FWSM 基本配置示例

來源:本站原創 CISCO 超過871 views圍觀 0條評論

前言
前提條件
需求
使用的組件
相關產品
慣例
背景信息
配置
網絡圖
配置
驗證
故障排除
問題: 無法將 VLAN 數據流從 FWSM 傳輸到 IPS Sensor 4270
解決方案
FWSM 中的無序數據包問題
解決方案
問題: 無法將非對稱路由數據包傳輸通過防火墻
解決方案
FWSM 中的 Netflow 支持
解決方案
思科支持社區 – 特別的對話
相關信息


前言

本文檔介紹如何配置安裝在 Cisco 6500 系列交換機或 Cisco 7600 系列路由器中的防火墻服務模塊 (FWSM) 的基本配置。 包括配置 IP 地址、默認路由、靜態和動態 NATing、用于允許所需數據流或阻止不需要的數據流的訪問控制列表 (ACL) 語句、應用程序服務器(如用于檢查來自內部網絡的 Internet 數據流的 Websense)以及針對 Internet 用戶的 Web 服務器。

注意: 在 FWSM 高可用性 (HA) 方案中,僅當模塊之間的許可證密鑰完全相同時,故障切換才可成功同步。 因此,無法在使用不同許可證的 FWSM 之間進行故障切換。

前提條件 需求

本文檔沒有任何特定的要求。

使用的組件

本文檔中的信息基于以下軟件和硬件版本:

  • 運行軟件版本 3.1 及更高版本的防火墻服務模塊
  • 帶有如下所示的必需組件的 Catalyst 6500 系列交換機:
    1. 有Cisco IOS軟件,? 叫作Supervisor Cisco IOS,或者Catalyst操作系統的(OS) Supervisor引擎。 有關所支持的 Supervisor 引擎和軟件版本的信息,請參閱
    2. 裝有 Cisco IOS 軟件的 Multilayer Switch Feature Card (MSFC) 2。 有關所支持的 Cisco IOS 軟件版本的信息,請參閱

    Supervisor 引擎1 Cisco IOS 軟件版本 Cisco IOS 軟件版本 12.2(18)SXF 及更高版本720, 32Cisco IOS 軟件版本 12.2(18)SXF2 及更高版本2, 720, 32Cisco IOS 軟件模塊化 Cisco IOS 軟件版本 12.2(18)SXF4 720, 32Catalyst OS2 8.5(3) 及更高版本2, 720, 32

1 FWSM 不支持 supervisor 1 或 1A。

2在 Supervisor 上使用 Catalyst OS 時,可在 MSFC 上使用這些支持的 Cisco IOS 軟件版本中的任一版本。 在 Supervisor 上使用 Cisco IOS 軟件時,需在 MSFC 上使用相同的版本。

本文檔中的信息都是基于特定實驗室環境中的設備創建的。 本文檔中使用的所有設備最初均采用原始(默認)配置。 如果您在一個工作網絡中操作,在使用之前請確認您已經理解所有指令的潛在影響。

相關產品

此配置也可用于帶有如下所示的必需組件的 Cisco 7600 系列路由器:

  • 裝有 Cisco IOS 軟件的 Supervisor 引擎。 有關所支持的 Supervisor 引擎和 Cisco IOS 軟件版本的信息,請參閱
  • 裝有 Cisco IOS 軟件的 MSFC 2。 有關所支持的 Cisco IOS 軟件版本的信息,請參閱

慣例

有關文檔規則的詳細信息,請參閱 Cisco 技術提示規則

背景信息

FWSM 是安裝在 Catalyst 6500 系列交換機和 Cisco 7600 系列路由器上的性能較高、占用空間較少且有狀態的防火墻模塊。

防火墻可保護內部網絡,阻止外部網絡的用戶對其進行未經授權的訪問。 防火墻還可在內部網絡之間提供保護(例如,如果將人力資源網絡與用戶網絡分開,可采用防火墻保護)。 如果某些網絡資源(如 Web 或 FTP 服務器)需要供外部用戶訪問,則可將這些資源置于防火墻之后的一個獨立網絡(稱為隔離區 (DMZ))上。 防火墻允許對 DMZ 的有限訪問權限,但是由于 DMZ 僅包括公共服務器,因此,此處的攻擊僅影響這些服務器,而不會影響其他內部網絡。 當內部用戶訪問外部網絡(例如訪問 Internet)時,也可進行控制,可以僅允許訪問某些外部地址、要求進行身份驗證或授權,或者配合使用外部 URL 過濾服務器。

