資源描述:
《FWSM防火墻配置手冊(cè)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、FWSM防火墻配置手冊(cè)一、配置基礎(chǔ)21.1用戶接口21.2防火墻許可介紹21.3初始配置3二、配置連接性32.1配置接口32.2配置路由42.3DHCP4三、防火墻的管理53.1使用SecurityContext建立虛擬防火墻53.2管理Flash文件系統(tǒng)63.3管理配置文件63.4管理管理會(huì)話63.5系統(tǒng)重啟和崩潰7四、用戶管理74.1一般用戶管理74.2本地?cái)?shù)據(jù)庫(kù)管理用戶74.3使用AAA服務(wù)器來(lái)管理用戶84.4配置AAA管理用戶8五、防火墻的訪問(wèn)控制85.1防火墻的透明模式85.2防火墻的路由模式和地址翻譯105.3使用ACL進(jìn)行訪問(wèn)
2、控制11六、配置Failover增加可用性136.1配置Failover136.2管理Failover14七、日志管理147.1時(shí)鐘管理147.2日志配置14八、防火墻工作狀態(tài)驗(yàn)證168.1防火墻健康檢查168.2驗(yàn)證防火墻的連接性16九、FWSM配置實(shí)例:18一、配置基礎(chǔ)1.1用戶接口Catalyst6500的FWSM沒(méi)有物理接口接入,通過(guò)下面CLI命令進(jìn)入:Switch#sessionslot(slotnumber)processor1(FWSM所在slot號(hào))用戶模式:Firewall>為用戶模式,輸入enable進(jìn)入特權(quán)模式Fire
3、wall#。特權(quán)模式下可以進(jìn)入配置模式,通過(guò)exit,ctrl-z退回上級(jí)模式。配置特性:在原有命令前加no可以取消該命令。Showrunning-config或者writeterminal顯示當(dāng)前配置,Showrunning-configall顯示所有配置,包含缺省配置。Tab可以用于命令補(bǔ)全,ctrl-l可以用于重新顯示輸入的命令(適用于還沒(méi)有輸入完命令被系統(tǒng)輸出打亂的情況),help和history相同于IOS命令集。Show命令支持begin,include,exclude,grep加正則表達(dá)式的方式對(duì)輸出進(jìn)行過(guò)濾和搜索。Termi
4、nalwidth命令用于修改終端屏幕顯示寬度,缺省為80個(gè)字符,pager命令用于修改終端顯示屏幕顯示行數(shù),缺省為24行,pagerlines0命令什么效果可以自己試試。1.2防火墻許可介紹防火墻具有下列幾種許可形式,通過(guò)使用showversion命令可以看設(shè)備所支持的特性:Unrestricted(UR)所有的限制僅限于設(shè)備自身的性能,也支持FailoverRestricted(R)防火墻的內(nèi)存和允許使用的最多端口數(shù)有限制,不支持FailoverFailover(FO)不能單獨(dú)使用的防火墻,只能用于FailoverFailover-Act
5、ive/Active(FO-AA)只能和UR類型的防火墻一起使用,支持active/activefailover注:FWSM內(nèi)置UR許可。activation-key命令用于升級(jí)設(shè)備的許可,該許可和設(shè)備的serialnumber有關(guān)(showversion輸出可以看到)。1.1初始配置跟路由器一樣可以使用setup進(jìn)行對(duì)話式的基本配置。二、配置連接性2.1配置接口接口基礎(chǔ):對(duì)于FWSM所有的接口都為邏輯接口,名字也是vlan后面加上vlanid。例如FWSM位于6500的第三槽,配置三個(gè)接口,分別屬于vlan100,200,300.Swit
6、ch(config)#firewallvlan-group1100,200,300Switch(config)#firewallmodule3vlan-group1Switch(config)#exitSwitch#sessionslot3processor1經(jīng)過(guò)此配置后形成三個(gè)端口vlan100.vlan200,vlan300命名接口FWSM2.xFirewall(config)#nameifvlan-idif_namesecuritylevel注:FWSM2.x開始支持不同接口有相同的securitylevel,前提是全局配置模式下使用
7、same-security-trafficpermitinter-interface命令。配置IP地址靜態(tài)地址:Firewall(config)#ipaddressif_nameip_address[netmask]動(dòng)態(tài)地址:Firewall(config)#ipaddressoutsidedhcp[setroute][retryretry_cnt]驗(yàn)證接口Firewall#showipaddressARP配置配置一個(gè)靜態(tài)的ARP條目:Firewall(config)#arpif_nameip_addressmac_address[alia
8、s]配置timeout時(shí)間:Firewall(config)#arptimeoutseconds缺省為4小時(shí)注:一般情況下使用cleararp會(huì)清除所有的ARP緩存,不能針對(duì)單個(gè)