Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1328928
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类: 系统运维

2011-04-28 15:55:18


1、FWSM与pix和ASA不同,默认FWSM不允许ping虚拟防火墙的任何端口,若想让ping,需要必须在端口上打 开(icmp permit any inside/outside);
PS:本人吃过大亏,升级OS时死活ping不同FTP SERVER,搞了好久才发现FWSM有这特性,汗!!!
还有是ping网关只能ping非本地Vlan的。

2、FWSM与pix和ASA的另一个不同是:默认FWSM不允许从安全级别高的端口到安全级别底网络的访问,除非用acl明确允许(从安全级别高到安全 级别底方向的访问也需要写acl并应用到高安全级别端口上明确允许,才能访问);而pix和asa默认是允许许从安全级别高的端口到安全级别底网络的访 问,并不需要写acl应用到高安全级别端口明确允许;
注意!!!在same-security permit打开的情况下,ASA默认允许同一安全等级访问,而不需要ACL放行

3,7.2的FWSM,ACL可以写OUT方向了,6.3不可以

4.7.0和FWSM允许同一安全等级的接口之间互相访问,可以通过same-security-traffic permit inter-interface解决.6.3不可以

5、FWSM默认只支持两个security context(不包括 admin context)。这和ASA一样

6、从single 转换成 multiple模式时,有时输入mode multiple防火墙模块自动重起后,使用show mode 命令查看时仍然显示为single模式,需多次输入命令mode multiple时,才能转换成multiple context模式(用show mode命令会显示),这个现象比较怪,版本为2.3(3)。

7、同一安全等级接口只要在敲了same-security-traffic permit inter-interface命令情况下,不需要任何NAT,同一安全等级的接口之间就能互相访问,如果在NAT-control打开的情况下,配置了 动态NAT或PAT的话,那么同一安全等级接口的访问将受到NAT规则的控制,但STATIC NAT不受这个限制

8、配置好开通HTTP可以用ASDM,最好更新到新版(当然有好处啦~)

       


阅读(1061) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~