FWSM 包括許多高級功能,如類似于虛擬防火墻的多個安全上下文、透明(第 2 層)防火墻或路由(第 3 層)防火墻操作、數百個接口,以及許多其他功能。

連接到防火墻的網絡具有以下特點:外部網絡位于防火墻之前,內部網絡位于防火墻之后且受到保護,而位于防火墻之后的 DMZ 則允許外部用戶進行有限訪問。 由于 FWSM 可使您使用多種安全策略配置許多接口,其中包括許多內部接口、許多 DMZ,甚至是許多外部接口(如果需要),所以這些術語僅用于泛指。

配置

本部分提供有關如何配置本文檔中所述功能的信息。

注意: 使用命令查找工具僅限注冊用戶)可獲取有關本部分所使用命令的詳細信息。

網絡圖

本文檔使用以下網絡設置:

http://img.bimg.126.net/photo/O-z7D0GHxTK-dQIk9DNxTg==/449234062847054688.jpg

注意: 此配置中使用的 IP 編址方案在 Internet 上不能合法路由。 這些地址是在實驗室環境中使用的 RFC 1918 地址。

配置

本文檔使用以下配置:

Catalyst 6500 系列交換機配置

  1. 可在 Catalyst 6500 系列交換機或 Cisco 7600 系列路由器上安裝 FWSM。 這兩個系列的配置是相同的,在本文檔中,這兩個系列通稱為交換機

    注意: 在配置 FWSM 之前,首先需要正確配置交換機。

     

  2. 將 VLAN 分配到防火墻服務模塊 – 此部分描述如何將 VLAN 分配到 FWSM。 FWSM 不包括任何外部物理接口。 相反,它使用的是 VLAN 接口。 將 VLAN 分配到 FWSM 與將 VLAN 分配到交換機端口類似; FWSM 包括到交換矩陣模塊(如果存在)或共享總線的內部接口。

    注意: 有關如何創建 VLAN 以及將其分配到交換機端口的詳細信息,請參閱 Catalyst 6500 交換機軟件配置指南配置 VLAN 部分。

    1. VLAN 指南:
      1. 可對 FWSM 使用專用 VLAN。 將主 VLAN 分配到 FWSM; FWSM 可自動處理輔助 VLAN 數據流。
      2. 不能使用保留的 VLAN。
      3. 不能使用 VLAN 1。
      4. 如果在同一交換機機箱中使用 FWSM 故障切換,請勿將為故障切換和有狀態通信保留的 VLAN 分配到交換機端口。 但是,如果在機箱之間使用故障切換,則必須將 VLAN 包括在機箱之間的中繼端口中。
      5. 如果將 VLAN 分配到 FWSM 之前未將其添加到交換機,則 VLAN 會存儲在 Supervisor 引擎數據庫中,這些 VLAN 會在添加到交換機時被發送到 FWSM。
      6. 將 VLAN 分配到 MSFC 之前,請首先將其分配到 FWSM。

        不滿足此條件的 VLAN 將不會包括在您嘗試在 FWSM 上分配的 VLAN 范圍內。

 

  • 在 Cisco IOS 軟件中將 VLAN 分配到 FWSM:

    在 Cisco IOS 軟件中創建最多 16 個防火墻 VLAN 組,然后將這些組分配到 FWSM。 例如,可以將所有 VLAN 分配到某一個組,或者可以創建一個內部組和一個外部組,也可以為每位用戶創建一個組。 每個組可以包含無限多個 VLAN。

    不可將同一個 VLAN 分配到多個防火墻組; 但是,可以將多個防火墻組分配到某個 FWSM,并且可以將單個防火墻組分配到多個 FWSM。 例如,要分配到多個 FWSM 的 VLAN 可位于一個單獨的組中,該組獨立于每個 FWSM 所獨有的 VLAN。

    1. 完成以下步驟,將 VLAN 分配到 FWSM:

      Router(config)#firewall vlan-group firewall_group vlan_range

      vlan_range 可以為一個或多個 VLAN(例如 2 到 1000,以及 1025 到 4094),其可以為單個數字 (n)(如 5、10、15)或某個范圍 (n-x)(如 5-10、10-20)。

