FWSM配置注意点以及心得

wasp

FWSM配置注意点以及心得

1、FWSM与pix和ASA不同，默认FWSM不允许ping虚拟防火墙的任何端口，若想让ping,需要必须在端口上打 开(icmp permit any inside/outside)；
PS:本人吃过大亏,升级OS时死活ping不同FTP SERVER,搞了好久才发现FWSM有这特性,汗!!!

2、FWSM与pix和ASA的另一个不同是：默认FWSM不允许从安全级别高的端口到安全级别底网络的访问，除非用acl明确允许（从安全级别高到安全级别底方向的访问也需要写acl并应用到高安全 级别端口上明确允许，才能访问）；而pix和asa默认是允许许从安全级别高的端口到安全级别底网络的访问，并不需要写acl应用到高安全级别端口明确允许；
注意!!!在same-security permit打开的情况下，ASA默认允许同一安全等级访问,而不需要ACL放行

3,7.0和FWSM,ACL可以写OUT方向了,6.3不可以

4.7.0和FWSM允许同一安全等级的接口之间互相访问,可以通过same-security-traffic permit inter-interface解决.6.3不可以

5、FWSM默认只支持两个security context(不包括 admin context)。这和ASA一样

6、从single 转换成 multiple模式时，有时输入mode multiple防火墙模块自动重起后，使用show mode 命令查看时仍然显示为single模式，需多次输入命令mode multiple时,才能转换成multiple context模式(用show mode命令会显示)，这个现象比较怪，版本为2.3(3)。