Cisco Catalyst 6509交换机FWSM防火墙模块配置资料大全

network · 发表于 2007-10-5 03:51:50

Cisco FWSM 模块简明配置！！！

ios版本：12.2i
防火墙模块操作系统版本：
路由模式
此主题相关图片如下(图1)：

把vlan 7 和 vlan 9 分别作为内外接口，vlan 8作为DMZ口。
通过vlan 5 与交换机连接
步骤1.把VLAN划分到防火墙模块中
7609(config)#firewall vlan-group 1 7-9
/*把vlan7-9划分到vlan-group 1中
7609(config)#firewall module 3 vlan-group
/*把 vlan-group 1 划分到 module 3中（即防火墙模块，有可能有2块）
步骤2.把SVI口划分到交换机中，如果相应的vlan需要路由的话，如果不需要路由则不需要.
7609(config)#inter vlan
7609(config-if)#ip addr 10.1.3.2 255.255.255.0
/*这样就可以以把vlan 7的流量路由到其他VLAN中了。
步骤3.登陆到防火墙模块
7609#session slot 3 processor 1
/* 3代表防火墙模块
步骤4.选择单context或者多context模式
FWSW(config)#mode single
/* 这里我选择单context模式，多context模式后叙。配置文档开始收，不管单模式还是多模式，配置文件都需要指定，但是后面的配置实例在

单模式下是不需要指定的，明天去验证
步骤5.配置context
/* 我这里选择是单模式，所以不需要配置。在配置多模式的时候再讨论
步骤6.在context模式和系统模式下切换
/* 我这里选择是单模式，所以不需要配置。在配置多模式的时候再讨论
步骤7.配置路由或者透明模式
FWSW(config)#no firewall transparent
/* 默认就是路由模式，所以在这里不需要修改/
步骤8.在路由模式下配置接口
FWSW(config)#inter vlan 7
FWSW(config-if)#ip addr 10.1.3.1 255.255.255.0
FWSW(config-if)#nameif inside
FWSW(config-if)#security-level
FWSW(config)#inter vlan 8
FWSW(config-if)#ip addr 192.168.1.1 255.255.255.0
FWSW(config-if)#nameif DMZ
FWSW(config-if)#security-level 50
FWSW(config)#inter vlan 9
FWSW(config-if)#ip addr 202.95.15.26 255.255.255.252
FWSW(config-if)#nameif outside
FWSW(config-if)#security-level 0
步骤9.配置路由
FWSW(config)#route 0 0 202.95.15.25
FWSW(config)#route 10.1.1.0 10.1.3.2
FWSW(config)#route 10.1.2.0 10.1.3.2
步骤10.配置NAT#
FWSW(config)#access-list to_internet permit ip 10.1.1.0 255.255.255.0 any
FWSW(config)#access-list to_internet permit ip 10.1.2.0 255.255.255.0 any
FWSW(config)#nat (inside) 1 access-list to_internet
FWSW(config)#global (outside) 1 interface0
FWSW(config)#static (inside,outside) tcp 202.95.15.26 80 192.168.1.2 80
access-list webserver permit tcp any 202.95.15.26 80
access-group webserver in interface outside
交换机配置：
7609(config)#inter vlan 5
7609(config-if)#ip addr 10.1.2.1 255.255.255.0
7609(config)#inter vlan 6
7609(config-if)#ip addr 10.1.1.1 255.255.255.0
7609(config)#inter vlan 7
7609(config-if)#ip addr 10.1.3.2 255.255.255.0
/*把SVI划到MSFC中，这样就可以就可以路由VLAN之间的流量了
7609(config)#ip route 0.0.0.0 0.0.0.0 10.1.3.1
桥接模式
步骤7.配置路由或者透明模式
FWSW(config)#firewall transparent
步骤8.在透明模式下配置接口
FWSW(config)#inter vlan 7
FWSW(config-if)#bridge-group 10
FWSW(config-if)#nameif inside
FWSW(config-if)#security-level 100
FWSW(config)#inter bvi 10
FWSW(config)#inter vlan 9
FWSW(config-if)#bridge-group 10
FWSW(config-if)#nameif outside
FWSW(config-if)#security-level 0
FWSW(config)#inter bvi 10
/*前面定义的组
FWSW(config-if)#ip addr 202.15.25.2 255.255.255.0
/*管理IP地址
在定义group的IP地址时候不要把子网划分少于3个IP地址，因为默认防火墙会过滤这个第一个和最后一个IP地址的.
步骤9.配置路由
/*假设对端ip地址是202.15.25.1 group ip为202.15.25.2 MSFC对应IP202.15.25.3
FWSW(config)#route 0 0 202.95.15.1
/*一般不需要访问外部网络
FWSW(config)#route 10.1.1.0 202.95.15.3 FWSW(config)#route 10.1.2.0 202.95.15.3 步骤10.放行相应的流量
交换机配置:
7609(config)#inter vlan 5
7609(config-if)#ip addr 10.1.2.1 255.255.255.023IR
7609(config)#inter vlan 6
7609(config-if)#ip addr 10.1.1.1 255.255.255.0
7609(config)#inter vlan 7
7609(config-if)#ip addr 202.95.15.3 255.255.255.0
7609(config)#ip route 0.0.0.0 0.0.0.0 202.95.15.1

图片附件: 图1.JPG (2006-10-23 11:23 AM, 19.8 K)

network · 发表于 2007-10-5 04:08:44

FWSM 配置经验

这是本人第一次配置FWSM模块.所以经验欠缺.谢谢LEOLI斑竹的帮助．
刚开始的时候对FWSM认识很模糊，对它的虚拟防火墙保护每个VLAN的概念认识不是太清楚．
所以就导致了在配置透明模式的时候
关联vlan-group的时候　把下面所有的VLAN 从2-1001
直接用firewall  vlan-group 2 2-1001 做了关联．
或许是受cisco 专家论坛这句话的影响
＂问题A的答复：FWSM作transparent时不需要multiple mode。

