FWSM配置注意点以及心得

1、FWSM与pix和ASA不同,默认FWSM不允许ping虚拟防火墙的任何端口,若想让ping,需要必须在端口上打 开(icmp permit any inside/outside);
PS:本人吃过大亏,升级OS时死活ping不同FTP SERVER,搞了好久才发现FWSM有这特性,汗!!!
还有是ping网关只能ping非本地Vlan的。

2、FWSM与pix和ASA的另一个不同是:默认FWSM不允许从安全级别高的端口到安全级别底网络的访问,除非用acl明确允许(从安全级别高到安全级别底方向的访问也需要写acl并应用到高安全 级别端口上明确允许,才能访问);而pix和asa默认是允许许从安全级别高的端口到安全级别底网络的访问,并不需要写acl应用到高安全级别端口明确允许;
注意!!!在same-security permit打开的情况下,ASA默认允许同一安全等级访问,而不需要ACL放行

3,7.2的FWSM,ACL可以写OUT方向了,6.3不可以

4.7.0和FWSM允许同一安全等级的接口之间互相访问,可以通过same-security-traffic permit inter-interface解决.6.3不可以

5、FWSM默认只支持两个security context(不包括 admin context)。这和ASA一样

6、从single 转换成 multiple模式时,有时输入mode multiple防火墙模块自动重起后,使用show mode 命令查看时仍然显示为single模式,需多次输入命令mode multiple时,才能转换成multiple context模式(用show mode命令会显示),这个现象比较怪,版本为2.3(3)。
 
7、同一安全等级接口只要在敲了same-security-traffic permit inter-interface命令情况下,不需要任何NAT,同一安全等级的接口之间就能互相访问,如果在NAT-control打开的情况下,配置了动态NAT或PAT的话,那么同一安全等级接口的访问将受到NAT规则的控制,但STATIC NAT不受这个限制
 
8、配置好开通HTTP可以用ASDM,最好更新到新版(当然有好处啦~)

本文出自 “swver的博客” 博客,谢绝转载!

你可能感兴趣的:(职场,Cisco,休闲,FWSM)