在企業園區的邊緣和分佈點。
Q. FWSM所能支持的最低的軟件版本是多少?
A. 最低的IOS軟件版本是12.1(13)E,而綜合CatOS的最低版本是7.5(1)。
Q. FWSM支持交換矩陣嗎?
A. 是的,FWSM支持交換矩陣。它具有一條與總線的連接和一條與交換矩陣的連接。
Q. FWSM是否利用熱備份路由協議(HSRP)實現冗餘?
A. 不是。主FWSM和冗餘FWSM都使用與Cisco PIX防火牆相同的協議交換邏輯更新和狀態信息。
Q. 怎樣將流量發送給FWSM?該模塊是否具有外部端口?
A. FWSM上沒有外部端口。系統會給FWSM分配一些傳輸流量的VLAN,這些VLAN上的流量將獲得防火牆的保護。
Q. FWSM是否支持冗餘?
A. FCS可以提供狀態防火牆故障恢復。FWSM採用了獨特的設計,可以結合PIX狀態故障恢復功能。FWSM模塊可以安裝在同一個或者另外一個Catalyst 6500系列交換機中。
Q. FWSM是否支持路由協議?
A. 是的,它支持開放最短路徑優先(OSPF)和路由信息協議(RIP)。
Q. 在訂購FWSM時,我應當使用什麼產品編號?
A. FWSM的產品編號爲:
|
產品編號 |
說明 |
|
WS-SVC-FWM-1-K9 |
用於Cisco Catalyst 6500的防火牆服務模塊 |
|
WS-SVC-FWM-1-K9= |
用於Cisco Catalyst 6500的防火牆服務模塊(備件) |
|
SC-SVC-FWM-1.1-K9 |
用於Catalyst 6500的防火牆模塊軟件 |
|
SC-SVC-FWM-1.1-K9= |
用於Catalyst 6500的防火牆模塊軟件(備件) |
Q. FWSM是否具有使用許可選項?
A. 沒有,該模塊沒有任何受限的和不受限的使用許可選項。
Q. FWSM使用的是什麼三重數據加密標準(3DES)軟件?
A. FWSM上的加密功能只能用於北京舞蹈用品專賣店)掌聲教學反思)網絡管理。您不能用該模塊上的3DES軟件進行遠程接入或者站點間隧道端接。
Q. 模塊軟件是否內置3DES軟件,我是否需要單獨訂購該軟件?
A. 3DES 與軟件鏡像捆綁提供。您不需要單獨訂購該軟件。
Q. 機載閃存和DRAM內存有多大,我能否升級DRAM?
A. FWSM的閃存爲128MB,DRAM內存爲1GB。內存無法現場升級。
Q. FWSM獲得了什麼認證?
A. 我們將在2002日曆年度的第四季度之前獲得ICSA認證。
Q. 我是否可以在FWSM上連接遠程虛擬專用網(×××)用戶?
A. 不行,FWSM不能提供×××功能。
Q. 我是否可以在同一個機箱中安裝多個模塊?
A. 可以,每個機箱最多可以安裝四個模塊。
Q. FWSM是否支持組播功能?
A. 最初的版本不能支持組播功能,但是組播支持將在未來的版本中提供。
Q. 我是否可以在同一個設備中安裝和運行FWSM和IPSec ×××加速模塊?
A. 不能。最初版本的IOS鏡像不能互相兼容,因而不能將這兩個模塊安裝在同一個設備中。
Q. FWSM是否支持IDSM***檢測模塊?
A. 防火牆服務模塊和IDS模塊可以共存於同一個設備中。由於IDS模塊是一個從設備,所以獲得防火牆保護的VLAN也可以拓展到IDS模塊,進行***檢測。
Q. FWSM是否可以提供拒絕服務/DDoS檢測和管理功能?
A. 可以。FWSM可以根據協議或者地址設置閥值、日誌和配置。
Q. FWSM可以發現哪些拒絕服務***?
A. 它可以發現下列***:
o ICMP Flood
o UDP Flood
o
o IP Spoofing
o IP源路由選項
Q. FWSM是否支持IP源路由過濾功能?
A. IP源路由過濾功能由IOS提供。
Q. FWSM是否可以支持URL/HTTP過濾?
A. 是的,需要通過像Websense這樣的Web過濾工具。
Q. FWSM缺省的安全設置是什麼?
A. FWSM會拒絕所有方向上的所有分組,包括來自於管理接口的探測流量。
Q. FWSM是否可以提供高可用性的主/主備份支持?
A. FWSM 目前可以提供主/從備份支持。主/主備份支持目前正在研究之中。
Q. FWSM的主/從冗餘功能是否可以提供無縫的故障恢復?
A. 北京舞蹈用品專賣店)掌聲教學反思)嬰幼兒奶粉配方)北京市企業信用網可以。
Q. FWSM是否支持流量整型?
A. FWSM可以通過Catalyst 6500線卡支持流量整型,這種線卡可以爲FWSM提供VLAN接口。
Q. FWSM是否支持QoS機制和速率限制?
A. 可以,它支持Catalyst 6500的所有QoS功能。
Q. FWSMD是否支持安全的帶外管理?
A. 可以,通過管理VLAN上的IPSec。
Q. FWSM是否支持Traceroute和ping?
A. 如果獲得明確許可就可以支持。缺省狀態下不支持。
Q. 應當用什麼應用配置FWSM和監控系統日誌流量?
A. 在最初的版本中,用戶可以通過CLI 和Cisco PIX設備管理器(PDM)管理FWSM。PDM可以通過基於嚮導的菜單幫助用戶進行防火牆配置。
FWSM,先就提問這麼多問題吧,如果能掌握,對企業面試有很大的好處啊。