问题B,C,D的答复：在step4中，你还处在System Context中，System context 是用来管理用的，不适用于用户的流量保护，所以你说的这些命令无效，请进入使用命令“changeto context admin”进入admin context就可以了。

＂
认为配置mode single 模式下　依然可以通过changto contex admin 进入context admin 模式进行配置．
第２种认识　在不同ＯＳ版本下创建区域的模式也是不相同的．
有的是可以直接通过int vlan  nameif去做．
而有的是直接nameif vlanid inside sec0 去做．

以下是今天在客户那边做的配置

FWSM# show run
: Saved
:
FWSM Version 2.3(4)
firewall transparent
nameif vlan6 outside security0
nameif vlan5 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname FWSM
ftp mode passive
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 H225 1720
fixup protocol h323 ras 1718-1719
fixup protocol rsh 514
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list deny-flow-max 4096
access-list alert-interval 300
access-list icmp extended permit icmp any any
access-list in_acl extended deny tcp any any eq 135
access-list in_acl extended deny tcp any any eq netbios-ssn
access-list in_acl extended deny tcp any any eq 445
access-list in_acl extended deny tcp any any eq 4444
access-list in_acl extended deny udp any any eq 135
access-list in_acl extended deny udp any any eq 139
access-list in_acl extended deny tcp any any eq 1434
access-list in_acl extended deny udp any any eq 1434
access-list in_acl extended deny tcp any any eq 1433
access-list in_acl extended deny udp any any eq 1433
access-list in_acl extended deny udp any any eq netbios-dgm
access-list in_acl extended deny tcp any any eq 593
access-list in_acl extended deny udp any any eq tftp
access-list in_acl extended deny udp any any eq netbios-ns
access-list in_acl extended deny udp any any eq 15584
access-list in_acl extended deny tcp any any eq 7626
access-list in_acl extended deny tcp any any eq ldap
access-list in_acl extended deny tcp any any eq 5554
access-list in_acl extended deny tcp any any eq 9996
access-list in_acl extended deny tcp any any eq 455
access-list in_acl extended deny udp any any eq 3128
access-list in_acl extended deny udp any any eq 12754
access-list in_acl extended deny udp any any eq 7000
access-list in_acl extended deny tcp any any eq 27665
access-list in_acl extended deny udp any any eq 31335
access-list in_acl extended deny udp any any eq 27444
access-list in_acl extended deny tcp any any eq 16660
access-list in_acl extended deny tcp any any eq 39168
access-list in_acl extended deny tcp any any range 6711 6712
access-list in_acl extended deny tcp any any eq 7000
access-list in_acl extended permit icmp any any echo-reply
access-list in_acl extended permit eigrp any any
access-list in_acl extended permit ip any any
access-list in-acl extended deny tcp any any eq 65000
access-list in-acl extended deny tcp any any eq 33270
access-list in-acl extended deny tcp any any eq 6776
access-list in-acl extended deny tcp any any eq 6669
access-list in-acl extended deny tcp any any eq 2222
access-list out_acl extended deny tcp any any eq 135
access-list out_acl extended deny tcp any any eq netbios-ssn
access-list out_acl extended deny tcp any any eq 445
access-list out_acl extended deny tcp any any eq 4444
access-list out_acl extended deny udp any any eq 135
access-list out_acl extended deny udp any any eq 139
access-list out_acl extended deny tcp any any eq 1434
access-list out_acl extended deny udp any any eq 1434
access-list out_acl extended deny tcp any any eq 1433
access-list out_acl extended deny udp any any eq 1433
access-list out_acl extended deny udp any any eq netbios-dgm
access-list out_acl extended deny tcp any any eq 593
access-list out_acl extended deny udp any any eq tftp
access-list out_acl extended deny udp any any eq netbios-ns
access-list out_acl extended deny udp any any eq 15584
access-list out_acl extended deny tcp any any eq 7626
access-list out_acl extended deny tcp any any eq ldap
access-list out_acl extended deny tcp any any eq 5554
access-list out_acl extended deny tcp any any eq 9996
access-list out_acl extended deny tcp any any eq 455
access-list out_acl extended deny udp any any eq 3128
access-list out_acl extended deny udp any any eq 12754
access-list out_acl extended deny udp any any eq 7000
access-list out_acl extended deny tcp any any eq 27665
access-list out_acl extended deny udp any any eq 31335
access-list out_acl extended deny udp any any eq 27444
access-list out_acl extended deny tcp any any eq 16660
access-list out_acl extended deny tcp any any eq 65000
access-list out_acl extended deny tcp any any eq 33270
access-list out_acl extended deny tcp any any eq 39168
access-list out_acl extended deny tcp any any range 6711 6712
access-list out_acl extended deny tcp any any eq 6776
access-list out_acl extended deny tcp any any eq 6669
access-list out_acl extended deny tcp any any eq 2222
access-list out_acl extended deny tcp any any eq 7000
access-list out_acl extended permit ip any any
access-list out-acl extended permit eigrp any any
pager lines 24
logging buffer-size 4096
mtu outside 1500
mtu inside 1500
ip address  1.1.1.2 255.255.255.0
no failover
failover lan unit secondary
failover polltime unit 1 holdtime 15
failover polltime interface 15
failover interface-policy 50%
icmp permit any outside
icmp permit any inside
no pdm history enable
arp timeout 14400
access-group out_acl in interface outside
access-group in_acl in interface inside
!
interface outside
!
!
interface inside
!

