|
FWSM配置注意点以及心得
1、FWSM与pix和ASA不同,默认FWSM不允许ping虚拟防火墙的任何端口,若想让ping,需要必须在端口上打 开(icmp permit any inside/outside);
PS:本人吃过大亏,升级OS时死活ping不同FTP SERVER,搞了好久才发现FWSM有这特性,汗!!!
2、FWSM与pix和ASA的另一个不同是:默认FWSM不允许从安全级别高的端口到安全级别底网络的访问,除非用acl明确允许(从安全级别高到安全级别底方向的访问也需要写acl并应用到高安全 级别端口上明确允许,才能访问);而pix和asa默认是允许许从安全级别高的端口到安全级别底网络的访问,并不需要写acl应用到高安全级别端口明确允许;
注意!!!在same-security permit打开的情况下,ASA默认允许同一安全等级访问,而不需要ACL放行
3,7.0和FWSM,ACL可以写OUT方向了,6.3不可以
4.7.0和FWSM允许同一安全等级的接口之间互相访问,可以通过same-security-traffic permit inter-interface解决.6.3不可以
5、FWSM默认只支持两个security context(不包括 admin context)。这和ASA一样
6、从single 转换成 multiple模式时,有时输入mode multiple防火墙模块自动重起后,使用show mode 命令查看时仍然显示为single模式,需多次输入命令mode multiple时,才能转换成multiple context模式(用show mode命令会显示),这个现象比较怪,版本为2.3(3)。 |
|