思科防火墙FWSM

思科FWSM路由模式怎么配置思科公司已成为公认的世界网络互联解决方案的领先厂商，其公司出产的一系列路由器更是引领世界，那么你知道思科FWSM路由模式怎么配置吗?下面是店铺整理的一些关于思科FWSM路由模式怎么配置的相关资料，供你参考。

思科FWSM路由模式配置的方法：应用情况为，两个接口outside应用在广域网，inside端口位于局域网，跑OSPF路由协议，将局域网能够被广域网访问的服务器和端口打开，否则不允许访问。

这个应用的情况比较简单，日后可以继续扩展，如服务器区等等。

sh run: Saved:FWSM Version 3.2(2)!hostname SDDL-Internal-FWdomain-name enable password Z1UFjQZdKfrZkYLf encryptednames!interface Vlan254nameif outsidesecurity-level 0ip address X.Y.254.254 255.255.255.252ospf hello-interval 1ospf dead-interval 3!interface Vlan2254nameif Internalsecurity-level 99ip address X.Y.254.1 255.255.255.252ospf hello-interval 1ospf dead-interval 3!passwd Z1UFjQZdKfrZkYLf encryptedftp mode passive<--- More --->access-list acl-in extended permit ip any anyaccess-list SHJT_to_SDDL extended permit tcp any any eq telnetaccess-list SHJT_to_SDDL extended permit icmp any anyaccess-list SHJT_to_SDDL extended permit ospf any anyaccess-list SHJT_to_SDDL extended permit tcp any host X.Y.128.32 eq wwwaccess-list SHJT_to_SDDL extended permit tcp any X.Y.128.0 255.255.255.0 eq 3389access-list SHJT_to_SDDL extended permit tcp any host X.Y.1.13 eq lotusnotesaccess-list SHJT_to_SDDL extended permit tcp any host X.Y.128.60 eq wwwaccess-list SHJT_to_SDDL extended permit tcp any host X.Y.128.60 eq 8080access-list SHJT_to_SDDL extended permit tcp 10.36.0.0 255.255.0.0 host X.Y.128.60 range 1976 1982access-list SHJT_to_SDDL extended permit tcp 10.229.160.0 255.255.255.0 host X.Y.128.60 range 1976 1982access-list SHJT_to_SDDL extended permit tcp any X.Y.128.0 255.255.255.0 eq pop3access-list SHJT_to_SDDL extended permit tcp any X.Y.128.0255.255.255.0 eq smtpaccess-list SHJT_to_SDDL extended permit tcp any X.Y.128.0 255.255.255.0 eq wwwaccess-list SHJT_to_SDDL extended permit tcp any X.Y.128.0 255.255.255.0 eq imap4access-list SHJT_to_SDDL extended permit tcp any X.Y.128.0 255.255.255.0 eq 63148access-list SHJT_to_SDDL extended permit udp any X.Y.128.0 255.255.255.0 eq 63148access-list SHJT_to_SDDL extended permit udp any X.Y.128.0 255.255.255.0 eq 143access-list SHJT_to_SDDL extended permit udp any X.Y.128.0 255.255.255.0 eq 389access-list SHJT_to_SDDL extended permit tcp any X.Y.128.0 255.255.255.0 eq httpsaccess-list SHJT_to_SDDL extended permit tcp any host X.Y.128.37 eq 8000access-list SHJT_to_SDDL extended permit udp any host X.Y.128.37 eq 8000access-list SHJT_to_SDDL extended permit tcp any host X.Y.128.37 eq 7000access-list SHJT_to_SDDL extended permit udp any host X.Y.128.37 eq 7000<--- More --->access-list SHJT_to_SDDL extended permit udp any host X.Y.128.38 eq 7000access-list SHJT_to_SDDL extended permit tcp any host X.Y.128.38 eq 7000access-list SHJT_to_SDDL extended permit tcp any host X.Y.128.50 eq 8080access-list SHJT_to_SDDL extended permit udp any host X.Y.128.32 eq domainaccess-list SHJT_to_SDDL extended permit ip any host X.Y.128.45access-list SHJT_to_SDDL extended permit ip any host X.Y.128.39access-list SHJT_to_SDDL extended permit ip any host X.Y.1.12access-list SHJT_to_SDDL extended permit ip any host X.Y.128.42access-list SHJT_to_SDDL extended permit ip any host X.Y.128.37access-list SHJT_to_SDDL extended permit ip any host X.Y.128.46access-list SHJT_to_SDDL extended permit ip any host X.Y.128.44access-list SHJT_to_SDDL extended permit ip any host X.Y.128.32access-list SHJT_to_SDDL extended permit tcp 10.228.0.0 255.255.0.0 host X.Y.128.60 range 1976 1982access-list SHJT_to_SDDL extended permit tcp 10.227.160.0 255.255.255.0 host X.Y.128.60 range 1976 1982pager lines 24logging enablelogging asdm informationalmtu outside 1500mtu Internal 1500ip verify reverse-path interface outsideip verify reverse-path interface Internalno failoverfailover lan unit secondary icmp permit any outside。