!

route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
floodguard enable
fragment size 200 outside
fragment chain 24 outside
fragment size 200 inside
fragment chain 24 inside
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:b2ef66e1a71b3eedf3336cfe2301fe9e
: end

但是加上后　发现下面的客户端有２０％不能通过计费．远程把配置还原为默认时，故障排除．明天准备去现场在恢复一下现象．
觉得是不是FWSM模块内置的ＩＤＳ产生了误报．
在想一个问题：　ＭＳＦＣ可以和ＦＷＳＭping  通　１.1.1.1 ping 1.1.1.2
但是怎么样才能表示数据包的一个经过ＦＷＳＭ的流程呢？
客户ＩＤＳ里面经常检测到这两种风险．想通过ＦＷＳＭ可以限制．但是目的端口都是８０
不知道高人有没有好的方法．
另外ＦＷＳＭ默认开启的有几种ＤＯＳ攻击防护呢

network · 发表于 2007-10-5 04:12:53

简单部署单出口防火墙的问题

纵观高校网络架构和Cernet 网络的部署，均是采用路由器作为出口路由的解决方案，其架构是经过互联网多年发展形成的合理型拓扑架构
使用防火墙独立作为校园网网络出口将会原本只承担安全防范作用的设备有承担了复杂路由的任务，务必会影像其性能和功能的发挥及稳定。
将防火墙直接暴露在公网上将会给黑客提供更好的攻击机会，因为黑客多以攻击防火墙为第一目标，且网络上直接攻击防火墙的方法和方式最为普遍，所以如果将校园网唯一的安全屏障直接暴露于外网，将会带来很大的安全隐患。
高校与Cernet互连已经是一个客观存在的事实，而IPv6的发展和使用也是一个不可阻挡的趋势，所以复杂路由协议的转换及IPv4－Ipv6的过渡都需要高性能路由器来完成，这是防火墙所不能替代的，所以如果只是将防火墙作为出口网管设备那么则无法实现未来网络的扩展。
目前防火墙的使用均是采用三层(路由)的形式，即需要实现NAT、PAT转换，那么防火墙就无法更好的胜任或参与复杂路由计算中去，即使是Ipv4的路由运算都会造成防火墙性能和功能上的障碍，因为防火墙内部机构无法将路由计算和安全策略部署层面的功能独立进行。
从部署架构来看，单出口防火墙存在严重的不合理性：首先，是不对称路由问题，双出口已经是校园网客观存在的事实，可是部署单一防火墙一定会有不对称路由问题的产生，这已经是长期以来存在的问题，若部署双出口独立防火墙虽然可以解决此问题，单大大增加了网络拓扑结构的复杂性，同时也会由于设备的增加带来互连物理端口的浪费和多故障点的产生。其次，如果是单出口防火墙也会形成单点故障问题，若通过双出口防火墙解决，那么会给计费网管、认证网管，流量控制网管等网管设备的部署带来极大问题。
从网络发展来看，统一安全平台已经是一个趋势，也就是为什么现在业界厂商均研制UTM（统一威胁管理）设备的原因，就是要将安全防范设备尽可能的集成，将路由和安全分开。
许多厂商都没有自己品牌或研发的高端路由器，甚至根本，没有路由器，所以毕竟会给未来网络的整体性和扩展性带来致命问题。
总体来说部署内置FW是理想的选择，在业界也只有思科能够做到，将FW与交换机完美地融合!!

network · 发表于 2007-10-5 04:13:15

FWSM故障排除过程以及解决方案

现场客户描述记录：
问题说明：
31号晚上近11点时候网络忽然出了问题，现象就是无法用WWW访问外网，但内网可以访问（可以访问校园内部www服务器）。
我们首先作的诊断如下：
《1》、园区网内网关X.X.80.254以及202.112.X.X（防火墙外口）都可以PING通。
《2》、防火墙上还有流量，大约有几百兆样子（通过SCE2020观测流量得知）。
《3》、域名服务无法解释出外网地址，但校内域名解释正常-------DNS服务器在防火墙里面。
对于这个现象，我们第一反映是：学校域名服务不象出问题了，那会不会是教育网域名出的问题呢？
于是，通过SSH登陆到清华的一台机器上，发现他们的域名很正常，说明不是教育网的问题。而因为防火墙一些不是域名的服务好象没出问题（最起码它有流量，并且CERNET也能够PING通外口地址），因此根本没想到是防火墙的问题，于是以为是域名问题。

域名服务器上日志显示是 no more recursive clients: quota reached. 开始是以为域名受攻击了，然后把recursive值变大，把防火墙设上甚至切换服务仍旧解决不了问题，这时候就有些迷惑。查了一下日志，找出了域名请求比较频繁的地址，想在防火墙上把它过滤掉。

这时候问题出来了，我能够很顺利的登陆到思科6509路由器上（SUP720），但是使用session slot 7 processor 1 登陆到防火墙模块时候就等待半天也进不去。开始是以为我的机器的问题，于是又通过控制端口用笔记本登陆，现象仍旧是一样的，就是防火墙模块进不去。这时候，终于知道问题出在防火墙上边了！

得出的结论就是：
1、问题出在防火墙上。
2、此时的现象是：防火墙并没有完全死掉，一些服务还能出去，但校内域名服务出现了问题。同时从sup720引擎使用session slot 7 processor 1命令已经无法登陆防火墙模块（防火墙模块插在第七插槽），说明问题出在防火墙模块上！！！

之后向cisco开个case
Cisco给的解释：
Hi,dear ge:
  I suggested you to upgrade the fwsm IOS to 2.3.4.(8), and make sure remove following commands from your fwsm configuration:
   root cause:Bug CSCse15099
   workaround:
      1.clear xlate -------> The FWSM can stop forwarding traffic and start printing a message about failure to allocate a translation

   solution: software upgrade ****note, disable h323 fixup to prevent from FWSM crash**************** (Remove h323 inspection with by removing the commands:
         inspect h323 h225
         inspect h323 ras )

Best Regards!!

