FWSM配置注意点以及心得

1、FWSM与pix和ASA不同，默认FWSM不允许ping虚拟防火墙的任何端口，若想让ping,需要必须在端口上打 开(icmp permit any inside/outside)； Cisco CCNP培训
PS:本人吃过大亏,升级OS时死活ping不同FTP SERVER,搞了好久才发现FWSM有这特性,汗!!!
还有是ping网关只能ping非本地Vlan的。

2、FWSM与pix和ASA的另一个不同是 ubuntu 11.04：默认FWSM不允许从安全级别高的端口到安全级别底网络的访问，除非用acl明确允许（从安全级别高到安全 级别底方向的访问也需要写acl并应用到高安全级别端口上明确允许，才能访问）；而pix和asa默认是允许许从安全级别高的 bt4端口到安全级别底网络的访 问，并不需要写acl应用到高安全级别端口明确允许；
注意!!!在same-security permit打开的情况下，ASA默认允许同一安全等级访问,而不需要ACL放行

3,7.2的FWSM,ACL可以写OUT方向了,6.3不可以 思科路由器

4.7.0和FWSM允许同一安全等级的接口之间互相访问,可以通过same-security-traffic permit inter-interface解决.6.3不可以

5、FWSM默认只支持两个security context(不 无线网络密码破解包括 admin context)。这和ASA一样

6、从single 转换成 multiple模式时，有时输入mode multiple防火墙模块自动重起后，使用show mode 命令查看时仍然显示为single模式，需多次输入命令mode 思科模拟器multiple时,才能转换成multiple context模式(用show mode命令会显示)，这个现象比较怪，版本为2.3(3)。

7、同一安全等级接口只要在敲了same-security-traffic permit inter-interface命令情况下，不需要任何NAT，同一安全等级的接口之间就能互相访问， 思科论坛如果在NAT－control打开的情况下，配置了 动态NAT或PAT的话，那么同一安全等级接口的访问将受到NAT规则的控制，但STATIC NAT不受这个限制

8、配置好开通HTTP可以用ASDM，最好更新到新版（当然有好处啦~） Ubuntu