Cisco FWSM 模块简明配置实例实验环境：IOS版本：12.2i防火墙模块操作系统版本：3.1防火墙模块模式：路由模式和透明模式网络拓扑图：我们把vlan 7 和vlan 9 分别作为内部和外部接口，而vlan 8作为DMZ接口。

我们通过vlan 5 与交换机连接步骤1.把VLAN划分到防火墙模块中7609(config)#firewall vlan-group 1 7-9 /*把vlan7-9划分到vlan-group 1中7609(config)#firewall module 3 vlan-group /*把 vlan-group 1 划分到 module 3中（即防火墙模块，有可能有2块）步骤2.把SVI口划分到交换机中，如果相应的vlan需要路由的话，如果不需要路由则不需要.7609(config)#inter vlan7609(config-if)#ip addr 10.1.3.2 255.255.255.0 /*这样就可以以把vlan 7的流量路由到其他VLAN中了。

步骤3.登陆到防火墙模块7609#session slot 3 processor 1 /* 3代表防火墙模块步骤4.选择单context或者多context模式FWSW(config)#mode single /* 这里我选择单context模式，不管单模式还是多模式，配置文件都需要指定，但是后面的配置实例在单模式下是不需要指定的。

步骤5.配置context/* 我这里选择是单模式，所以不需要配置。

在配置多模式的时候再讨论步骤6.在context模式和系统模式下切换/* 我这里选择是单模式，所以不需要配置。

在配置多模式的时候再讨论FWSW配置路由模式时：步骤7.配置路由或者透明模式FWSW(config)#no firewall transparent /* 默认就是路由模式，所以在这里不需要修改/步骤8.在路由模式下配置接口FWSW(config)#inter vlan 7FWSW(config-if)#ip addr 10.1.3.1 255.255.255.0FWSW(config-if)#nameif insideFWSW(config-if)#security-levelFWSW(config)#inter vlan 8FWSW(config-if)#ip addr 192.168.1.1 255.255.255.0FWSW(config-if)#nameif DMZFWSW(config-if)#security-level 50FWSW(config)#inter vlan 9FWSW(config-if)#ip addr 202.95.15.26 255.255.255.252FWSW(config-if)#nameif outsideFWSW(config-if)#security-level 0步骤9.配置路由FWSW(config)#route 0 0 202.95.15.25FWSW(config)#route 10.1.1.0 10.1.3.2FWSW(config)#route 10.1.2.0 10.1.3.2步骤10.配置NAT#FWSW(config)#access-list to_internet permit ip 10.1.1.0 255.255.255.0 any FWSW(config)#access-list to_internet permit ip 10.1.2.0 255.255.255.0 any FWSW(config)#nat (inside) 1 access-list to_internetFWSW(config)#global (outside) 1 interface0FWSW(config)#static (inside,outside) tcp 202.95.15.26 80 192.168.1.2 80access-list webserver permit tcp any 202.95.15.26 80access-group webserver in interface outside交换机配置：7609(config)#inter vlan 57609(config-if)#ip addr 10.1.2.1 255.255.255.07609(config)#inter vlan 67609(config-if)#ip addr 10.1.1.1 255.255.255.07609(config)#inter vlan 77609(config-if)#ip addr 10.1.3.2 255.255.255.0 /*把SVI划到MSFC中，这样就可以就可以路由VLAN之间的流量了7609(config)#ip route 0.0.0.0 0.0.0.0 10.1.3.1FWSW配置透明模式时：步骤7.