1、FWSM與pix和ASA不同,默認FWSM不允許ping虛擬防火牆的任何端口,若想讓ping,需要必須在端口上打 開(icmp permit any inside/outside);
PS:本人吃過大虧,升級OS時死活ping不同FTP SERVER,搞了好久才發現FWSM有這特性,汗!!!
還有是ping網關只能ping非本地Vlan的。
PS:本人吃過大虧,升級OS時死活ping不同FTP SERVER,搞了好久才發現FWSM有這特性,汗!!!
還有是ping網關只能ping非本地Vlan的。
2、FWSM與pix和ASA的另一個不同是:默認FWSM不允許從安全級別高的端口到安全級別底網絡的訪問,除非用acl明確允許(從安全級別高到安全級別底方向的訪問也需要寫acl並應用到高安全 級別端口上明確允許,才能訪問);而pix和asa默認是允許許從安全級別高的端口到安全級別底網絡的訪問,並不需要寫acl應用到高安全級別端口明確允許;
注意!!!在same-security permit打開的情況下,ASA默認允許同一安全等級訪問,而不需要ACL放行
3,7.2的FWSM,ACL可以寫OUT方向了,6.3不可以
4.7.0和FWSM允許同一安全等級的接口之間互相訪問,可以通過same-security-traffic permit inter-interface解決.6.3不可以
5、FWSM默認只支持兩個security context(不包括 admin context)。這和ASA一樣
6、從single 轉換成 multiple模式時,有時輸入mode multiple防火牆模塊自動重起後,使用show mode 命令查看時仍然顯示爲single模式,需多次輸入命令mode multiple時,才能轉換成multiple context模式(用show mode命令會顯示),這個現象比較怪,版本爲2.3(3)。
7、同一安全等級接口只要在敲了same-security-traffic permit inter-interface命令情況下,不需要任何NAT,同一安全等級的接口之間就能互相訪問,如果在NAT-control打開的情況下,配置了動態NAT或PAT的話,那麼同一安全等級接口的訪問將受到NAT規則的控制,但STATIC NAT不受這個限制
8、配置好開通HTTP可以用ASDM,最好更新到新版(當然有好處啦~)