Cisco Catalyst 6509交换机FWSM防火墙模块设置资料.doc

Cisco Catalyst 6509交换机FWSM防火墙模块测试报告 我们以往接触比较多的防火墙大都是独立的设备产品，抑或是和路由器集成在一起的模块， 这种防火墙往往是位于网关位置，担当了内外网之间的防护线职能。而思科系统公司充分利用自己对网络的理解，以一种不同的理念和思路把安全贯彻到了网络上的每一个角落。当我们网络世界评测实验室拿到插入FWSM防火墙模块的被测设备Catalyst 6509交换机时，更是深刻地体会到了Cisco这种独特的视角。 集成：改动防火墙角色 从外观上看，不同于以往的防火墙，FWSM防火墙模块本身并不带有所有端口，能插在Catalyst 6509交换机所有一个交换槽位中，交换机的所有端口都能够充当防火墙端口，一个FWSM模块能服务于交换机所有端口，在网络基础设施之中集成状态防火墙安全特性。 由于70%的安全问题来自企业网络内部，因此企业网络的安全不仅在周边，防止未经授权的用户进入企业网络的子网和VLAN是我们一直忽视的问题，也正是6509交换机加上FWSM防火墙模块要完成的职责。 Catalyst 6509作为企业的汇聚或核心交换机，往往要为企业的不同部门划分子网和VLAN，FWSM模块的加入为不同部门之间搭建了坚实的屏障。 和传统防火墙的体系结构不同，FWSM内部体系主要由一个 双 Intel PIII处理器和3个IBM网络处理器及相应的ASIC芯片组成。其中两个网络处理器各有三条千兆线路连接到6509的背板上。FWSM使用的是Cisco PIX操作系统这一实时、牢固的嵌入式操作系统，采用基于ASA（自适应安全算法）的核心实现机制，继承了思科PIX防火墙性能和功能方面的既有优势。 对于已购买了Catalyst 6509交换机的用户来说，他们不必对原有产品进行更换，就能通过独立购买FWSM模块，获得这种防火墙特性，在简化网络结构的同时，真正实现对用户的投资保护。 功能：细致到每一处 从FWSM防火墙模块的管理和易用性来看，对于那些非常熟悉Cisco IOS命令行的工程师来说，通过Console或Telnet进行设置非常容易上手，而对于笔者这种对Cisco 命令仅略通一二的人来说，最佳的管理和设置方式莫过于用Web进行管理，Web管理其实是调用了用来管理PIX防火墙的PIX Device Manager(PDM)2.1(1)工具，非常直观地帮助用户进行规则设置、管理和状态监视。进行Web管理的安全通过HTTP+SSL（HTTPS）来进行保障。 网络特性方面，我们需要提及的是由于和交换机集成，所以FWSM模块拥有非常多独特之处，包括能支持各种百兆和千兆以太网接口，进而拥有了Catalyst 6509交换机的可扩展性，支持静态路由和RIP、OSPF动态路由协议，能作ARP代理和DHCP服务器。在规则设定中支持基于VLAN设定安全区域，对每个VLAN实施安全策略。 在高可用性方面，不仅在Catalyst 6509上插的两个防火墙模块之间能实现冗余备份，两台Catalyst 6509交换机之间能通过LAN进行故障恢复。据思科工程师介绍，6509最多能插入4个FWSM防火墙模块，这四个模块绑在一起能提供的吞吐量是单个防火墙模块的4倍。 对于访问FWSM防火墙模块的用户，思科考虑的非常细心的一个特点是通过PDM能对CLI命令设置优先级，分为15个级别，创建和这些优先级对应的用户账号或登录环境，以更细的粒度对访问者进行管理。 NAT是防火墙的必要特性，FWSM模块不仅对动态和静态NAT提供了良好支持，而且还支持基于端口的PAT（端口地址转换）。 在使用PDM时，可通过组合网络对象、服务、协议或端口成为组进行管理和规则设置，最多支持128K ACL设置。 对日志的支持程度是防火墙功能是否完备的重要标志。FWSM不仅支持将日志记录到防火墙中，并对所用缓冲区进行限制，还支持用Syslog 服务器记录日志，将日志警告分为8个级别进行限制。 FWSM防火墙模块能够支持H.323、SIP等VoIP相关协议。 PDM提供的状态监视功能非常强大，能按照图像或表格形式非常直观地显示CPU、内存利用率及进出防火墙的数据包状态等周详信息。 易于查找的帮助信息也是思科为用户考虑的周到之处，用户通过Web界面能非常容易得到相关信息。 性能：多流环境上佳表现 传统防火墙往往会成为网络上的瓶颈，因此性能是用户相当关心的问题。通过此次测试（请见表中数据），我们能看到出众的性能是FWSM和Catalyst 6500紧密集成所带来的结果，交换机的优异性能表目前启动防火墙后同样得到了良好的体现。去年我们原来作过千兆防火墙公开比较评测，当时测试环境是在两条流条件下进行的，成绩最佳的千兆防火墙在64字节帧长下吞吐量达到59%线速。此次测试我们选用两个1000Base-SX分别作内、外网口，采用20条UDP流并存的条件下，测试结果64、512、1518三种帧长下吞吐量为85.19%、100%、100%,显然，和以往我们原来测试过的结果相比，吞吐量性能更为出色。 而且，我们还发现由于设置为按照目的端口进行负载均衡，在防火墙上使用show conn命令能实时观察到网络处理器之间确实对所承担的Session进行了分担。 