配置路由或者透明模式FWSW(config)#firewall transparent步骤8.在透明模式下配置接口FWSW(config)#inter vlan 7FWSW(config-if)#bridge-group 10FWSW(config-if)#nameif insideFWSW(config-if)#security-level 100FWSW(config)#inter bvi 10FWSW(config)#inter vlan 9FWSW(config-if)#bridge-group 10FWSW(config-if)#nameif outsideFWSW(config-if)#security-level 0FWSW(config)#inter bvi 10 /*前面定义的组FWSW(config-if)#ip addr 202.15.25.2 255.255.255.0 /*管理IP地址注意：在定义group的IP地址时候不要把子网划分少于3个IP地址，因为默认防火墙会过滤这个第一个和最后一个IP地址的.步骤9.配置路由/*假设对端ip地址是202.15.25.1 group ip为202.15.25.2 MSFC对应IP202.15.25.3 FWSW(config)#route 0 0 202.95.15.1/*一般不需要访问外部网络FWSW(config)#route 10.1.1.0 202.95.15.3 FWSW(config)#route 10.1.2.0 202.95.15.3 步骤10.放行相应的流量交换机配置:7609(config)#inter vlan 57609(config-if)#ip addr 10.1.2.1 255.255.255.023IR7609(config)#inter vlan 67609(config-if)#ip addr 10.1.1.1 255.255.255.07609(config)#inter vlan 77609(config-if)#ip addr 202.95.15.3 255.255.255.07609(config)#ip route 0.0.0.0 0.0.0.0 202.95.15.1gabby网友的FWSM配置注意点以及心得：1、FWSM与pix和ASA不同，默认FWSM不允许ping虚拟防火墙的任何端口，若想让ping,需要必须在端口上打开(icmp permit any inside/outside)；PS:本人吃过大亏,升级OS时死活ping不同FTP SERVER,搞了好久才发现FWSM有这特性,汗!!!2、FWSM与pix和ASA的另一个不同是：默认FWSM不允许从安全级别高的端口到安全级别底网络的访问，除非用acl明确允许（从安全级别高到安全级别底方向的访问也需要写acl并应用到高安全级别端口上明确允许，才能访问）；而pix和asa默认是允许许从安全级别高的端口到安全级别底网络的访问，并不需要写acl应用到高安全级别端口明确允许；注意!!!在same-security permit打开的情况下，ASA默认允许同一安全等级访问,而不需要ACL放行3,7.0和FWSM,ACL可以写OUT方向了,6.3不可以4.7.0和FWSM允许同一安全等级的接口之间互相访问,可以通过same-security-traffic permit inter-interface解决.6.3不可以5,FWSM默认只支持两个security context(不包括 admin context)。

[考试]思科路由器防火墙配置命令思科路由器防火墙配置命令路由器防火墙配置命令阅读选项:文字黑色红色白色灰色绿色蓝色青色黄色背景白色粉红灰色绿色蓝色黑色青色棕色字号 9 pt10 pt12 pt14 pt16 pt18 pt24pt30 pt字型正常加粗自动滚屏[左键停止]一、access-list 用于创建访问规则。

(1)创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny }source-addr [ source-mask ](2)创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念;为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