Tel: (8610) 85155566
email:juyao@cisco.com

在cisco网站上查找bug--- Bug CSCse15099，得出的结论：
CSCse15099 Bug Details

Headline       FWSM may crash at fast_fixup
Product       c6k-fwm
Feature       Address Translation Components
Duplicate of
Severity       3  Severity help
Status       Verified  Status help

First Found-in Version       3.1(1.4)       First Fixed-in Version       3.1(2), 3.2(0.1), 2.3(4.1), 3.1(1.10)  Version help

Release Notes
Symptom:
The problem can be experienced in different ways, even though the root cause is the same:
1) An FWSM may crash at Thread Name: fast_fixup.
2) The FWSM can stop forwarding traffic and start printing a message about failure to allocate a translation
3) the FWSM can hung and most of the show commands might not return the output
The root cause for this is a corruption in the translation table that is preventing the FWSM from processing new connection and from responding to query commands like 'sh xlate'
Workaround:
The root cause has been determined in a corruption in the xlate table that might occur when using extensively PAT translations with or without voice protocols involved.
Further Problem Description:
We have observed this behavior in an FWSM running mulit-context routed mode. A reload may be needed to recover.

network · 发表于 2007-10-5 04:13:31

FWSM 3.2 新特性索引参考

[size=+0]FWSM 3.2 is a feature rich release that focuses in the areas of flexible management options, scalability improvements, expanded inspection support, network collaboration, and network integration.

A summary of the features are as follows:

Flexible Management Options
SNMP enhancements
AAA in system context
Command authorization enhancements

Scalability Improvements
Knob for dynamic reallocation of limits
URL Filtering feature performance

Expanded Inspection Support
MS-RPC Inspection feature
Support for H.323 GUP
RTSP PAT support
SIP enhancements

Network Collaboration
Interoperability with WAAS

Enhanced Network Integration
Transparent Firewall NAT/PAT
TCP state bypass
(non TCP) timeout on per flow basis
GGSN load-balancing
IOS auto state
DHCP replay - per interface

Routing Support
BGP stub
Miscellaneous features/fixes

Please refer to the following collateral for more information on FWSM 3.2:

Documentation: http://www.cisco.com/en/US/produ ... 186a0080697fb0.html

What's new in v3.2: http://www.cisco.com/en/US/produ ... 00aecd805c34ca.html

ASDM for 3.2: http://www.cisco.com/en/US/produ ... 00aecd803ded77.html

FWSM 3.2 At a Glance: http://www.cisco.com/application ... 900aecd805c34d3.pdf

3.2 Data sheet: http://wwwin.cisco.com/marketing ... 6500_7600_ds_ex.pdf

FWSM EAL4 Certification: http://wwwin.cisco.com/data-shar ... M/eal4_asa_fwsm.ppt

Internal FAQ for 3.2: http://wwwin.cisco.com/data-shar ... .2_internal_faq.pdf

Technical Overview on BGP feature in 3.2: http://bock-bock.cisco.com/~cpag ... Pstub_FWSM_V0.2.pdf

Technical Overview of support for MS-RPC in 3.2: http://bock-bock.cisco.com/~cpag ... /MSRPC-app-note.doc

Understanding ACL memory utilization in 3.2: http://bock-bock.cisco.com/~cpag ... SM-ACL_part_mgr.doc

WP on Deploying FWSM 3.2 with WAAS: http://wwwin.cisco.com/data-shar ... ntegration_v2.0.doc

Technical overview of SNMP MIB enheancements in 3.2: http://bock-bock.cisco.com/~cpag ... .2/SNMP_Summary.pdf

Internal training Material for 3.2:
http://bock-bock.cisco.com/~cpag ... 3.2/FWSM3.2_NPI.ppt
http://wwwin.cisco.com/data-shar ... l_training_v3.2.ppt

Scaling FWSM to 20 Gbps (Flash): http://cisco.partnerelearning.co ... 0&ledefid=20748

VoD on 3.2 features: http://wwwin-tools.cisco.com/cmn/jsp/index.jsp?id=58107 (Chris Paggen)

VoD on 4.0 futures (LAN Campus): http://vsearch.cisco.com/?cid=2095 (Mun Hossain)

External site: http://www.cisco.com/en/US/produ ... 6/ps4452/index.html

network · 发表于 2007-10-5 04:17:31

解决FWSM CPU高的一个办法分享.

CPU Utlilization ProblemThere are many potential reasons for a high CPU load on the FWSM, but one of the most common known reasons is the inspection for Domain Name System (DNS) requests. When many DNS requests are sent and inspected, a high CPU load can occur.
Use the show processes command in order to determine a list of processes that run and what process consumes much of the CPU time.
SolutionIn order to resolve this issue, disable the DNS inspection. The DNS inspection is enabled by default.
This example shows how to disable DNS inspection:

hostname(config)#policy-map sample_policy hostname(config-pmap)#class dns-porthostname(config-pmap-c)#no inspect dnshostname(config-pmap-c)#exithostname(config)#service-policy sample_policy interface outside

network · 发表于 2007-10-9 21:05:13

(竞争分析篇之FWSM）实现安全域划分思科对应产品解决方案设计思想分析

(竞争分析篇之FWSM）实现安全域划分思科对应产品解决方案设计思想分析

安全域划分度身定做的产品FWSM：

战略理念：安全域隔离系统之五层划分法：
1、物理上隔离：即支持足够种类与数量的物理端口划开Zone（SPF，GE，FE,GBIC )； Sup Engine
2、逻辑上隔离：即支持Virtuall Firewall 功能，同一物理口上可逻辑上划开Zone；          FWSM
3、策略上隔离：即支持足够的策略数在不同的安全Zone 之间，策略上划开服务Zone； FWSM
4、应用上隔离：即支持应用的DPI，能够区分出流量内容，控制Zone之间的业务；          IDSM
5、准入上隔离：即支持网络准入控制，系统能够根据接入端点的系统安全状况，接入不同等级的Zone； NAC实现策略：