帧丢失率和延迟的测试结果更是让人眼前一亮，三种帧长下的结果为6.29%、0、0。在吞吐量的条件下测试的延迟结果也均在90?以下。 衡量防火墙性能的一个更有标志性的指标“最大TCP/HTTP并发连接数”结果为942802，完万能满足大型企业级用户的需求。 性能测试结果帧长64字节512字节1518字节吞吐量85.19%100%100%帧丢失率6.29%00延迟（s）80.8848.8681.29最大并发连接数942802 我们能看到防火墙和交换机的结合在提升企业网络内部安全性的同时对网络性能的影响并不大，让用户能真正体验到安全和性能的完美结合。 传统防火墙处于网关位置，往往会结合入侵检测或VPN功能，是各种功能的综合体。而思科Catalyst 6500系列FWSM模块的防火墙特性更为突出，不仅能独立工作，还能和部署在同一台6500交换机箱中独立的入侵检测模块、VPN模块和SSL加密模块密切协作，各司其职，这也显示了细化分工的趋势，使企业能按照更为清晰的架构搭建多层次的安全网络。 测试方法 在性能测试中，我们使用了由思傅伦通信公司提供的SmartBits 6000B测试仪。我们在测试中使用的测试软件为SmartFlow 1.50和WebSuite Firewall 1.10。使用1000Base-X SmartMetrics模块的两个1000Base-SX GBIC，通过光纤将其分别和被测设备的两个千兆端口直连。测试环境如图所示。 在测试中，我们将Catalyst 6509交换机设置为类似于一台防火墙和一个路由器串联，防火墙设置为内、外网全通，交换机设置为根据目的端口进行负载均衡。 我们用SmartFlow完成了吞吐量、延迟和帧丢失率的测试，双向设置20个流（每个方向各有10个流），测试时间为120秒。 每个方向的10个流中源MAC/IP/端口相同，目的MAC/IP相同，目的端口不同。其中吞吐量测试中允许的帧丢失率为0,延迟测试是在吞吐量的条件下完成的。测试过程选用了64、512、1518字节三种帧长。 我们用WebSuite Firewall 完成了最大并发连接数的测试，测试速率为4000个连接/秒。每项测试我们都进行三遍，最终取平均值作最后结果。 被测的Catalyst 6509交换机控制引擎设置为SUP2/MSFC2,IOS版本为12.1(13)E5,FWSM 软件版本为1.1(2),PDM版本为2.1(1)。 Cisco Catalyst 6500系列交换机和Cisco 7600系列互连网路由器的防火墙服务模块(1)阅读提示：防火墙服务模块（FWSM）是个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块，能和总线和交换矩阵进行交互。 Q. 什么是防火墙服务模块？A. 防火墙服务模块（FWSM）是个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块，能和总线和交换矩阵进行交互。FWSM能在Cisco Catalyst 6500系列交换机和Cisco 7600系列互连网路由器中提供状态防火墙功能。Q. FWSM主要具有哪些特性？ A. FWSM的主要特性包括： ? 高性能，OC-48 或 5 Gbps 吞吐量，全双工防火墙功能 ? 具有整个PIX 6.0软件功能集和PIX 6.2的下列特性：o 命令授权o 对象组合o ILS/NetMeeting修正o URL过滤改进? 3M pps 吞吐量? 支持100个VLAN? 一百万个并发连接 ? LAN故障恢复：主从备份模式，设备内部/设备之间? 利用OSPF/RIP进行动态路由? 每个机箱支持多个模块Q. 防火墙服务模块（FWSM）和Cisco PIX防火墙之间有何不同？ A. FWSM是Cisco Catalyst 6500系列交换机和Cisco 7600系列互连网路由器的一种集成模块-和独立的Cisco PIX防火墙不同。 FWSM建立在Cisco PIX技术的基础之上。Q. FWSM运行的是什么操作系统？A. FWSM和Cisco PIX防火墙运行的操作系统都是实时操作系统Finesse。Finesse是一种真正的微核系统，能够提供可重复使用的软件、便于移植的原始码，并能提高产品质量，减少测试次数，缩短产品上市时间，提高投资回报。 Q. FWSM用什么机制检测流量？ A. FWSM使用和Cisco PIX防火墙相同的检测算法：自适应安全算法（ASA）。ASA是一种状态检测引擎，能检测流量的完整性。ASA能使用源和目的地的地址和端口、TCP序列号，及其他TCP标志，散列IP报头信息。散列的作用相当于指纹，即创建一个独特的代码，表明建立输入或输出连接的客户端的身份。如需查看更多的ASA文件，请接入：/univercd/cc . 60/config/intro.htmQ. Cisco PIX防火墙和PWSM的特性有何差别？ A. FWSM支持Cisco PIX防火墙6.0版本的所有功能和6.2版本的某些功能。下表列出了他们的主要差别。如需查看这些差别的周详说明，请参阅Cisco PIX 和防火墙模块的差别文件。