FWSM基本配置示例.PDFVIP

FWSM 基本配置示例 Contents Introduction Prerequisites Requirements Components Used 相关产品 Conventions 背景信息 Configure Network Diagram 配置 Verify Troubleshoot 问题：无法将 VLAN 数据流从 FWSM 传输到 IPS Sensor 4270 解决方案 FWSM 中的无序数据包问题 解决方案 问题：无法将非对称路由数据包传输通过防火墙 解决方案 FWSM 中的 Netflow 支持 解决方案 Related Information Introduction 本文档介绍如何配置安装在 Cisco 6500 系列交换机或 Cisco 7600 系列路由器中的防火墙服务模块 (FWSM) 的基本配置。包括配置 IP 地址、默认路由、静态和动态 NATing、用于允许所需数据流或 阻止不需要的数据流的访问控制列表 (ACL) 语句、应用程序服务器（如用于检查来自内部网络的 Internet 数据流的 Websense）以及针对 Internet 用户的 Web 服务器。 Note: 在 FWSM 高可用性 (HA) 方案中，仅当模块之间的许可证密钥完全相同时，故障切换才可成 功同步。因此，无法在使用不同许可证的 FWSM 之间进行故障切换。 Prerequisites Requirements There are no specific requirements for this document. Components Used 本文档中的信息基于以下软件和硬件版本： 运行软件版本 3.1 及更高版本的防火墙服务模块 带有如下所示的必需组件的 Catalyst 6500 系列交换机：有Cisco IOS软件，叫作Supervisor Cisco IOS，或者Catalyst操作系统的(OS) Supervisor引擎。有关所支持的 Supervisor 引擎和软 件版本的信息，请参阅表。装有 Cisco IOS 软件的 Multilayer Switch Feature Card (MSFC) 2。 有关所支持的 Cisco IOS 软件版本的信息，请参阅表。 1 FWSM不支持Supervisor 1或1A。 您使用在Supervisor的Catalyst OS的2When ，您能使用其中每一个在MSFC的支持的Cisco IOS软件 版本。在 Supervisor 上使用 Cisco IOS 软件时，需在 MSFC 上使用相同的版本。 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. 相关产品 此配置也可用于带有如下所示的必需组件的 Cisco 7600 系列路由器： 装有 Cisco IOS 软件的 Supervisor 引擎。有关所支持的 Supervisor 引擎和 Cisco IOS 软件版 本的信息，请参阅表。 装有 Cisco IOS 软件的 MSFC 2。有关所支持的 Cisco IOS 软件版本的信息，请参阅表。 Conventions 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 FWSM 是安装在 Catalyst 6500 系列交换机和 Cisco 7600 系列路由器上的性能较高、占用空间较少 且有状态的防火墙模块。 防火墙可保护内部网络，阻止外部网络的用户对其进行未经授权的访问。防火墙还可在内部网络之 间提供保护（例如，如果将人力资源网络与用户网络分开，可采用防火墙保护）。如果某些网络资 源（如 Web 或 FTP 服务器）需要供外部用户访问，则可将这些资源置于防火墙之后的一个独立网 络（称为隔离区 (DMZ)）上。防火墙允许对 DMZ 的有限访问权限，但是由于 DMZ 仅包括公共服务 器，因此，此处的攻击仅影响这些服务器，而不会影响其他内部网络。当内部用户访问外部网络 （例