  策略一：安全域核心隔离系统 (  Cat6K ＋ FWSM ＋ IDSM ＋ NAC ) 首推客户核心隔离，集中控管
  策略二: 安全域透明隔离系统  （ASA5500 + AIP-SSM ＋MARS） L2即插即用无需改变配置

售前分析思科防火墙模块架构及优势！！！
FWSM 竞争分析：

战略定位：领导高端防火墙发展趋势
1．       协作式安全、槽位化、模块化趋势
5年前，网络的安全边界是防火墙。遇到安全需求，放一个防火墙在那里。但今天网络安全已没有边界。有来自外部的安全威胁，有来自内部的安全威胁。你无法定义边界，办法是通过不同层次的协作式安全解决方案。也就是能够整合交换技术、防火墙技术、VPN技术、防DDoS攻击技术、IPS/IDS技术、防病毒技术于一体，使用多层次的协作式防护来保证网络的安全。基于这个设计思路，思科很早就推出了6500高端防火墙产品，它不仅支持强大的防火墙功能，还可以通过模块化技术集成VPN、防DDoS攻击和IDS等技术，真正体现了高端安全产品的发展趋势。
其它厂商也看到了这个趋势，但它们不具备向思科一样的网络端到端的产品和强大的产品创新能力，无法推出令用户满意的产品，没有受到市场的追捧。如Netscreen没有二层交换技术，而在有高端防火墙需求的地方必然有高端交换机的存在，所以高端防火墙呈现高吞吐量，高端口密度，与核心交换网络紧密结合，并应具备足够的可扩展性和灵活性的特点。这就使Netscreen始终无法做到将安全与网络完美的融合，所以只能局限于单纯防火墙市场的定位。另外一个厂家Crossbeam跟从了这个趋势，学习了思科的设计思路，推出了模块化协作式的安全产品，它是建立在刀片式服务器模块上运行不同厂家的软件来实现的，如Checkpoint防火墙软件，Enterasys的IDS软件，TrendMicro的防病毒软件等，但它的每个模块是一个计算机服务器，而且没有自己的核心技术，在产品的持续发展和技术支持方面，存在很大隐患。
所以只有思科可以做到整合自己的优势资源，利用思科各个方面的领先技术，持续的创新，为用户提供各种技术融合的专业化的高端防火墙产品，领导网络安全发展的趋势。

2．多NP处理架构
防火墙的硬件实现技术主要有三种：Intel X86架构工控机、ASIC硬件加速技术和NP加速技术。
Intel X86
由于基于X86 体系结构的防火墙受CPU处理能力和PCI总线速度的制约，很难满足千兆防火墙高吞吐量、低时延的要求。在实际应用中，尤其在小包情况下，这种结构的千兆防火墙达不到千兆的转发速度，难以满足千兆骨干网络的应用要求。
ASIC
采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线，优化存储器等资源的利用，满足千兆环境骨干级应用的技术方案。但ASIC技术开发成本高、开发周期长且难度大，而且对新功能的实施周期长，典型设计周期18个，很不灵活。纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，跟不上当今防火墙功能的快速发展。Netscreen是采用该技术的代表厂家。AISC应用级检测能力局限大：标准功能无法进行深层检测，无法识别攻击变种。深度检测技术对性能影响太大，如Netscreen 5400标称性能为防火墙吞吐量12G, 深度检测性能为375M。
NP
NP（网络处理器）采用微码编程，是专门为进行网络分组处理而开发的，具有优化的体系结构和指令集，所以比X86 CPU和ASIC具备更高的处理性能。而且NP有专门的指令集和配套的软件开发系统，具有很强的编程能力，能够方便地开发各种应用，支持可扩展的服务，因而也比ASIC更具灵活性，是未来高端防火墙的发展趋势。
基于NP网络处理器架构的防火墙与基于通用CPU架构的防火墙相比，在性能上可以得到很大的提高。网络处理器能弥补通用CPU架构性能的不足，同时又不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累，目前各个国内外厂家为了保证其产品的开发更新成本，已经越来越多考虑NP体系结构。成为实现高端千兆防火墙的最优选择。思科公司的6500高端千兆防火墙就采用NP加速技术，单板性能高达5.5G，可扩展到4个板20G。

思科6500高端防火墙优势
1．Cisco的 6500高端防火墙可以说是业界性能最高的防火墙产品，它的所有模块都直接与交换矩阵直接相连，彻底突破了传统防火墙需要通过GE/FE链路互连的带宽瓶颈。每一个安全模块的吞吐量可以达到 5GB。在一个机箱当中可以承载多达四个安全模块，总体的处理带宽最高可达 20GB。
2．Cisco 的 6500高端防火墙优势还在于其具有充足的物理接口数量和类型，对各种流量进行物理的隔离以及为端口划分不同的安全等级，真正满足用户需求。
3．多NP处理架构在保证高性能的同时，新功能的支持和改进周期很短，如对多种语音和视频服务的支持，完全符合市场的需求，使您的网络成为一个安全的多服务网络。
4．通常防火墙可以通过加大内存的方式来保存连接状态，从而获得较高的最大连接数。但实际更重要的是每秒新建连接数，这个参数越高说明设备整体处理能力越强。高端产品位于网络核心，当受到DDoS攻击时，短时间内会有大量的新建连接，此项参数高的设备将具有更强的抗攻击能力。Cisco的 6500高端防火墙支持高达10万每秒的新连接处理能力。
5．防火墙的重要功能是实施安全策略，Cisco 的 6500高端防火墙支持高达8万个安全策略。
6．Cisco 的 6500高端防火墙可以采用虚拟防火墙以及透明防火墙的技术，从而更加有效地支持用户的安全需求。

