fwsm配置.doc

FWSM 基本配置示例 2011-03-28 23:23 前言 前提条件 ????? 需求 ????? 使用的组件 ????? 相关产品 ????? 惯例 背景信息 配置 ????? 网络图 ????? 配置 验证 故障排除 ????? 问题： 无法将 VLAN 数据流从 FWSM 传输到 IPS Sensor 4270 ????? 解决方案 ????? FWSM 中的无序数据包问题 ????? 解决方案 ????? 问题： 无法将非对称路由数据包传输通过防火墙 ????? 解决方案 ????? FWSM 中的 Netflow 支持 ????? 解决方案 思科支持社区 – 特别的对话相关信息 前言 本文档介绍如何配置安装在 Cisco 6500 系列交换机或 Cisco 7600 系列路由器中的防火墙服务模块 (FWSM) 的基本配置。 包括配置 IP 地址、默认路由、静态和动态 NATing、用于允许所需数据流或阻止不需要的数据流的访问控制列表 (ACL) 语句、应用程序服务器（如用于检查来自内部网络的 Internet 数据流的 Websense）以及针对 Internet 用户的 Web 服务器。 注意：?在 FWSM 高可用性 (HA) 方案中，仅当模块之间的许可证密钥完全相同时，故障切换才可成功同步。 因此，无法在使用不同许可证的 FWSM 之间进行故障切换。 前提条件 需求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行软件版本 3.1 及更高版本的防火墙服务模块 带有如下所示的必需组件的 Catalyst 6500 系列交换机： 有Cisco IOS软件，? 叫作Supervisor Cisco IOS，或者Catalyst操作系统的(OS) Supervisor引擎。 有关所支持的 Supervisor 引擎和软件版本的信息，请参阅表。 装有 Cisco IOS 软件的 Multilayer Switch Feature Card (MSFC) 2。 有关所支持的 Cisco IOS 软件版本的信息，请参阅表。 ? Supervisor 引擎1 Cisco IOS 软件版本 Cisco IOS 软件版本 12.2(18)SXF 及更高版本 720， 32 Cisco IOS 软件版本 12.2(18)SXF2 及更高版本 2， 720， 32 Cisco IOS 软件模块化 Cisco IOS 软件版本 12.2(18)SXF4 720， 32 Catalyst OS2 8.5(3) 及更高版本 2， 720， 32 1 FWSM 不支持 supervisor 1 或 1A。 2在 Supervisor 上使用 Catalyst OS 时，可在 MSFC 上使用这些支持的 Cisco IOS 软件版本中的任一版本。 在 Supervisor 上使用 Cisco IOS 软件时，需在 MSFC 上使用相同的版本。 本文档中的信息都是基于特定实验室环境中的设备创建的。 本文档中使用的所有设备最初均采用原始（默认）配置。 如果您在一个工作网络中操作，在使用之前请确认您已经理解所有指令的潜在影响。 相关产品 此配置也可用于带有如下所示的必需组件的 Cisco 7600 系列路由器： 装有 Cisco IOS 软件的 Supervisor 引擎。 有关所支持的 Supervisor 引擎和 Cisco IOS 软件版本的信息，请参阅表。 装有 Cisco IOS 软件的 MSFC 2。 有关所支持的 Cisco IOS 软件版本的信息，请参阅表。 惯例 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 FWSM 是安装在 Catalyst 6500 系列交换机和 Cisco 7600 系列路由器上的性能较高、占用空间较少且有状态的防火墙模块。 防火墙可保护内部网络，阻止外部网络的用户对其进行未经授权的访问。 防火墙还可在内部网络之间提供保护（例如，如果将人力资源网络与用户网络分开，可采用防火墙保护）。 如果某些网络资源（如 Web 或 FTP 服务器）需要供外部用户访问，则可将这些资源置于防火墙之后的一个独立网络（称为隔离区 (DMZ)）上。 防火墙允许对 DMZ 的有限访问权限，但是由于 DMZ 仅包括公共服务器，因此，此处的攻击仅影响这些服务器，而不会影响其他内部网络。 当内部用户访问外部网络（例如访问 Internet）时，也可进行控制，可以仅允许访问某些外部地址、要求进行身份验证或授权，或者配合使用外部 URL 过滤服务器。 FWSM 包括许多高级功能，如类似于虚