Cisco FWSM 模块简明配置实例

yangldm
1 ℃
2020-02-28

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

CiscoFWSM模块简明配置实例实验环境：IOS版本：12.2i防火墙模块操作系统版本：3.1防火墙模块模式：路由模式和透明模式网络拓扑图：我们把vlan7和vlan9分别作为内部和外部接口，而vlan8作为DMZ接口。我们通过vlan5与交换机连接步骤1.把VLAN划分到防火墙模块中7609(config)#firewallvlan-group17-9/*把vlan7-9划分到vlan-group1中7609(config)#firewallmodule3vlan-group/*把vlan-group1划分到module3中（即防火墙模块，有可能有2块）步骤2.把SVI口划分到交换机中，如果相应的vlan需要路由的话，如果不需要路由则不需要.7609(config)#intervlan7609(config-if)#ipaddr10.1.3.2255.255.255.0/*这样就可以以把vlan7的流量路由到其他VLAN中了。步骤3.登陆到防火墙模块7609#sessionslot3processor1/*3代表防火墙模块步骤4.选择单context或者多context模式FWSW(config)#modesingle/*这里我选择单context模式，不管单模式还是多模式，配置文件都需要指定，但是后面的配置实例在单模式下是不需要指定的。步骤5.配置context/*我这里选择是单模式，所以不需要配置。在配置多模式的时候再讨论步骤6.在context模式和系统模式下切换/*我这里选择是单模式，所以不需要配置。在配置多模式的时候再讨论FWSW配置路由模式时：步骤7.配置路由或者透明模式FWSW(config)#nofirewalltransparent/*默认就是路由模式，所以在这里不需要修改/步骤8.在路由模式下配置接口FWSW(config)#intervlan7FWSW(config-if)#ipaddr10.1.3.1255.255.255.0FWSW(config-if)#nameifinsideFWSW(config-if)#security-levelFWSW(config)#intervlan8FWSW(config-if)#ipaddr192.168.1.1255.255.255.0FWSW(config-if)#nameifDMZFWSW(config-if)#security-level50FWSW(config)#intervlan9FWSW(config-if)#ipaddr202.95.15.26255.255.255.252FWSW(config-if)#nameifoutsideFWSW(config-if)#security-level0步骤9.配置路由FWSW(config)#route00202.95.15.25FWSW(config)#route10.1.1.010.1.3.2FWSW(config)#route10.1.2.010.1.3.2步骤10.配置NAT#FWSW(config)#access-listto_internetpermitip10.1.1.0255.255.255.0anyFWSW(config)#access-listto_internetpermitip10.1.2.0255.255.255.0anyFWSW(config)#nat(inside)1access-listto_internetFWSW(config)#global(outside)1interface0FWSW(config)#static(inside,outside)tcp202.95.15.2680192.168.1.280access-listwebserverpermittcpany202.95.15.2680access-groupwebserverininterfaceoutside交换机配置：7609(config)#intervlan57609(config-if)#ipaddr10.1.2.1255.255.255.07609(config)#intervlan67609(config-if)#ipaddr10.1.1.1255.255.255.07609(config)#intervlan77609(config-if)#ipaddr10.1.3.2255.255.255.0/*把SVI划到MSFC中，这样就可以就可以路由VLAN之间的流量了7609(config)#iproute0.0.0.00.0.0.010.1.3.1FWSW配置透明模式时：步骤7.配置路由或者透明模式FWSW(config)#firewalltransparent步骤8.在透明模式下配置接口FWSW(config)#intervlan7FWSW(config-if)#bridge-group10FWSW(config-if)#nameifinsideFWSW(config-if)#security-level100FWSW(config)#interbvi10FWSW(config)#intervlan9FWSW(config-if)#bridge-group10FWSW(config-if)#nameifoutsideFWSW(config-if)#security-level0FWSW(config)#interbvi10/*前面定义的组FWSW(config-if)#ipaddr202.15.25.2255.255.255.0/*管理IP地址注意：在定义group的IP地址时候不要把子网划分少于3个IP地址，因为默认防火墙会过滤这个第一个和最后一个IP地址的.步骤9.