      注意: 路由端口和 WAN 端口會消耗內部 VLAN,因此在 1020-1100 范圍內的 VLAN 很可能已被使用。

      示例:

      firewall vlan-group 1 10,15,20,25

       

    2. 完成以下步驟,將防火墻組分配到 FWSM。

      Router(config)#firewall module module_number vlan-group firewall_group

      firewall_group 為一個或多個組編號,可以是單個數字 (n)(如 5)或某個范圍(如 5-10)。

      示例:

      firewall module 1 vlan-group 1

     

  • 在 Catalyst 操作系統軟件中將 VLAN 分配到 FWSM – 在 Catalyst OS 軟件中,可將一列 VLAN 分配到 FWSM。 如果需要,可將同一個 VLAN 分配到多個 FWSM。 列表可以包含無限多個 VLAN。

    完成以下步驟,將 VLAN 分配到 FWSM。

    Console> (enable)set vlan vlan_list firewall-vlan mod_num

    vlan_list 可以是一個或多個 VLAN(例如 2 到 1000,以及 1025 到 4094),其可以為單個數字 (n)(如 5、10、15)或某個范圍 (n-x)(如 5-10、10-20)。

     

  • 將交換虛擬接口添加到 MSFC – 在 MSFC 上定義的 VLAN 稱為交換虛擬接口。 如果將用于 SVI 的 VLAN 分配到 FWSM,則 MSFC 將會在 FWSM 和其他第 3 層 VLAN 之間路由。

    由于安全原因,默認情況下,在 MSFC 和 FWSM 之間僅可存在一個 SVI。 例如,如果錯誤地為系統配置了多個 SVI,則為 MSFC 分配了內部和外部 VLAN 時,可能會意外允許數據流繞過 FWSM。

    完成以下步驟,配置 SVI

    Router(config)#interface vlan vlan_numberRouter(config-if)#ip address address mask

    示例:

    interface vlan 20ip address 192.168.1.1 255.255.255.0

    Catalyst 6500 系列交換機配置 !— Output Suppressedfirewall vlan-group 1 10,15,20,25firewall module 1 vlan-group 1interface vlan 20ip address 192.168.1.1 255.255.255.0!— Output Suppressed

    注意: 使用適用于交換機操作系統的命令從交換機建立到 FWSM 的會話:

    • Cisco IOS 軟件:

      Router#session slot <number> processor 1

    • Catalyst OS 軟件:

      Console> (enable) session module_number

    (可選)與其他服務模塊共享 VLAN – 如果交換機具有其他服務模塊(例如應用程序控制引擎 (ACE)),則可能必須要與這些服務模塊共享某些 VLAN。 有關與其他此類模塊一起使用時,如何優化 FWSM 配置的詳細信息,請參閱。

    FWSM 配置

    1. 為 FWSM 配置接口 – 需要配置接口名稱和 IP 地址才可允許數據流通過 FWSM。 還應該更改默認為 0 的安全等級。 如果將接口命名為 inside,并且未明確設置安全等級,則 FWSM 會將安全等級設置為 100。

      注意: 每個接口必須具有從 0(最低)到 100(最高)的安全等級。 例如,應該將最安全的網絡(如內部主機網絡)分配為 100 級,而連接到 Internet 的外部網絡可以為 0 級。 其他網絡(如 DMZ)可以在二者之間。

      可將任一 VLAN ID 添加到配置,但是僅有那些由交換機分配到 FWSM 的 VLAN(例如 10、15、20 和 25)才可傳輸數據流。 使用 show vlan 命令可查看所有分配到 FWSM 的 VLAN。

      interface vlan 20 nameif outside security-level 0 ip address 192.168.1.2 255.255.255.0interface vlan 10 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0interface vlan 15 nameif dmz1 security-level 60 ip address 192.168.2.1 255.255.255.224interface vlan 25 nameif dmz2 security-level 50 ip address 192.168.3.1 255.255.255.224

      提示: nameif <name> 命令中,name 是最多為 48 個字符的文本字符串,且不區分大小寫。 使用新值重新輸入此命令可更改名稱。 請勿輸入 no 形式,因為該命令將會導致刪除所有引用此名稱的命令。

       