第一章防火墙技术点 (3)1.1功能介绍 (3)1.2防火墙端口 (3)1.2.1 Inside (4)1.2.2 Outside (4)1.2.3 Demilitarized Zone (5)1.3ACL（A CCESS LIST） (5)1.3.1 ACL的基本原理、功能与局限性 (5)1.3.2 三种主要的访问列表: (6)1.3.2.1 标准访问列表 (6)1.3.2.2 扩展访问列表 (7)1.3.2.3 命名访问列表 (10)1.3.3 ACL要点 (10)1.3.4 ACL配置显示 (11)1.4NAT（N ETWORK A DDRESS T RANSLA TION） (11)1.4.1 NAT介绍 (11)1.4.2 NAT术语 (12)1.4.3 NAT的种类 (13)1.4.3.1 Static NA T（静态地址转换） (14)1.4.3.2 Dynamic NAT（动态地址转换） (17)1.4.3.3 PA T（端口地址转换） (18)1.5路由（ROUTE） (20)1.5.1 路由原理 (20)1.5.2 路由协议 (21)1.5.3 静态路由 (22)1.6FAILOVER (23)1.6.1 FAILOVER介绍 (23)1.6.2 The Failover and Stateful Failover Links (24)1.6.3 Active/Active and Active/Standby Failover (25)1.6.4 Inter-Chassis Failover (26)1.7应用安全（A PPLICA TION L AYER P ROTOCOL I NSPECTION） (27)1.7.1 Stateful Inspection介绍 (27)1.7.2 Application Protocol Inspection的应用 (29)1.7.3 默认配置 (29)第二章防火墙体系结构 (31)2.1FWSM结构 (31)2.2ASA5520结构 (32)第三章网络拓扑结构 (33)3.1FWSM网络结构 (33)3.2ASA5520网络结构 (34)第四章防火墙配置说明 (35)4.1FWSM基本配置 (35)4.1.1 交换机配置 (35)4.1.2 FWSM配置 (35)4.1.3 Context配置（例） (37)4.2ASA5520配置（例） (39)第五章FWSM管理维护 (44)5.1软件管理 (44)5.1.1 快速软件升级 (45)5.1.2 登陆应用分区 (46)5.1.3 登陆维护分区 (46)5.2改变和恢复口令 (46)5.2.1 改变应用分区口令 (46)5.2.2 恢复应用分区口令 (46)第一章防火墙技术点本项目防火墙包括了ASA5520和FWSM，项目中所用到的主要技术点现统计如下：1.1 功能介绍Firewalls protect inside networks from unauthorized access by users on an outside network。

Cisco FWSM路由、透明总结+路由、透明模式配置实例时间: 2010-10-12 / 分类: +CCNP, +TSHOOT, ★CISCO技术 / 浏览次数: 283 views / 1个评论发表评论路由模式注意事项cisco7609#show module显示FWSM模块的状态cisco7609#session slot 3 p 1 登陆到第3槽位的FWSM,Ctrl-^后，x，表示退出，或exit推出，enable进入Lisence激活：第一次进入FWSM，需要激活：登陆/go/license ,通过产品授权key申请activation keyhostname(config)#activation-key 0xe02888da 0×4ba7bed6 0xf1c123ae0xffd8624e 完成激活FWSM#SH VER 察看激活情况，可以看到security contexts 被激活的个数FWSM可以插在65或者76的任意一个交换槽位inside到outside也要有ACL permitFWSM2.1开始支持same security traffic communicationFWSM和65背板有6G的带宽默认FWSM只能有一个VLAN和MSFC关联，但是可以通过命令firewall multiple-vlan-interfaces将多个MSFC的SVI和FWSM的VLAN关联默认FWSM的所有接口禁ping，需要通过icmp permit inside , icmp permit outside放开支持256个contextcontext之间的通讯透明模式注意事项1. 若使用context，透明模式下每个context可以支持多个接口，但是只支持8个bridge2. 不能使用NAT3. 默认时，不放行BPDU，因此可能会有环路，必须输入bpdu forwarding4.FWSM配置为透明模式时，尽管与透明防火墙的FWSM的inside和outside两个逻辑端口关联的vlan是两个不同的vlan(如 nameifvlan88 insidesecurity100 nameif vlan100 outside security0)，但是从cat6500上互连出去的ip与inside 或outside（取决于mfsc和fwsm的逻辑位置）互连的mfsc侧的逻辑端口ip必须是同一网段的ip。