提供该文件的URL应当链接到防火墙网页 特性 FSMCisco PIX性能 5 Gb 1.7 Gb VLAN标签 有 无 路由 动态 静态 故障恢复使用许可 不必 需要 VPN 功能 无 有 IDS 签名 无 有 最大接口数 100 10 输入控制列表（ACL）支持 128000 2M Q. FWSM的性能怎么？ A. 总性能约为5Gbps。FWSM能每秒支持一百万个并发连接，并且每秒能建立超过10万个连接。Q. 装有FWSM的Catalyst 6500主要部署在什么地方？ A. 装有FWSM的Cisco Catalyst 6500 系列能提供目前性能最高的防火墙功能-他能够让企业将多种关键任务型防火墙功能整合到一个设备之中，从而减少分散的防火墙的个数，简化对多个防火墙的管理。FWSM主要部署在企业园区的边缘和分布点。 Q. FWSM所能支持的最低的软件版本是多少？ A. 最低的IOS软件版本是12.1(13)E，而综合CatOS的最低版本是7.5(1)。Q. FWSM支持交换矩阵吗？ A. 是的，FWSM支持交换矩阵。他具有一条和总线的连接和一条和交换矩阵的连接。 Q. FWSM是否利用热备份路由协议（HSRP）实现冗余？ A. 不是。主FWSM和冗余FWSM都使用和Cisco PIX防火墙相同的协议交换逻辑更新和状态信息。 Q. 怎样将流量发送给FWSM？该模块是否具有外部端口？ A. FWSM上没有外部端口。系统会给FWSM分配一些传输流量的VLAN，这些VLAN上的流量将获得防火墙的保护。Q. FWSM是否支持冗余？ A. FCS能提供状态防火墙故障恢复。FWSM采用了独特的设计，能结合PIX状态故障恢复功能。FWSM模块能安装在同一个或另外一个Catalyst 6500系列交换机中。 Q. FWSM是否支持路由协议？ A. 是的，他支持开放最短路径优先（OSPF）和路由信息协议（RIP）。Q. 在订购FWSM时，我应当使用什么产品编号？A. FWSM的产品编号为： 产品编号 说明 WS-SVC-FWM-1-K9 用于Cisco Catalyst 6500的防火墙服务模块 WS-SVC-FWM-1-K9= 用于Cisco Catalyst 6500的防火墙服务模块（备件） SC-SVC-FWM-1.1-K9 用于Catalyst 6500的防火墙模块软件 SC-SVC-FWM-1.1-K9= 用于Catalyst 6500的防火墙模块软件（备件） Q. FWSM是否具有使用许可选项？ A. 没有，该模块没有所有受限的和不受限的使用许可选项。 Q. FWSM使用的是什么三重数据加密标准（3DES）软件？A. FWSM上的加密功能只能用于网络管理。你不能用该模块上的3DES软件进行远程接入或站点间隧道端接。 Q. 模块软件是否内置3DES软件，我是否需要独立订购该软件？ A. 3DES 和软件映像捆绑提供。你不必独立订购该软件。Q. 机载闪存和DRAM内存有多大，我能否升级DRAM？ A. FWSM的闪存为128MB，DRAM内存为1GB。内存无法现场升级。 Q. FWSM获得了什么认证？ A. 我们将在2002日历年度的第四季度之前获得ICSA认证。Q. 我是否能在FWSM上连接远程虚拟专用网（VPN）用户？ A. 不行，FWSM不能提供VPN功能。 Q. 我是否能在同一个机箱中安装多个模块？ A. 能，每个机箱最多能安装四个模块。 Q. FWSM是否支持组播功能？ A. 最初的版本不能支持组播功能，不过组播支持将在未来的版本中提供。Q. 我是否能在同一个设备中安装和运行FWSM和IPSec VPN加速模块？ A. 不能。最初版本的IOS映像不能互相兼容，因而不能将这两个模块安装在同一个设备中。 Q. FWSM是否支持IDSM入侵检测模块？ A. 防火墙服务模块和IDS模块能共存于同一个设备中。由于IDS模块是个从设备，所以获得防火墙保护的VLAN也能拓展到IDS模块，进行入侵检测。 Q. FWSM是否能提供拒绝服务/DDoS检测和管理功能？ A. 能。FWSM能根据协议或地址设置阀值、日志和设置。 Q. FWSM能发现哪些拒绝服务攻击？ A. 他能发现下列攻击： o ICMP Flood o UDP Floodo Ping of Death o IP Spoofing o IP源路由选项Q. FWSM是否支持IP源路由过滤功能？ A. IP源路由过滤功能由IOS提供。 Q. FWSM是否能支持URL/HTTP过滤? A. 是的，需要通过像Websense这样的Web过滤工具。 Q. FWSM缺省的安全设置是什么？ A. FWSM会拒绝所有方向上的所有分组，包括来自于管理接口的探测流量。 Q. FWSM是否能提供高可用性的主/主备份支持？ A. FWSM 目前能提供主/从备份支持。主/主备份支持目前正在研究之中。Q. FWSM的主/从冗余功能是否能提供无缝的故障恢复？A. 能。Q. FWSM是否支持流量整型？ A. FWSM能通过Catalyst 6500线卡支持流量整型，这种线卡能为FWSM提供VLAN接口。 Q. FWSM是否支持QoS机制和速率限制？ A. 能，他支持Catalyst 6500的所有QoS功能。 Q. FWSMD是否支持安全的带外管理？A. 能，通过管理VLAN上的IPSec。Q. FWSM是否支持Traceroute和ping? A. 