[计算机]FWSM防火墙模块配置和实验.doc

FWSM配置注解:FWSM# sh run: Saved:FWSM Version 3.1(3) !resource acl-partition 12 /内存分为12个区hostname FWSM /主机名称enable password sdfsadfasdf encrypted /特权模式密码interface Vlan300 / vlan300加入FWSM!interface Vlan301 / vlan300加入FWSMdescription LAN Failover Interface /接口描述，此接口为同步接口interface Vlan302 / vlan300加入FWSMdescription STATE Failover Interface /接口描述，此接口为状态同步接口interface Vlan303 / vlan303加入FWSM!interface Vlan350 / vlan350加入FWSM!interface Vlan351 / vlan351加入FWSM!interface Vlan352 / vlan352加入FWSM!interface Vlan353 / vlan353加入FWSM! interface Vlan354 / vlan354加入FWSM!interface Vlan355 / vlan355加入FWSM!interface Vlan356 / vlan356加入FWSM!interface Vlan357 / vlan357加入FWSM!interface Vlan358 / vlan358加入FWSM!interface Vlan359 / vlan359加入FWSM!interface Vlan360 / vlan360加入FWSM!interface Vlan361 / vlan362加入FWSM!interface Vlan362 / vlan362加入FWSM!passwd sadfsadfsdfsafasdfasdf encrypted /控制台密码class default /默认资源类型limit-resource All 0 /所有资源不做限制limit-resource IPSec 5 /IPSec会话限制数为5limit-resource Mac-addresses 65535 /mac地址表条目上限为65535limit-resource ASDM 5 /ASDM管理会话数上限为5limit-resource SSH 5 /SSH会话限制数为5limit-resource Telnet 5 /Telnet会话限制数为5!ftp mode passive /FTP模式为被动模式pager lines 24 /设置一屏显示行数failover /启动故障恢复failover lan interface lan Vlan301 /故障恢复同步vlanfailover link state Vlan302 /状态恢复vlanfailover interface ip lan 48 standby 0/故障恢复同步vlan接口的IP设置failover interface ip state 7 48 standby 8/状态同步vlan接口的IP设置failover group 1 /故障恢复分组一secondary /在副模块上活动 preempt 1 /故障恢复抢先failover group 2 /故障恢复分组二preempt 1 /故障恢复抢先arp timeout 14400 /arp条目失效时间console timeout 0 /控制台超时时间admin-context admin /指定实例admin为管理实例 context admin /进入实例配置模式allocate-interface Vlan300 /将vlan加入实例 config-url disk:/admin.cfg /指定配置文件的位置 context 1-bangong /进入实例配置模式allocate-interface Vlan350 /将vlan350加入实例allocate-interface Vlan360 /将vlan360加入实例config-url disk:/vf10.cfg /指定配置文件的位置join-failover-group 1 /加入故障恢复分组一context 2-jiankong /进入实例配置模式allocate-interface Vlan351 /将vlan351加入实例allocate-interface Vlan361 /将vlan361加入实例config-url disk:/vf11.cfg /指定配置文件的位置join-failover-group 1 /加入故障恢复分组一context 3-caiwu /进入实例配置模式allocate-interface Vlan352 /将vlan352加入实例allocate-interface Vlan362 /将vlan362加入实例config-url disk:/vf12.cfg /指定配置文件的位置join-failover-group 1 /加入故障恢复分组一context 4-kaifa /进入实例配置模式allocate-interface Vlan353 /将vlan353加入实例allocate-interface Vlan363 /将vlan363加入实例config-url disk:/vf13.cfg /指定配置文件的位置join-failover-group 1 /加入故障恢复分组一!context 5-kantanyingyong /进入实例配置模式allocate-interface Vlan354 /将vlan354加入实例allocate-interface Vlan364 /将vlan36加入实例config-url disk:/vf14.cfg /指定配置文件的位置join-failover-group 1 /加入故障恢复分组一!context 6-kantanshujuku /进入实例配置模式allocate-interface Vlan355 /将vlan355加入实例allocate-interface Vlan365 /将vlan365加入实例config-url disk:/vf15.cfg /指定配置文件的位置join-failover-group 2 /加入故障恢复分组二!context 7-shengchan进制 /进入实例配置模式allocate-interface Vlan356 /将vlan356加入实例allocate-interface Vlan366 /将vlan366加入实例config-url disk:/vf16.cfg /指定配置文件的位置join-failover-group 2 /加入故障恢复分组二!context 8-guanli /进入实例配置模式allocate-interface Vlan357 /将vlan357加入实例allocate-interface Vlan367 /将vlan367加入实例config-url disk:/vf17.cfg /指定配置文件的位置join-failover-group 2 /加入故障恢复分组二!context 9-jingying /进入实例配置模式allocate-interface Vlan358 /将vlan358加入实例allocate-interface Vlan368 /将vlan368加入实例config-url disk:/vf18.cfg /指定配置文件的位置join-failover-group 2 /加入故障恢复分组二!context 10-qita /进入实例配置模式allocate-interface Vlan359 /将vlan359加入实例allocate-interface Vlan369 /将vlan369加入实例config-url disk:/vf19.cfg /指定配置文件的位置join-failover-group 2 /加入故障恢复分组二!prompt hostname context /提示符为主机名+实例名Cryptochecksum:233g23g23t423dsfg34544: endFWSM/admin# sh runFWSM Version 3.1(3) !hostname admin /实例名为admindomain-name default.domain.invalid /缺省域名为default.domain.invalid enable password 2KFQnbNIdI.2KYOU encrypted /特权模式密码names /启用地址到名称的转换!interface Vlan300 /进入接口配置模式nameif admin /命名接口security-level 100 /指定安全级别为100 ip address 48 standby /接口的IP配置!passwd 2KFQnbNIdI.2KYOU encrypted /控制台密码pager lines 24 /一屏显示24行logging enable /启用日志logging timestamp /启用日志时间戮logging standby /启用备分模块的日志logging monitor informational /在SSH和Telnet会话中显示日志，日志级别为信息级logging buffered informational /日志保存到缓存，日志级别为信息级mtu admin 1500 /指定admin接口的MTUicmp permit 4 92 admin /允许网络中心的IPMP流量进入icmp permit admin /允许核心交换机的ICMP流量进入no asdm history enable /关闭ASDM历史追踪arp timeout 14400 /ARP条目失效时间route admin 1 /配置管理实例的外出路由，下一跳为交换机的SVItimeout xlate 3:00:00 /NAT条目失效时间timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 /TCP连接空闲时间为1小时，TCP半关连接空闲时间为10分钟，ICMP空闲时间为2分钟，UDP空闲时间为2分钟timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 /sunrpc slot空闲时间为10分钟， H323控制连接空闲时间为5分钟，H225信令连接空闲时间为1小时，MGCP连接空闲时间为5分钟timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 /mgcp-pat xlate失效时间为5分钟，sip控制连接空闲时间为30分钟，sip media连接空闲时间为2分钟timeout uauth 0:05:00 absolute /用户认证信息缓存时间为5分钟，绝对时间no snmp-server location /snmp-server位置no snmp-server contact /snmp-server联系人snmp-server enable traps snmp authentication linkup linkdown coldstart/启用snmp-server发送信息，包括认证，链路状态，冷启动telnet 4 92 admin /允许网络中心远程登录流量telnet timeout 10 /远程登录会话空闲时间为10秒ssh timeout 5 /SSH会话失效时间为5秒!class-map inspection_default /进入流量类型配置模式match default-inspection-traffic /匹配流量!policy-map global_policy /进入安全策略配置模式class inspection_default /匹配流量类型inspect dns maximum-length 512 /启用dns深度检查inspect ftp /启用ftp深度检查inspect h323 h225 /启用h323,h225深度检查inspect h323 ras /启用h323 ras深度检查inspect netbios /启用netbios深度检查inspect rsh /启用rsh深度检查inspect skinny /启用skinny深度检查inspect smtp /启用smtp深度检查inspect sqlnet /启用sqlnet深度检查inspect sunrpc /启用sunrpc深度检查inspect tftp /启用tftp深度检查inspect sip /启用sip深度检查inspect xdmcp /启用xdmcp深度检查service-policy global_policy global /在全局应用安全策略Cryptochecksum:5558047ed4d32a63671cdd63104fa334: endFWSM/1-bangong# sh run : Saved:FWSM Version 3.1(3) !hostname 1-bangong /实例名enable password 8Ry2YjIyt7RRXU24 encrypted /特权模式密码names /启用地址名称转换!interface Vlan350 /进入接口配置模式nameif outside /命名接口security-level 0 /安全级别为0ip address 5 48 standby 6 /配置接口IPinterface Vlan360 /进入接口配置模式nameif inside /命名接口security-level 100 /接口安全级别为100ip address 3 48 standby 4 /配置接口IP地址passwd 2KFQnbNIdI.2KYOU encrypted /控制台密码same-security-traffic permit inter-interface /相同安全级别的流量允许通过接口access-list inside_access_in extended permit icmp any any/允许ICMP流量进入inside接口access-list outside_access_in extended permit tcp any 40 eq 80/允许到门户服务器的正常业务流量access-list outside_access_in extended permit tcp any 40 eq 815/允许到门户服务器的正常业务流量access-list outside_access_in extended permit ip 4 92 any/允许管理部门的网络及从核心交换机的流量access-list outside_access_in extended permit ip any/允许管理部门的网络及从核心交换机的流量access-list outside_access_in extended permit icmp 4 92 any/允许管理部门的网络及从核心交换机的ICMP流量access-list outside_access_in extended permit icmp any/允许管理部门的网络及从核心交换机的ICMP流量pager lines 24 /一屏显示24行logging enable /启用日志logging timestamp /启用日志时间戮logging monitor critical /在SSH和Telnet会话中显示日志，日志级别为criticallogging buffered critical /日志保存到缓存，日志级别为criticalmtu inside 1500 /inside接口MTU为1500mtu outside 1500 / outside接口MTU为1500monitor-interface inside /监控inside接口monitor-interface outside /监控outside接口icmp permit any inside /允许ICPM流量进入inside接口icmp permit any outside /允许ICPM流量进入outside接口no asdm history enable /关闭ASDM历史追踪arp timeout 14400 /ARP条目失效时间access-group inside_access_in in interface inside /inside接口上应用访问列表inside_access_inaccess-group outside_access_in in interface outside / outside接口上应用访问列表outside_access_inroute inside 24 7 1 /服务器网络路由指向CSM接口route outside 0 1 /外出路由指向SVItimeout xlate 3:00:00 /NAT条目失效时间timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 /TCP连接空闲时间为1小时，TCP半关连接空闲时间为10分钟，ICMP空闲时间为2分钟，UDP空闲时间为2分钟timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 /sunrpc slot空闲时间为10分钟， H323控制连接空闲时间为5分钟，H225信令连接空闲时间为1小时，MGCP连接空闲时间为5分钟timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 /mgcp-pat xlate失效时间为5分钟，sip控制连接空闲时间为30分钟，sip m