Cisco65007600FWSM配置个人总结Cisco 6500/7600 FWSM配置个人总结1、FWSM可以安装在6500系列交换机和7600系列路由器上。

2、确认防火墙模块是否安装好命令：show moduleExample:Router> show moduleMod Ports Card Type Model Serial No.--- ----- -------------------------------------- ------------------ -----------1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE SAD0444099Y2 48 48 port 10/100 mb RJ-45 ethernet WS-X6248-RJ-45 SAD034756193 2 Intrusion Detection System WS-X6381-IDS SAD04250KV54 6 Firewall Module WS-SVC-FWM-1 SAD062302U4Note:The show module command shows six ports for the FWSM; these are internal ports that are grouped together as an EtherChannel.3、FWSM本身不包含任何外部物理接口，通过创建VLAN把交换端口划分到VLAN，FWSM内部通过总线连接MSFC（其实这也是FWSM最难理解的地方，建议把FWSM和MSFC分开理解，把FWSM就当作是一个独立的Fw，MSFC当成独立的Router，再参本论坛的一些案例和拓扑就很好理解了）。

4、FWSM VLAN不能使用默认VLAN1，FWSM最多可以创建16个FWSM Group。

5、FWSM Group规则：可以创建所有VLAN在一个FWSM Group里，也可以分内外网创建FWSM Group，也可以为每个客户创建一个（这句话不理解），每个FWSM可以包含无限个VLAN。

要想配置思科的防火墙得先了解这些命令：要想配置思科的防火墙得先了解这些命令：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmarkglobal_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

1防火墙模块系统升级防火墙模块升级系统有两种方式，一种是直接在正常状态的配置界面升级，另一种是在维护分区中进行升级。

1.1正常方式升级一、配置tftp软件（防火墙系统软件只有不到10M，使用tftp比较简便），配置防火墙到tftp服务器的连通性二、查看当前软件版本三、使用copy tftp: flash:命令拷贝系统软件到flash中，命令确认后按提示输入tftp服务器IP地址、源文件名、目标文件名后，拷贝即开始四、升级成功后查看软件版本小提示：1.不仅可以使用tftp进行升级，ftp、http、https都可以，只要你能搞定~~~。

本人推荐使用tftp的软件为“Cisco TFTP Server”（思科官方tftp，很稳定），推荐使用的ftp软件为“filezilla”（开源ftp软件，功能强大，稳定，兼容性强），软件程序及使用方法详见本文第三章2.防火墙模块flash中的操作系统默认的文件名为image1.2维护分区方式升级1.2.1防火墙模块分区介绍防火墙模块（FWSM）拥有一个128MB的Flash存储卡用来存储操作系统，配置文件，和其他数据。

Flash包括了6个分区，在Cisio IOS软件的命令中叫做cf:n。

维护分区（cf:1）：保存了维护软件。

如果无法从应用分区启动时可以使用维护软件进行系统升级或安装操作系统镜像，重置系统密码和显示崩溃转储信息。

网络配置分区（cf:2）：包含维护软件的网络配置。

维护软件需要IP设置用来使FWSM与TFTP服务器通信来下载程序崩溃转储分区（cf:3）：存储崩溃转储信息应用分区（cf:4&cf:5）：存储应用软件镜像（防火墙操作系统），系统配置，和ASDM。

默认情况下系统镜像是安装在cf:4的。

你可以使用cf:5当做测试分区。

例如：你想要升级软件，你就可以安装新的软件到cf:5，同时可以维持旧的系统用来做备份以防出现问题，每个分区都拥有它自己的startup configuration安全上下文分区（cf:6）：这个分区拥有64MB的空间，用来存储虚墙的配置和RSA key。