因此，思科公司的6500高端防火墙一经面世，就得到用户的信赖，在高端防火墙市场迅速崛起，占据了大量基于ASIC芯片技术的防火墙的市场，而且其发展趋势是越来越好。

network · 发表于 2007-12-19 12:58:22

FWSM防火墙模块配置和实验

cisco讲课资料-FWSM防火墙模块配置和实验，大家看看吧

FWSM配置注解:
FWSM# sh run
: Saved
:
FWSM Version 3.1(3) <system>
!
resource acl-partition 12                                                 //内存分为12个区

hostname FWSM                                                          //主机名称
enable password sdfsadfasdf encrypted       //特权模式密码
interface Vlan300                                                          // vlan300加入FWSM
!
interface Vlan301                                                          // vlan300加入FWSM
description LAN Failover Interface                               //接口描述，此接口为同步接口
interface Vlan302                                                          // vlan300加入FWSM
description STATE Failover Interface                            //接口描述，此接口为状态同步接口

interface Vlan303                                                          // vlan303加入FWSM
!
interface Vlan350                                                          // vlan350加入FWSM
!
interface Vlan351                                                          // vlan351加入FWSM
!
interface Vlan352                                                          // vlan352加入FWSM
!
interface Vlan353                                                          // vlan353加入FWSM
!
interface Vlan354                                                          // vlan354加入FWSM
!
interface Vlan355                                                          // vlan355加入FWSM
!
interface Vlan356                                                          // vlan356加入FWSM
!
interface Vlan357                                                          // vlan357加入FWSM
!
interface Vlan358                                                          // vlan358加入FWSM
!
interface Vlan359                                                          // vlan359加入FWSM
!
interface Vlan360                                                          // vlan360加入FWSM
!
interface Vlan361                                                          // vlan362加入FWSM
!
interface Vlan362                                                          // vlan362加入FWSM
!
!
passwd sadfsadfsdfsafasdfasdf encrypted                   //控制台密码
class default                                                                //默认资源类型
  limit-resource All 0                                                    //所有资源不做限制
  limit-resource IPSec 5                                                       //IPSec会话限制数为5
  limit-resource Mac-addresses 65535                            //mac地址表条目上限为65535
  limit-resource ASDM 5                                              //ASDM管理会话数上限为5
  limit-resource SSH 5                                                 //SSH会话限制数为5
  limit-resource Telnet 5                                              //Telnet会话限制数为5
!

ftp mode passive                                                          //FTP模式为被动模式
pager lines 24                                                             //设置一屏显示行数
failover                                                                      //启动故障恢复
failover lan interface lan Vlan301                                  //故障恢复同步vlan
failover link state Vlan302                                           //状态恢复vlan
failover interface ip lan 10.72.253.9 255.255.255.248 standby 10.72.253.10
//故障恢复同步vlan接口的IP设置
failover interface ip state 10.72.253.17 255.255.255.248 standby 10.72.253.18
//状态同步vlan接口的IP设置
failover group 1                                                          //故障恢复分组一
  secondary                                                                //在副模块上活动
  preempt 1                                                                //故障恢复抢先
failover group 2                                                          //故障恢复分组二
  preempt 1                                                                //故障恢复抢先
arp timeout 14400                                                       //arp条目失效时间
console timeout 0                                                          //控制台超时时间

admin-context admin                                                    //指定实例admin为管理实例
context admin                                                             //进入实例配置模式
  allocate-interface Vlan300                                        //将vlan加入实例
  config-url disk:/admin.cfg                                        //指定配置文件的位置

context 1-bangong                                                       //进入实例配置模式
  allocate-interface Vlan350                                        //将vlan350加入实例
  allocate-interface Vlan360                                        //将vlan360加入实例
  config-url disk:/vf10.cfg                                           //指定配置文件的位置
  join-failover-group 1                                                 //加入故障恢复分组一

context 2-jiankong                                                       //进入实例配置模式
  allocate-interface Vlan351                                        //将vlan351加入实例
  allocate-interface Vlan361                                        //将vlan361加入实例
  config-url disk:/vf11.cfg                                           //指定配置文件的位置
  join-failover-group 1                                                 //加入故障恢复分组一

context 3-caiwu                                                             //进入实例配置模式
  allocate-interface Vlan352                                        //将vlan352加入实例
  allocate-interface Vlan362                                        //将vlan362加入实例
  config-url disk:/vf12.cfg                                           //指定配置文件的位置
  join-failover-group 1                                                 //加入故障恢复分组一

context 4-kaifa                                                             //进入实例配置模式
  allocate-interface Vlan353                                        //将vlan353加入实例
  allocate-interface Vlan363                                        //将vlan363加入实例
  config-url disk:/vf13.cfg                                           //指定配置文件的位置
  join-failover-group 1                                                 //加入故障恢复分组一
!

context 5-kantanyingyong                                              //进入实例配置模式
  allocate-interface Vlan354                                        //将vlan354加入实例
  allocate-interface Vlan364                                        //将vlan36加入实例
  config-url disk:/vf14.cfg                                           //指定配置文件的位置
  join-failover-group 1                                                 //加入故障恢复分组一
!

