FWSM配置過程中出現問題的解決

1 FWSM配置過程中出現的小問題
在項目實施及維護過程中出現了一下關於FWSM的小問題現總結如下。
1.1  IP序列號隨機問題
 問題描述：
FWSM或pix在工作過程中出於安全考慮建立每一個會話都會將ip序列號進行隨機編號。流量經過2各以上FWSM時2次以上的隨機編號會嚴重影響各種應用。
 解決方法：
關閉次功能不隨機編號
命令實例：static (inside,outside) 11.18.2.11 11.18.2.11 netmask 255.255.255.240 norandomseq
1.2  NFS問題
 問題描述：
系統中有NFS（NFS是Net File Server的簡寫,即網絡文件服務器.網絡文件系統是FreeBSD支持的文件系統中的一種，也被稱爲NFS. NFS允許一個系統在網絡上與它人共享目錄和文件。通過使用NFS，用戶和程序可以象訪問本地文件一樣訪問遠端系統上的文件。是非windows系統運行的linux、unix）應用的會出現mount不上服務器的問題。
 解決方法：
原因是FWSM3.11版本軟件bug，解決方法有2個
方法一：
Mount時加tcp端口
方法二：
升級FWSM軟件至3.13或更高。
1.3 多context 資源分配bug
 問題描述
在3.13(23)軟件版本下，配置了FWSM context 資源分配後，個別context在某種流量出發下，不能釋放系統資源即show conn 時只增加不減少。
 解決方法：
此爲FWSM軟件bug，升級軟件至3.14或更高即可解決。
1.4  FTP bug
 問題描述
FTP服務器對外服務選用默認端口以外的端口（非21端口）不正常。配置inspect後問題依然存在。
 解決方法：
此爲剛剛發現的bug,哪位大俠有好的解決方法，請不吝賜教。
1.5 配置failover注意事項
 問題描述
在配置failover時，備FWSM已經配置了命令“failover”但沒有同步，show run顯示配置爲“no failover”。
 解決方法：
原因是最先配置了此命令其他的命令還沒有配置，備設備就開始找主設備在找不到主設備情況下此命令會變成“no failover”。解決辦法是最後在配置“failover” 命令或重新再配置一次此命令。
1.6 關於sqlnet問題
 問題描述
FWSM配置完畢後與sqlnet有關的應用不正常。
 解決方法：
Sqlnet流量被FWSM阻擋，解決辦法：
policy-map global_policy
class inspection_default
no inspect sqlnet
1.7 FWSM的郵件衛士
 問題描述
FWSM配置完畢後郵件系統不正常，尤其是使用郵件管理工具。如fox－mail、lookout等。
 問題描述：
FWSM的郵件衛士功能阻擋了SMTP協議的某些郵件命令如hellow、mail、rcpt、data、rset、noop、quit等。
 解決方法：
解決辦法是禁用此功能
policy-map global_policy
class inspection_default
no inspect smtp
1.8 個別應用連接中斷
 問題描述：
FWSM配置好後，過一段時間個別應用連接中斷，是由於這些應用程序寫的有問題在火牆連接超時斷開連接時不能重新建立連接。
 解決方法：
延長timeout時間。命令：
timeout conn 3:00:00
1.9  icmp 衛士
 問題描述：
Pc直接與FWSM inside或其他接口連接FWSM可以ping 通pc，但pc不能ping FWSM接口。原因是FWSM默認情況下是不讓ping的。即使是在FWSM的訪問策略上配置了permit icmp any any 也只是允許流量通過FWSM而不是ping通FWSM接口。
 解決方法：
icmp permit any outside
icmp permit any inside