前一段时间实施过两个关于FWSM调试的项目,现总结以下几点值得注意的地方:
1、FWSM与pix和ASA不同,默认FWSM不允许ping虚拟防火墙的任何端口,若想让ping,需要必须在端口上打开(icmp permit any inside/outside);
2、FWSM与pix和ASA的另一个不同是:默认FWSM不允许从安全级别高的端口到安全级别底网络的访问,除;非用acl明确允许(从安全级别高到安全级别底方向的访问也需要写acl并应用到高安全级别端口上明确允许,才能访问);而pix和asa默认是允许许从安全级别高的端口到安全级别底网络的访问,并不需要写acl应用到高安全级别端口明确允许;
3、FWSM默认只支持两个security context(不包括 admin context)。
4、从single 转换成 multiple模式时,有时输入mode multiple防火墙模块自动重起后,使用show mode命令查看时仍然显示为single模式,需多次输入命令mode multiple时,才能转换成multiple context模式(用show mode命令会显示),这个现象比较怪,版本为2.3(3)。
5、FWSM配置为透明模式时,尽管与透明防火墙的FWSM的inside和outside两个逻辑端口关联的vlan是两个不同的 vlan(如nameif vlan88 inside security100 nameif vlan100 outside security0),但是从cat6500上互连出去的ip与inside 或outside(取决于mfsc和fwsm的逻辑位置)互连的mfsc侧的逻辑端口ip必须是同一网段的ip。上次做项目时就是忽略这个细节,还是 LeoLi帮检查出来的。
责任编辑:小草
您现在的位置: 