FWSM防火墙配置手册.doc

FWSM防火墙配置手册一、 配置基础 2 1.1 用户接口 2 1.2 防火墙许可介绍 2 1.3 初始配置 3 二、 配置连接性 3 2.1 配置接口 3 2.2 配置路由 4 2.3 DHCP 4 三、 防火墙的管理 5 3.1 使用Security Context建立虚拟防火墙 5 3.2 管理Flash文件系统 6 3.3 管理配置文件 6 3.4 管理管理会话 6 3.5 系统重启和崩溃 7 四、 用户管理 7 4.1 一般用户管理 7 4.2 本地数据库管理用户 7 4.3 使用AAA服务器来管理用户 8 4.4 配置AAA管理用户 8 五、 防火墙的访问控制 8 5.1 防火墙的透明模式 8 5.2 防火墙的路由模式和地址翻译 10 5.3 使用ACL进行访问控制 11 六、 配置Failover增加可用性 13 6.1 配置Failover 13 6.2 管理Failover 14 七、 日志管理 14 7.1 时钟管理 14 7.2 日志配置 14 八、 防火墙工作状态验证 16 8.1 防火墙健康检查 16 8.2 验证防火墙的连接性 16 九、 FWSM配置实例： 18 配置基础 用户接口 Catalyst6500的FWSM没有物理接口接入，通过下面CLI命令进入： Switch# session slot (slot number) processor 1 （FWSM所在slot号） 用户模式： Firewall 为用户模式，输入enable进入特权模式Firewall#。特权模式下可以进入配置模式，通过exit，ctrl-z退回上级模式。 配置特性： 在原有命令前加no可以取消该命令。Show running-config 或者 write terminal显示当前配置， Show running-config all显示所有配置，包含缺省配置。Tab可以用于命令补全，ctrl-l可以用于重新显示输入的命令（适用于还没有输入完命令被系统输出打乱的情况），help和history相同于IOS命令集。 Show命令支持 begin，include，exclude，grep 加正则表达式的方式对输出进行过滤和搜索。 Terminal width 命令用于修改终端屏幕显示宽度，缺省为80个字符，pager命令用于修改终端显示屏幕显示行数，缺省为24行，pager lines 0命令什么效果可以自己试试。 防火墙许可介绍 防火墙具有下列几种许可形式，通过使用show version命令可以看设备所支持的特性： Unrestricted (UR) 所有的限制仅限于设备自身的性能，也支持Failover Restricted (R) 防火墙的内存和允许使用的最多端口数有限制，不支持Failover Failover (FO) 不能单独使用的防火墙，只能用于Failover Failover-Active/Active (FO-AA) 只能和UR类型的防火墙一起使用，支持active/active failover 注：FWSM内置UR许可。 activation-key 命令用于升级设备的许可，该许可和设备的serial number有关（show version输出可以看到）。 初始配置 跟路由器一样可以使用setup进行对话式的基本配置。 配置连接性 配置接口 接口基础： 对于FWSM所有的接口都为逻辑接口，名字也是vlan后面加上vlanid。例如FWSM位于6500的第三槽，配置三个接口，分别属于vlan 100,200,300. Switch(config)# firewall vlan-group 1 100,200,300 Switch(config)# firewall module 3 vlan-group 1 Switch(config)# exit Switch# session slot 3 processor 1 经过此配置后形成三个端口vlan100.vlan200,vlan300 命名接口 FWSM 2.x Firewall(config)# nameif vlan-id if_name securitylevel 注： FWSM 2.x开始支持不同接口有相同的security level，前提是全局配置模式下使用same-security-traffic permit inter-interface命令。 配置IP地址 静态地址：Firewall(config)# ip address if_name ip_address [netmask] 动态地址：Firewall(config)# ip address outside dhcp [setroute] [retry re