如果获得明确许可就能支持。缺省状态下不支持。Q. 应当用什么应用设置FWSM和监视系统日志流量？A. 在最初的版本中，用户能通过CLI 和Cisco PIX设备管理器（PDM）管理FWSM。PDM能通过基于向导的菜单帮助用户进行防火墙设置。防火墙透明模式设置防火墙的透明模式特性介绍：从PIX 7.0和FWSM 2.2开始防火墙能支持透明的防火墙模式，接口不必设置地址信息，工作在二层。只支持两个接口inside和outside，当然能设置一个管理接口，不过管理接口不能用于处理用户流量，在多context模式下不能复用物理端口。由于连接的是同一地址段的网络，所以不支持NAT，虽然没有IP地址不过同样能设置ACL来检查流量。进入透明模式 Firewall(config)# firewall transparent(show firewall 来验证当前的工作模式，由于路由模式和透明模式工作方式不同，所以互相转换的时候会清除当前设置文件)设置接口 Firewall(config)# interface hardware-idFirewall(config-if)# speed auto | 10 | 100 |nonegotiateFirewall(config-if)# duplex auto | full | halfFirewall(config-if)# no shutdownFirewall(config-if)# nameif if_nameFirewall(config-if)# security-level level注：不用设置IP地址信息，不过其他的属性还是要设置的，接口的安全等级一般要不相同，same-security-traffic permit inter-interface命令能免除此限制。设置管理地址 Firewall(config)# ip address ip_address subnet_maskFirewall(config)# routeif_nameforeign_network foreign_mask gateway metricMAC地址表的设置 Firewall# show mac-address-table 显示MAC地址表Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证)ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目Firewall(config)# arp-inspection if_name enable flood | no-flood 端口启用ARP检查为非IP协议设置转发策略 Firewall(config)# access-list acl_id ethertype permit | deny any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertypeFirewall(config)# access-group acl_id in | out interface if_name6509的FWMS模块设置6509的FWMS模块设置我的6509 fwsm笔记/viewthread.php?tid=4910基于PIX6.0，支持100个VLAN，和switch通过6G的etherchannel连接，802.1q封装。 未设置的VLAN都作为inside处理，他们之间的通信不经过FWSM。 外发的包到达高安全级端口，要经过NAT修改源地址后流向低安全级端口；流入的包要先经过检查，修改目标地址后转发到受保护端口 FWSM能在MSFC前，也能在MSFC后 3个设置例子 1 OUTSIDE?MSFC?vlan10?FWSM?vlan20?CORE?HOST的设置过程 ? Create the Layer 3 Interface to be used as gateway by FWSM. This is done in global config mode. o MSFC(config)#interface vlan 10 o MSFC(config-int)#ip address o MSFC(config-int)#no shutdown ? Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module. o MSFC(config)#firewall vlan-group 1 10,20 o MSFC(config)#firewall module 3 vlan-group 1 ? Session to the FWSM. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the FWSM is in slot 3 of the chassis. o MSFC#session slot 3 proc 1 ? Create Layer 3 interfaces on the FWSM. The command to do this is “nameif &vlan# &interface name &security level” in global config mode. o FWSM(config)#nameif 10 outside 0 o FWSM(config)#ip address outside o FWSM(config)#nameif 20 inside 100 o FWSM(config)#ip address inside ? Add default route to Outside security level on the FWSM. o FWSM(config)#route outside 1 ? Configure a STATIC NAT entry for hosts A and B to be seen by outside users. o FWSM(config)#static (inside,outside) 5 5 netmask 55 ?Host A o FWSM(config)#static (inside,outside) 6 6 netmask 55 ?Host B ? Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level. o FWSM(config)#nat (inside) 1 0 0 o FWSM(config)#global (outside) 1 00 ? Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the outside security level. o FWSM(config)#access-list outside-acl permit tcp any host 5 eq www o FWSM(config)# access-list outside-acl permit tcp any host 5 eq ftp o FWSM(config)# access-list outside-acl permit tcp any host 5 eq ftp-data o FWSM(config)# access-list outside-acl permit icmp any host 5 (this allows outside users to ping) o FWSM(config)#access-list outside-acl permit tcp any host 6 eq www o FWSM(config)# access-list outside-acl permit tcp any host 6 eq ftp o FWSM(config)# access-list outside-acl permit tcp any host 6 eq ftp-data o FWSM(config)# access-list outside-acl permit icmp any host 6 ?(this allows outside users to ping) ? Now apply the defined access-list outside-acl to the outside interface as follows: o FWSM(config)#access-group outside-acl in interface outside 2 OUTSIDE?vlan10?FWSM?vlan20?MSFC?vlan30?CORE?HOST 和上面例子的不同之处在于： FWSM通过vlan10连接外部，所以65连接外部的g8/1要属于vlan10 o MSFC(config)#interface gigabit 8/1 o MSFC(config-int)# switchport o MSFC(config-int)#switchport mode access o MSFC(config-int)#switchport access vlan 10 o MSFC(config-int)#no shutdown MSFC上使用静态路由即可 o MSFC(config)#ip route FWSM使用静态路由以便使外部数据能进入内部 o FWSM(config)#route inside 3 DMZ | vlan50 | OUTSIDE?MSFC?vlan10?FWSM?vlan20?CORE?HOST的设置过程比1增加了如下： | vlan60 | DMZ ? Create the DMZ VLANs on the MSFC in global config mode o MSFC(config)#vlan 50 o MSFC(config-vlan)#no shutdown o MSFC(config)#vlan 60 o MSFC(config-vlan)#no shutdown ? Add VLANs 50 and 60 to the firewall-vlan group created in Configuration #1. o MSFC(config)#firewall vlan-group 1 50,60 