配置路由/*假设对端ip地址是202.15.25.1groupip为202.15.25.2MSFC对应IP202.15.25.3FWSW(config)#route00202.95.15.1/*一般不需要访问外部网络FWSW(config)#route10.1.1.0202.95.15.3FWSW(config)#route10.1.2.0202.95.15.3步骤10.放行相应的流量交换机配置:7609(config)#intervlan57609(config-if)#ipaddr10.1.2.1255.255.255.023IR7609(config)#intervlan67609(config-if)#ipaddr10.1.1.1255.255.255.07609(config)#intervlan77609(config-if)#ipaddr202.95.15.3255.255.255.07609(config)#iproute0.0.0.00.0.0.0202.95.15.1gabby网友的FWSM配置注意点以及心得：1、FWSM与pix和ASA不同，默认FWSM不允许ping虚拟防火墙的任何端口，若想让ping,需要必须在端口上打开(icmppermitanyinside/outside)；PS:本人吃过大亏,升级OS时死活ping不同FTPSERVER,搞了好久才发现FWSM有这特性,汗!!!2、FWSM与pix和ASA的另一个不同是：默认FWSM不允许从安全级别高的端口到安全级别底网络的访问，除非用acl明确允许（从安全级别高到安全级别底方向的访问也需要写acl并应用到高安全级别端口上明确允许，才能访问）；而pix和asa默认是允许许从安全级别高的端口到安全级别底网络的访问，并不需要写acl应用到高安全级别端口明确允许；注意!!!在same-securitypermit打开的情况下，ASA默认允许同一安全等级访问,而不需要ACL放行3,7.0和FWSM,ACL可以写OUT方向了,6.3不可以4.7.0和FWSM允许同一安全等级的接口之间互相访问,可以通过same-security-trafficpermitinter-interface解决.6.3不可以5,FWSM默认只支持两个securitycontext(不包括admincontext)。这和ASA一样6,从single转换成multiple模式时，有时输入modemultiple防火墙模块自动重起后，使用showmode命令查看时仍然显示为single模式，需多次输入命令modemultiple时,才能转换成multiplecontext模式(用showmode命令会显示)，这个现象比较怪，版本为2.3(3)。附：配置实例注解（来自）FWSM#shrun:Saved:FWSMVersion3.1(3)system!resourceacl-partition12//内存分为12个区hostnameFWSM//主机名称enablepasswordsdfsadfasdfencrypted//特权模式密码interfaceVlan300//vlan300加入FWSM!interfaceVlan301//vlan300加入FWSMdescriptionLANFailoverInterface//接口描述，此接口为同步接口interfaceVlan302//vlan300加入FWSMdescriptionSTATEFailoverInterface//接口描述，此接口为状态同步接口interfaceVlan303//vlan303加入FWSM!interfaceVlan350//vlan350加入FWSM!interfaceVlan351//vlan351加入FWSM!interfaceVlan352//vlan352加入FWSM!interfaceVlan353//vlan353加入FWSM!interfaceVlan354//vlan354加入FWSM!interfaceVlan355//vlan355加入FWSM!interfaceVlan356//vlan356加入FWSM!interfaceVlan357//vlan357加入FWSM!interfaceVlan358//vlan358加入FWSM!interfaceVlan359//vlan359加入FWSM!interfaceVlan360//vlan360加入FWSM!interfaceVlan361//vlan362加入FWSM!interfaceVlan362//vlan362加入FWSM!!passwdsadfsadfsdfsafasdfasdfencrypted//控制台密码classdefault//默认资源类型limit-resourceAll0//所有资源不做限制limit-resourceIPSec5//IPSec会话限制数为5limit-resourceMac-addresses65535//mac地址表条目上限为65535limit-resourceASDM5//ASDM管理会话数上限为5limit-resourceSSH5//SSH会话限制数为5limit-resourceTelnet5//Telnet会话限制数为5!ftpmodepassive//FTP模式为被动模式pagerlines24//设置一屏显示行数failover//启动故障恢复failoverlaninterfacelanVlan301//故障恢复同步vlanfailoverlinkstateVlan302//状态恢复vlanfailoverinterfaceiplan10.72.253.9255.255.255.248standby10.72.253.10//故障恢复同步vlan接口的IP设置failoverinterfaceipstate10.72.253.17255.255.255.248standby10.72.253.18//状态同步vlan接口的IP设置failovergroup1//故障恢复分组一secondary//在副模块上活动pree