FWSM防火墙配置手册一、配置基础 (2)1.1 用户接口 (2)1.2 防火墙许可介绍 (2)1.3 初始配置 (3)二、配置连接性 (3)2.1 配置接口 (3)2.2 配置路由 (4)2.3 DHCP (4)三、防火墙的管理 (5)3.1 使用Security Context建立虚拟防火墙 (5)3.2 管理Flash文件系统 (6)3.3 管理配置文件 (6)3.4 管理管理会话 (6)3.5 系统重启和崩溃 (7)四、用户管理 (7)4.1 一般用户管理 (7)4.2 本地数据库管理用户 (7)4.3 使用AAA服务器来管理用户 (8)4.4 配置AAA管理用户 (8)五、防火墙的访问控制 (8)5.1 防火墙的透明模式 (8)5.2 防火墙的路由模式和地址翻译 (10)5.3 使用ACL进行访问控制 (11)六、配置Failover增加可用性 (13)6.1 配置Failover (13)6.2 管理Failover (14)七、日志管理 (14)7.1 时钟管理 (14)7.2 日志配置 (14)八、防火墙工作状态验证 (16)8.1 防火墙健康检查 (16)8.2 验证防火墙的连接性 (16)九、FWSM配置实例： (18)一、配置基础1.1用户接口Catalyst6500的FWSM没有物理接口接入，通过下面CLI命令进入：Switch# session slot (slot number) processor 1 （FWSM所在slot号）用户模式：Firewall> 为用户模式，输入enable进入特权模式Firewall#。

特权模式下可以进入配置模式，通过exit，ctrl-z退回上级模式。

配置特性：在原有命令前加no可以取消该命令。

Show running-config 或者 write terminal显示当前配置，Show running-config all显示所有配置，包含缺省配置。

Cisco FWSM防火墙透明模式配置例子透明模式配置例子以下内容需要回复才能看到hostname Farscapepassword passw0rdenable password chr1cht0ninterface vlan 4interface vlan 5interface vlan 6interface vlan 7interface vlan 150interface vlan 151interface vlan 152interface vlan 153admin-context admincontext adminallocate-interface vlan150allocate-interface vlan4config-url disk://admin.cfgmember defaultcontext customerAdescription This is the context for customer A allocate-interface vlan151allocate-interface vlan5config-url disk://contexta.cfgmember goldcontext customerBdescription This is the context for customer B allocate-interface vlan152allocate-interface vlan6config-url disk://contextb.cfgmember silvercontext customerCdescription This is the context for customer Callocate-interface vlan153allocate-interface vlan7config-url disk://contextc.cfgmember bronzeChangeto context adminfirewall transparentpasswd secret1969enable password h1andl0interface vlan 150nameif outsidesecurity-level 0bridge-group 1interface vlan 4nameif insidesecurity-level 100bridge-group 1interface bvi 1ip address 10.1.1.1 255.255.255.0route outside 0 0 10.1.1.2 1ssh 10.1.1.75 255.255.255.255 insidearp outside 10.1.1.2 0009.7cbe.2100arp inside 10.1.1.3 0009.7cbe.1000arp-inspection inside enable floodarp-inspection outside enable floodaccess-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context afirewall transparentpasswd hell0!enable password enter55interface vlan 151nameif outsidesecurity-level 0bridge-group 45interface vlan 5nameif insidesecurity-level 100bridge-group 45interface bvi 45ip address 10.1.2.1 255.255.255.0route outside 0 0 10.1.2.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context bfirewall transparentpasswd tenac10usenable password defen$einterface vlan 152nameif outsidesecurity-level 0bridge-group 1interface vlan 6nameif insidesecurity-level 100bridge-group 1interface bvi 1ip address 10.1.3.1 255.255.255.0route outside 0 0 10.1.3.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context cfirewall transparentpasswd fl0werenable password treeh0u$einterface vlan 153nameif outsidesecurity-level 0bridge-group 100interface vlan 7nameif insidesecurity-level 100bridge-group 100interface bvi 100ip address 10.1.4.1 255.255.255.0route outside 0 0 10.1.4.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outside。

思科自防御网络安全综合方案典型配置方案简介：组建安全可靠的总部和分支LAN和WAN；总部和分支的终端需要提供安全防护，并实现网络准入控制，未来实现对VPN用户的网络准入检查；需要提供IPSEC/SSL VPN接入；整体方案要便于升级，利于投资保护。