DMZ的计算机连接端口要设成switchport以便FWSM能看到 o MSFC(config)#interface FastEthernet 7/1 o MSFC(config-int)#switchport o MSFC(config-int)switchport mode access o MSFC(config-int)switchport access vlan 60 o MSFC(config-int)no shutdown ? Session to the FWSM as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ security levels. o FWSM(config)#nameif 60 dmz1 60 o FWSM(config)#nameif 50 dmz2 50 o FWSM(config)#ip address dmz1 o FWSM(config)#ip address dmz2 ? To enable users to be able to connect with the servers in the DMZs, STATIC and NAT translations will have to be established depending upon the direction of the traffic flow. o FWSM(config)#nat (dmz1) 2 o FWSM(config)#global (outside) 2 0 o FWSM(config)#global (dmz2) 2 00 o FWSM(config)#nat (dmz2) 3 o FWSM(config)#global (outside) 3 0 o FWSM(config)#static (inside,dmz1) 0 5 netmask 55 o FWSM(config)#static (inside,dmz2) 0 5 netmask 55 o FWSM(config)#static (dmz1,dmz2) 0 5 netmask 55 有关acl o FWSM(config)#access-list web permit tcp any host 25 eq www o FWSM(config)#access-list web permit tcp any host 206.10.16509的FWMS模块设置6509的FWMS模块设置我的6509 fwsm笔记/viewthread.php?tid=4910基于PIX6.0，支持100个VLAN，和switch通过6G的etherchannel连接，802.1q封装。 未设置的VLAN都作为inside处理，他们之间的通信不经过FWSM。 外发的包到达高安全级端口，要经过NAT修改源地址后流向低安全级端口；流入的包要先经过检查，修改目标地址后转发到受保护端口 FWSM能在MSFC前，也能在MSFC后 3个设置例子 1 OUTSIDE?MSFC?vlan10?FWSM?vlan20?CORE?HOST的设置过程 ? Create the Layer 3 Interface to be used as gateway by FWSM. This is done in global config mode. o MSFC(config)#interface vlan 10 o MSFC(config-int)#ip address o MSFC(config-int)#no shutdown ? Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module. o MSFC(config)#firewall vlan-group 1 10,20 o MSFC(config)#firewall module 3 vlan-group 1 ? Session to the FWSM. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the FWSM is in slot 3 of the chassis. o MSFC#session slot 3 proc 1 ? Create Layer 3 interfaces on the FWSM. The command to do this is “nameif &vlan# &interface name &security level” in global config mode. o FWSM(config)#nameif 10 outside 0 o FWSM(config)#ip address outside o FWSM(config)#nameif 20 inside 100 o FWSM(config)#ip address inside ? Add default route to Outside security level on the FWSM. o FWSM(config)#route outside 1 ? Configure a STATIC NAT entry for hosts A and B to be seen by outside users. o FWSM(config)#static (inside,outside) 5 5 netmask 55 ?Host A o FWSM(config)#static (inside,outside) 6 6 netmask 55 ?Host B ? Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level. o FWSM(config)#nat (inside) 1 0 0 o FWSM(config)#global (outside) 1 00 ? Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the outside security level. o FWSM(config)#access-list outside-acl permit tcp any host 5 eq www o FWSM(config)# access-list outside-acl permit tcp any host 5 eq ftp o FWSM(config)# access-list outside-acl permit tcp any host 5 eq ftp-data o FWSM(config)# access-list outside-acl permit icmp any host 5 (this allows outside users to ping) o FWSM(config)#access-list outside-acl permit tcp any host 6 eq www o FWSM(config)# access-list outside-acl permit tcp any host 6 eq ftp o FWSM(config)# access-list outside-acl permit tcp any host 6 eq ftp-data o FWSM(config)# access-list outside-acl permit icmp any host 6 ?(this allows outside users to ping) ? Now apply the defined access-list outside-acl to the outside interface as follows: o FWSM(config)#access-group outside-acl in interface outside 2 OUTSIDE?vlan10?FWSM?vlan20?MSFC?vlan30?CORE?HOST 和上面例子的不同之处在于： FWSM通过vlan10连接外部，所以65连接外部的g8/1要属于vlan10 o MSFC(config)#interface gigabit 8/1 o MSFC(config-int)# switchport o MSFC(config-int)#switchport mode access o MSFC(config-int)#switchport access vlan 10 o MSFC(config-int)#no shutdown MSFC上使用静态路由即可 o MSFC(config)#ip route FWSM使用静态路由以便使外部数据能进入内部 o FWSM(config)#route inside 3 DMZ | vlan50 | OUTSIDE?MSFC?vlan10?FWSM?vlan20?CORE?HOST的设置过程比1增加了如下： | vlan60 | DMZ ? Create the DMZ VLANs on the MSFC in global config mode o MSFC(config)#vlan 50 o MSFC(config-vlan)#no shutdown o MSFC(config)#vlan 60 o MSFC(config-vlan)#no shutdown ? Add VLANs 50 and 60 to the firewall-vlan group created in Configuration #1. o MSFC(config)#firewall vlan-group 1 50,60 DMZ的计算机连接端口要设成switchport以便FWSM能看到 o MSFC(config)#interface FastEthernet 7/1 o MSFC(config-int)#switchport o MSFC(config-int)switchport mode access o MSFC(config-int)switchport access vlan 60 o MSFC(config-int)no shutdown ? Session to the FWSM as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ secur