context 6-kantanshujuku                                                 //进入实例配置模式
  allocate-interface Vlan355                                        //将vlan355加入实例
  allocate-interface Vlan365                                        //将vlan365加入实例
  config-url disk:/vf15.cfg                                           //指定配置文件的位置
  join-failover-group 2                                                 //加入故障恢复分组二
!

context 7-shengchan进制                                              //进入实例配置模式
  allocate-interface Vlan356                                        //将vlan356加入实例
  allocate-interface Vlan366                                        //将vlan366加入实例
  config-url disk:/vf16.cfg                                           //指定配置文件的位置
  join-failover-group 2                                                 //加入故障恢复分组二
!

context 8-guanli                                                    //进入实例配置模式
  allocate-interface Vlan357                                        //将vlan357加入实例
  allocate-interface Vlan367                                        //将vlan367加入实例
  config-url disk:/vf17.cfg                                           //指定配置文件的位置
  join-failover-group 2                                                 //加入故障恢复分组二
!

context 9-jingying                                                 //进入实例配置模式
  allocate-interface Vlan358                                        //将vlan358加入实例
  allocate-interface Vlan368                                        //将vlan368加入实例
  config-url disk:/vf18.cfg                                           //指定配置文件的位置
  join-failover-group 2                                                 //加入故障恢复分组二
!

context 10-qita                                                 //进入实例配置模式
  allocate-interface Vlan359                                        //将vlan359加入实例
  allocate-interface Vlan369                                        //将vlan369加入实例
  config-url disk:/vf19.cfg                                           //指定配置文件的位置
  join-failover-group 2                                                 //加入故障恢复分组二
!
prompt hostname context                                              //提示符为主机名+实例名
Cryptochecksum:233g23g23t423dsfg34544
: end

FWSM/admin# sh run
FWSM Version 3.1(3) <context>
!
hostname admin                                                          //实例名为admin
domain-name default.domain.invalid                               //缺省域名为default.domain.invalid enable password 2KFQnbNIdI.2KYOU encrypted       //特权模式密码
names                                                                         //启用地址到名称的转换
!
interface Vlan300                                                       //进入接口配置模式
nameif admin                                                             //命名接口
security-level 100                                                       //指定安全级别为100
ip address 10.72.253.1 255.255.255.248 standby 10.72.253.2 //接口的IP配置

!
passwd 2KFQnbNIdI.2KYOU encrypted                         //控制台密码
pager lines 24                                                             //一屏显示24行
logging enable                                                                //启用日志
logging timestamp                                                       //启用日志时间戮
logging standby                                                             //启用备分模块的日志
logging monitor informational                                        //在SSH和Telnet会话中显示日志，日志级别为信息级
logging buffered informational                               //日志保存到缓存，日志级别为信息级
mtu admin 1500                                                          //指定admin接口的MTU
icmp permit 10.72.2.64 255.255.255.192 admin             //允许网络中心的IPMP流量进入
icmp permit 10.72.251.0 255.255.255.0 admin                //允许核心交换机的ICMP流量进入
no asdm history enable                                                 //关闭ASDM历史追踪
arp timeout 14400                                                       //ARP条目失效时间
route admin 0.0.0.0 0.0.0.0 10.72.253.4 1                      //配置管理实例的外出路由，下一跳为交换机的SVI
timeout xlate 3:00:00                                                    //NAT条目失效时间
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
//TCP连接空闲时间为1小时，TCP半关连接空闲时间为10分钟，ICMP空闲时间为2分钟，UDP空闲时间为2分钟
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
//sunrpc slot空闲时间为10分钟， H323控制连接空闲时间为5分钟，H225信令连接空闲时间为1小时，MGCP连接空闲时间为5分钟
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
//mgcp-pat xlate失效时间为5分钟，sip控制连接空闲时间为30分钟，sip media连接空闲时间为2分钟
timeout uauth 0:05:00 absolute
//用户认证信息缓存时间为5分钟，绝对时间

no snmp-server location                                                 //snmp-server位置
no snmp-server contact                                                 //snmp-server联系人
snmp-server enable traps snmp authentication linkup linkdown coldstart
//启用snmp-server发送信息，包括认证，链路状态，冷启动
telnet 10.72.2.64 255.255.255.192 admin                      //允许网络中心远程登录流量
telnet timeout 10                                                          //远程登录会话空闲时间为10秒
ssh timeout 5                                                                //SSH会话失效时间为5秒
!
class-map inspection_default                                           //进入流量类型配置模式
match default-inspection-traffic                                     //匹配流量!
policy-map global_policy                                              //进入安全策略配置模式
class inspection_default                                              //匹配流量类型
  inspect dns maximum-length 512                               //启用dns深度检查
  inspect ftp                                                                //启用ftp深度检查
  inspect h323 h225                                                    //启用h323,h225深度检查
  inspect h323 ras                                                             //启用h323 ras深度检查
  inspect netbios                                                          //启用netbios深度检查
  inspect rsh                                                                //启用rsh深度检查
  inspect skinny                                                          //启用skinny深度检查
  inspect smtp                                                          //启用smtp深度检查
  inspect sqlnet                                                                //启用sqlnet深度检查
  inspect sunrpc                                                       //启用sunrpc深度检查
  inspect tftp                                                             //启用tftp深度检查
  inspect sip                                                             //启用sip深度检查
  inspect xdmcp                                                       //启用xdmcp深度检查
service-policy global_policy global                               //在全局应用安全策略
Cryptochecksum:5558047ed4d32a63671cdd63104fa334
: end