详细内容：1. 用户需求分析客户规模：∙客户有一个总部，具有一定规模的园区网络；∙一个分支机构，约有20－50名员工；∙用户有很多移动办公用户客户需求：∙组建安全可靠的总部和分支LAN和WAN；∙总部和分支的终端需要提供安全防护，并实现网络准入控制，未来实现对VPN用户的网络准入检查；∙需要提供IPSEC/SSLVPN接入；∙在内部各主要部门间，及内外网络间进行安全区域划分，保护企业业务系统；∙配置入侵检测系统，检测基于网络的攻击事件，并且协调设备进行联动；∙网络整体必须具备自防御特性，实现设备横向联动抵御混合式攻击；∙图形化网络安全管理系统，方便快捷地控制全网安全设备，进行事件分析，结合拓扑发现攻击，拦截和阻断攻击；∙整体方案要便于升级，利于投资保护；思科建议方案：∙部署边界安全：思科IOS 路由器及ASA 防火墙，集成SSL/IPSec VPN；∙安全域划分：思科FWSM防火墙模块与交换机VRF及VLAN特性配合，完整实现安全域划分和实现业务系统之间的可控互访；∙部署终端安全：思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成；∙安全检测：思科IPS42XX、IDSM、ASA AIP模块，IOS IPS均可以实现安全检测并且与网络设备进行联动；∙安全认证及授权：部署思科ACS 4.0认证服务器；∙安全管理：思科安全管理系统MARS，配合安全配置管理系统CSM使用。

2. 思科建议方案设计图3. 思科建议方案总体配置概述∙安全和智能的总部与分支网络o LAN：总部，核心层思科Cat6500；分布层Cat4500；接入层Cat3560和CE500交换机，提供公司总部园区网络用户的接入；分支可以采用思科ASA5505 防火墙内嵌的8FE接口连接用户，同时其头两个LAN端口支持POE以太网供电，可以连接AP及IP电话等设备使用，并且ASA5505留有扩展槽为便于以后对于业务模块的支持。

Cisco FWSM 模块简明配置实例实验环境：IOS版本：12.2i防火墙模块操作系统版本：3.1防火墙模块模式：路由模式和透明模式网络拓扑图：我们把vlan 7 和vlan 9 分别作为内部和外部接口，而vlan 8作为DMZ接口。

我们通过vlan 5 与交换机连接步骤1.把VLAN划分到防火墙模块中7609(config)#firewall vlan-group 1 7-9 /*把vlan7-9划分到vlan-group 1中7609(config)#firewall module 3 vlan-group /*把 vlan-group 1 划分到 module 3中（即防火墙模块，有可能有2块）步骤2.把SVI口划分到交换机中，如果相应的vlan需要路由的话，如果不需要路由则不需要.7609(config)#inter vlan7609(config-if)#ip addr 10.1.3.2 255.255.255.0 /*这样就可以以把vlan 7的流量路由到其他VLAN中了。

步骤3.登陆到防火墙模块7609#session slot 3 processor 1 /* 3代表防火墙模块步骤4.选择单context或者多context模式FWSW(config)#mode single /* 这里我选择单context模式，不管单模式还是多模式，配置文件都需要指定，但是后面的配置实例在单模式下是不需要指定的。