    2. 配置默認路由:

      route outside 0.0.0.0 0.0.0.0 192.168.1.1

      默認路由用于標識網關 IP 地址 (192.168.1.1),FWSM 會將沒有其獲知路由或靜態路由的所有 IP 數據包發送到此網關地址。 默認路由僅僅是目標 IP 地址為 0.0.0.0/0 的靜態路由。 標識特定目標的路由優先于默認路由。

    3. 動態 NAT 可將一組實際地址 (10.1.1.0/24) 轉換成可在目標網絡上路由的映射地址 (192.168.1.20-192.168.1.50) 池。 映射池包括的地址可以比實際組少。 當要轉換的主機訪問目標網絡時,FWSM 會從映射池中為其分配一個 IP 地址。 僅當實際主機啟動連接時才會添加轉換。 轉換僅在連接期間開啟,轉換超時之后,不會為特定用戶保留相同的 IP 地址。

      nat (inside) 1 10.1.1.0 255.255.255.0global (outside) 1 192.168.1.20-192.168.1.50 netmask 255.255.255.0access-list Internet extended deny ip any 192.168.2.0 255.255.255.0access-list Internet extended permit ip any anyaccess-group Internet in interface inside

      需要創建 ACL 以拒絕來自內部網絡 10.1.1.0/24 的數據流進入 DMZ1 網絡 (192.168.2.0),并通過將 ACL Internet應用到作為傳入數據流進入方向的內部接口以允許其他類型的數據流傳輸到 Internet。

    4. 靜態 NAT 可創建從實際地址到映射地址的固定轉換。使用動態 NAT 和 PAT 時,每臺主機在每次后續轉換時均使用不同的地址或端口。 因為使用靜態 NAT 時每個連續連接的映射地址是相同的,并且存在持久性的轉換規則,因此,靜態 NAT 可允許目標網絡上的主機發起流向已轉換主機的數據流,但前提是存在允許該行為的訪問列表。

      動態 NAT 和靜態 NAT 地址范圍之間的主要區別是:如果存在允許相應行為的訪問列表,靜態 NAT 可允許遠程主機發起與已轉換主機的連接,而動態 NAT 卻不允許這樣做。 對于靜態 NAT,映射地址的數量需與實際地址相同。

      static (dmz1,outside) 192.168.1.6 192.168.2.2 netmask 255.255.255.255static (dmz2,outside) 192.168.1.10 192.168.3.2 netmask 255.255.255.255access-list outside extended permit tcp any host 192.168.1.10 eq httpaccess-list outside extended permit tcp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-dataaccess-list outside extended permit udp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-statusaccess-list inbound extended permit udp any host 216.70.55.69 range 8766 30000access-group outside in interface outside

      以上顯示了兩個靜態 NAT 語句。 第一個語句用于將內部接口上的實際 IP 192.168.2.2 轉換為外部子網上的映射 IP 192.168.1.6,前提是 ACL 允許來自源 192.168.1.30 的數據流傳輸到映射 IP 192.168.1.6 以便訪問 DMZ1 網絡中的 Websense 服務器。 同樣地,在ACL允許從互聯網的流量到被映射的IP 192.168.1.10為了訪問在DMZ2網絡的網絡服務器和有udp端口號在8766到30000范圍內條件下,第二個靜態NAT報表含義翻譯在內部接口的實時IP 192.168.3.2到在外部子網的被映射的IP 192.168.1.10。

       

    5. url-server 命令可指定運行 Websense URL 過濾應用程序的服務器。 相關的限制是單上下文模式下最多 16 個 URL 服務器,多模式下最多 4 個 URL 服務器,但是每次僅可使用一個應用程序(N2H2 或 Websense)。 此外,更改安全設備上的配置后,應用程序服務器上的配置并不會更新。 需按照供應商的相關說明分別進行配置更改。

      在發出針對 HTTPS 和 FTP 的 filter 命令之前必須先配置 url-server 命令。 如果從服務器列表中刪除了所有 URL 服務器,則也會刪除與 URL 過濾相關的所有 filter 命令。