FWSM/1-bangong# sh run
: Saved
:
FWSM Version 3.1(3) <context>
!
hostname 1-bangong                                                    //实例名
enable password 8Ry2YjIyt7RRXU24 encrypted             //特权模式密码
names                                                                         //启用地址名称转换
!
interface Vlan350                                                          //进入接口配置模式
nameif outside                                                             //命名接口
security-level 0                                                          //安全级别为0
ip address 10.72.253.25 255.255.255.248 standby 10.72.253.26
//配置接口IP
interface Vlan360                                                          //进入接口配置模式
nameif inside                                                             //命名接口
security-level 100                                                       //接口安全级别为100
ip address 10.72.253.33 255.255.255.248 standby 10.72.253.34    //配置接口IP地址

passwd 2KFQnbNIdI.2KYOU encrypted                         //控制台密码
same-security-traffic permit inter-interface                //相同安全级别的流量允许通过接口
access-list inside_access_in extended permit icmp any any  //允许ICMP流量进入inside接口

access-list outside_access_in extended permit tcp any 10.72.5.0 255.255.255.240 eq 80
//允许到门户服务器的正常业务流量
access-list outside_access_in extended permit tcp any 10.72.5.0 255.255.255.240 eq 815
//允许到门户服务器的正常业务流量
access-list outside_access_in extended permit ip 10.72.2.64 255.255.255.192 any
//允许管理部门的网络及从核心交换机的流量
access-list outside_access_in extended permit ip 10.72.251.0 255.255.255.0 any
//允许管理部门的网络及从核心交换机的流量
access-list outside_access_in extended permit icmp 10.72.2.64 255.255.255.192 any
/允许管理部门的网络及从核心交换机的ICMP流量
access-list outside_access_in extended permit icmp 10.72.251.0 255.255.255.0 any
//允许管理部门的网络及从核心交换机的ICMP流量

pager lines 24                                                             //一屏显示24行
logging enable                                                                //启用日志
logging timestamp                                                       //启用日志时间戮
logging monitor critical
//在SSH和Telnet会话中显示日志，日志级别为critical
logging buffered critical
//日志保存到缓存，日志级别为critical
mtu inside 1500                                                          //inside接口MTU为1500
mtu outside 1500                                                          // outside接口MTU为1500
monitor-interface inside                                                 //监控inside接口
monitor-interface outside                                              //监控outside接口
icmp permit any inside                                                 //允许ICPM流量进入inside接口
icmp permit any outside                                                 //允许ICPM流量进入outside接口
no asdm history enable                                                 //关闭ASDM历史追踪
arp timeout 14400                                                       //ARP条目失效时间

access-group inside_access_in in interface inside
//inside接口上应用访问列表inside_access_in
access-group outside_access_in in interface outside
// outside接口上应用访问列表outside_access_in
route inside 10.72.5.0 255.255.255.224 10.72.253.37 1          //服务器网络路由指向CSM接口
route outside 0.0.0.0 0.0.0.0 10.72.253.30 1                         //外出路由指向SVI

timeout xlate 3:00:00                                                    //NAT条目失效时间
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
//TCP连接空闲时间为1小时，TCP半关连接空闲时间为10分钟，ICMP空闲时间为2分钟，UDP空闲时间为2分钟
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
//sunrpc slot空闲时间为10分钟， H323控制连接空闲时间为5分钟，H225信令连接空闲时间为1小时，MGCP连接空闲时间为5分钟
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
//mgcp-pat xlate失效时间为5分钟，sip控制连接空闲时间为30分钟，sip media连接空闲时间为2分钟
timeout uauth 0:05:00 absolute
//用户认证信息缓存时间为5分钟，绝对时间

no snmp-server location                                                 //snmp-server位置
no snmp-server contact                                                 //snmp-server联系人
snmp-server enable traps snmp authentication linkup linkdown coldstart
//启用snmp-server发送信息，包括认证，链路状态，冷启动
telnet timeout 5                                                             //远程登录会话空闲时间为5秒
ssh timeout 5                                                                //SSH会话失效时间为5秒
!
class-map inspection_default                                           //进入流量类型配置模式
match default-inspection-traffic                                     //匹配流量
policy-map global_policy                                              //进入安全策略配置模式
class inspection_default                                              //匹配流量类型
  inspect dns maximum-length 512                               //启用dns深度检查
  inspect ftp                                                                //启用ftp深度检查
  inspect h323 h225                                                    //启用h323,h225深度检查
  inspect h323 ras                                                             //启用h323 ras深度检查
  inspect netbios                                                          //启用netbios深度检查
  inspect rsh                                                                //启用rsh深度检查
  inspect skinny                                                          //启用skinny深度检查
  inspect smtp                                                          //启用smtp深度检查
  inspect sqlnet                                                                //启用sqlnet深度检查
  inspect sunrpc                                                       //启用sunrpc深度检查
  inspect tftp                                                             //启用tftp深度检查
  inspect sip                                                             //启用sip深度检查
  inspect xdmcp                                                       //启用xdmcp深度检查
service-policy global_policy global                               //在全局应用安全策略
Cryptochecksum:5558047ed4d32a63671cdd63104fa334
: end

network · 发表于 2007-12-19 13:34:18

调试FWSM时，现总结以下几点值得注意的地方

前一段时间实施过两个关于FWSM调试的项目，现总结以下几点值得注意的地方：详见附件

cxyonline · 发表于 2007-12-24 10:34:01

这么详细的资料，谢谢LZ分享……

账号		自动登录	找回密码
密码			注册

Cisco Catalyst 6509交换机FWSM防火墙模块配置资料 大全

Cisco Catalyst 6509交换机FWSM防火墙模块配置资料大全