步骤5.配置context/* 我这里选择是单模式，所以不需要配置。

在配置多模式的时候再讨论步骤6.在context模式和系统模式下切换/* 我这里选择是单模式，所以不需要配置。

在配置多模式的时候再讨论FWSW配置路由模式时：步骤7.配置路由或者透明模式FWSW(config)#no firewall transparent /* 默认就是路由模式，所以在这里不需要修改/步骤8.在路由模式下配置接口FWSW(config)#inter vlan 7FWSW(config-if)#ip addr 10.1.3.1 255.255.255.0FWSW(config-if)#nameif insideFWSW(config-if)#security-levelFWSW(config)#inter vlan 8FWSW(config-if)#ip addr 192.168.1.1 255.255.255.0FWSW(config-if)#nameif DMZFWSW(config-if)#security-level 50FWSW(config)#inter vlan 9FWSW(config-if)#ip addr 202.95.15.26 255.255.255.252FWSW(config-if)#nameif outsideFWSW(config-if)#security-level 0步骤9.配置路由FWSW(config)#route 0 0 202.95.15.25FWSW(config)#route 10.1.1.0 10.1.3.2FWSW(config)#route 10.1.2.0 10.1.3.2步骤10.配置NAT#FWSW(config)#access-list to_internet permit ip 10.1.1.0 255.255.255.0 any FWSW(config)#access-list to_internet permit ip 10.1.2.0 255.255.255.0 any FWSW(config)#nat (inside) 1 access-list to_internetFWSW(config)#global (outside) 1 interface0FWSW(config)#static (inside,outside) tcp 202.95.15.26 80 192.168.1.2 80access-list webserver permit tcp any 202.95.15.26 80access-group webserver in interface outside交换机配置：7609(config)#inter vlan 57609(config-if)#ip addr 10.1.2.1 255.255.255.07609(config)#inter vlan 67609(config-if)#ip addr 10.1.1.1 255.255.255.07609(config)#inter vlan 77609(config-if)#ip addr 10.1.3.2 255.255.255.0 /*把SVI划到MSFC中，这样就可以就可以路由VLAN之间的流量了7609(config)#ip route 0.0.0.0 0.0.0.0 10.1.3.1FWSW配置透明模式时：步骤7.配置路由或者透明模式FWSW(config)#firewall transparent步骤8.在透明模式下配置接口FWSW(config)#inter vlan 7FWSW(config-if)#bridge-group 10FWSW(config-if)#nameif insideFWSW(config-if)#security-level 100FWSW(config)#inter bvi 10FWSW(config)#inter vlan 9FWSW(config-if)#bridge-group 10FWSW(config-if)#nameif outsideFWSW(config-if)#security-level 0FWSW(config)#inter bvi 10 /*前面定义的组FWSW(config-if)#ip addr 202.15.25.2 255.255.255.0 /*管理IP地址注意：在定义group的IP地址时候不要把子网划分少于3个IP地址，因为默认防火墙会过滤这个第一个和最后一个IP地址的.步骤9.配置路由/*假设对端ip地址是202.15.25.1 group ip为202.15.25.2 MSFC对应IP202.15.25.3 FWSW(config)#route 0 0 202.95.15.1/*一般不需要访问外部网络FWSW(config)#route 10.1.1.0 202.95.15.3 FWSW(config)#route 10.1.2.0 202.95.15.3 步骤10.放行相应的流量交换机配置:7609(config)#inter vlan 57609(config-if)#ip addr 10.1.2.1 255.255.255.023IR7609(config)#inter vlan 67609(config-if)#ip addr 10.1.1.1 255.255.255.07609(config)#inter vlan 77609(config-if)#ip addr 202.95.15.3 255.255.255.07609(config)#ip route 0.0.0.0 0.0.0.0 202.95.15.1gabby网友的FWSM配置注意点以及心得：1、FWSM与pix和ASA不同，默认FWSM不允许ping虚拟防火墙的任何端口，若想让ping,需要必须在端口上打开(icmp permit any inside/outside)；PS:本人吃过大亏,升级OS时死活ping不同FTP SERVER,搞了好久才发现FWSM有这特性,汗!!!2、FWSM与pix和ASA的另一个不同是：默认FWSM不允许从安全级别高的端口到安全级别底网络的访问，除非用acl明确允许（从安全级别高到安全级别底方向的访问也需要写acl并应用到高安全级别端口上明确允许，才能访问）；而pix和asa默认是允许许从安全级别高的端口到安全级别底网络的访问，并不需要写acl应用到高安全级别端口明确允许；注意!!!在same-security permit打开的情况下，ASA默认允许同一安全等级访问,而不需要ACL放行3,7.0和FWSM,ACL可以写OUT方向了,6.3不可以4.7.0和FWSM允许同一安全等级的接口之间互相访问,可以通过same-security-traffic permit inter-interface解决.6.3不可以5,FWSM默认只支持两个security context(不包括 admin context)。