      指定服務器之后,請使用 filter url 命令啟用 URL 過濾服務。

      url-server (dmz1) vendor websense host 192.168.2.2 timeout 30 protocol TCP version 1 connections 5

      filter url 命令允許阻止來自您使用 Websense 過濾應用程序指定的 World Wide Web URL 的出站用戶的訪問。

      filter url http 10.1.1.0 255.255.255.0 0 0

    FWSM 配置!— Output Suppressedinterface vlan 20 nameif outside security-level 0 ip address 192.168.1.2 255.255.255.0interface vlan 10 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0interface vlan 15 nameif dmz1 security-level 60 ip address 192.168.2.1 255.255.255.224interface vlan 25 nameif dmz2 security-level 50 ip address 192.168.3.1 255.255.255.224passwd fl0werenable password treeh0u$eroute outside 0 0 192.168.1.1 1url-server (dmz1) vendor websense host 192.168.2.2 timeout 30 protocol TCP version 1 connections 5url-cache dst 128filter url http 10.1.1.0 255.255.255.0 0 0!— When inside users access an HTTP server, FWSM consults with a!— Websense server in order to determine if the traffic is allowed.nat (inside) 1 10.1.1.0 255.255.255.0global (outside) 1 192.168.1.20-192.168.1.50 netmask 255.255.255.0!— Dynamic NAT for inside users that access the Internetstatic (dmz1,outside) 192.168.1.6 192.168.2.2 netmask 255.255.255.255!— A host on the subnet 192.168.1.0/24 requires access to the Websense !— server for management that use pcAnywhere, so the Websense server !— uses a static translation for its private address.static (dmz2,outside) 192.168.1.10 192.168.3.2 netmask 255.255.255.255!— A host on the Internet requires access to the Webserver, so the Webserver !— uses a static translation for its private address.access-list Internet extended deny ip any 192.168.2.0 255.255.255.0access-list Internet extended permit ip any anyaccess-group Internet in interface inside!— Allows all inside hosts to access the outside for any IP traffic,!— but denies them access to the dmz1access-list outside extended permit tcp any host 192.168.1.10 eq http!— Allows the traffic from the internet with the destination IP address!— 192.168.1.10 and destination port 80access-list outside extended permit tcp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-dataaccess-list outside extended permit udp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-status!— Allows the management host 192.168.1.30 to use !— pcAnywhere on the Websense serveraccess-list inbound extended permit udp any host 216.70.55.69 range 8766 30000!— Allows udp port number in the range of 8766 to 30000.access-group outside in interface outsideaccess-list WEBSENSE extended permit tcp host 192.168.2.2 any eq httpaccess-group WEBSENSE in interface dmz1!— The Websense server needs to access the Websense !— updater server on the outside.!— Output Suppressed

    驗證

    使用本部分可確認配置能否正常運行。

    命令輸出解釋程序工具僅限注冊用戶)(OIT) 支持某些 show 命令。 使用 OIT 可查看對 show 命令輸出的分析。

    1. 根據操作系統查看模塊信息,以驗證交換機是否已確認 FWSM 并將其聯機:
      • Cisco IOS 軟件:

        Router#show moduleMod Ports Card Type Model Serial No.— —– ————————————– —————— ———– 1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE SAD0444099Y 2 48 48 port 10/100 mb RJ-45 ethernet WS-X6248-RJ-45 SAD03475619 3 2 Intrusion Detection System WS-X6381-IDS SAD04250KV5 4 6 Firewall Module WS-SVC-FWM-1 SAD062302U4

      • Catalyst OS 軟件:

        Console>show module [mod-num]The following is sample output from the show module command: Console> show module Mod Slot Ports Module-Type Model Sub Status— —- —– ————————- ——————- — ——1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok4 4 2 Intrusion Detection Syste WS-X6381-IDS no ok5 5 6 Firewall Module WS-SVC-FWM-1 no ok6 6 8 1000BaseX Ethernet WS-X6408-GBIC no ok

      注意: show module 命令用于顯示 FWSM 的 6 個端口。 這些端口是組合為 EtherChannel 的內部端口。

       

    2. Router#show firewall vlan-groupGroup vlans—– —— 1 10,15,20 51 70-85 52 100

    3. Router#show firewall moduleModule Vlan-groups 5 1,51 8 1,52

     

  • 輸入適用于操作系統的命令,以查看當前引導分區:
    • Cisco IOS 軟件:

      Router#show boot device [mod_num]

      示例:

      Router#show boot device[mod:1 ]:[mod:2 ]:[mod:3 ]:[mod:4 ]: cf:4[mod:5 ]: cf:4[mod:6 ]:[mod:7 ]: cf:4[mod:8 ]:[mod:9 ]:

    • Catalyst OS 軟件:

      Console> (enable) show boot device mod_num

      示例:

      Console> (enable) show boot device 6Device BOOT variable = cf:5

  • 故障排除

    本部分提供了可用于對配置進行故障排除的信息。

    1. 設置默認引導分區 – 默認情況下,FWSM 從 cf:4 應用程序分區中引導。 但是,您可以選擇從 cf:5 應用程序分區中引導或從 cf:1 維護分區引導。 要更改默認引導分區,請輸入適用于操作系統的命令:
      • Cisco IOS 軟件:

        Router(config)#boot device module mod_num cf:n

        其中的 n 為 1(維護)、4(應用程序)或 5(應用程序)。

      • Catalyst OS 軟件:

        Console> (enable) set boot device cf:n mod_num

        其中的 n 為 1(維護)、4(應用程序)或 5(應用程序)。

       

    2. 在 Cisco IOS 軟件中重置 FWSM – 要重置 FWSM,請輸入如下所示的命令:

      Router#hw-module module mod_num reset [cf:n] [mem-test-full]

      cf:n 參數為分區,可以是 1(維護)、4(應用程序)或 5(應用程序)。 如果未指定分區,則使用默認分區,通常為 cf:4

      mem-test-full 選項用于運行完整內存測試,完成該測試大約需要 6 分鐘。

      示例:

      Router#hw-mod module 9 resetProceed with reload of module? [confirm] y% reset issued for module 9Router#00:26:55:%SNMP-5-MODULETRAP:Module 9 [Down] Trap00:26:55:SP:The PC in slot 8 is shutting down. Please wait …

      Catalyst OS 軟件

      Console> (enable) reset mod_num [cf:n]

      其中的 cf:n 為分區,可以是 1(維護)、4(應用程序)或 5(應用程序)。 如果未指定分區,則使用默認分區,通常為 cf:4

    注意: 無法在 FWSM 上配置 NTP,因為 NTP 是在交換機中進行設置的。

    問題: 無法將 VLAN 數據流從 FWSM 傳輸到 IPS Sensor 4270

    無法將數據流從 FWSM 傳輸到 IPS Sensor。

    解決方案

    使數據流通過 IPS 的方法是創建輔助 VLAN,以便有效地將當前 VLAN 分為兩部分,然后將其橋接在一起。 使用 VLAN 401 和 501 檢查此示例,以便進一步了解以下內容:

    • 如果要掃描主 VLAN 401 上的數據流,請創建另一個 vlan VLAN 501(輔助 VLAN)。 然后禁用 VLAN 接口 401,401 中的主機當前正將其用作默認網關。
    • 然后使用之前在 VLAN 401 接口上禁用的同一地址啟用 VLAN 501 接口。
    • 將 IPS 接口中的一個置于 VLAN 401 中,另一個置于 VLAN 501 中。

    只需將 VLAN 401 的默認網關移到 VLAN 501 上。 如果存在 VLAN,則需要對 VLAN 做類似的更改。 請注意,VLAN 本質上與 LAN 網段類似。 默認網關可在與使用該網關的主機不同的線路上。

    FWSM 中的無序數據包問題

    如何解決 FWSM 中的無序數據包問題?

    解決方案

    在全局配置模式下發出 sysopt np completion-unit 命令可解決 FWSM 中的無序數據包問題。 在 FWSM 版本 3.2(5) 中引入了此命令,用于確保數據包的轉發順序和接收順序相同。

    問題: 無法將非對稱路由數據包傳輸通過防火墻

    無法將非對稱路由數據包傳輸通過防火墻。

    解決方案

    在類配置模式下發出 set connection advanced-options tcp-state-bypass 命令可將非對稱路由數據包傳輸通過防火墻。 在 FWSM 版本 3.2(1) 中引入了此命令。

    FWSM 中的 Netflow 支持

    FWSM 是否支持 Netflow?

    解決方案

    FWSM 不支持 Netflow。

 

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=257轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏 微帮平台发广告真能赚钱吗 百货早市卖什么赚钱 厢货怎么赚钱 山东11选5全单最大遗漏 六肖中赔多少 齐中彩票 6十1开奖结果 罗纳尔多总进球数 7星彩走势图新浪 种植游戏赚钱游戏 辽宁快乐12开奖结果走势图 排列五36选7哪个中奖概率高 福彩 湖北11选5开奖视频 华东15选5一_走势图表 有钱买二三赚钱打一肖