1 FWSM配置过程中出现的小问题
在项目实施及维护过程中出现了一下关于FWSM的小问题现总结如下。
1.1 IP序列号随机问题
问题描述:
FWSM或pix在工作过程中出于安全考虑建立每一个会话都会将ip序列号进行随机编号。流量经过2各以上FWSM时2次以上的随机编号会严重影响各种应用。
解决方法:
关闭次功能不随机编号
命令实例:static (inside,outside) 11.18.2.11 11.18.2.11 netmask 255.255.255.240 norandomseq
1.2 NFS问题
问题描述:
系统中有NFS(NFS是Net File Server的简写,即网络文件服务器.网络文件系统是FreeBSD支持的文件系统中的一种,也被称为NFS. NFS允许一个系统在网络上与它人共享目录和文件。通过使用NFS,用户和程序可以象访问本地文件一样访问远端系统上的文件。是非windows系统运行的linux、unix)应用的会出现mount不上服务器的问题。
解决方法:
原因是FWSM3.11版本软件bug,解决方法有2个
方法一:
Mount时加tcp端口
方法二:
升级FWSM软件至3.13或更高。
1.3 多context 资源分配bug
问题描述
在3.13(23)软件版本下,配置了FWSM context 资源分配后,个别context在某种流量出发下,不能释放系统资源即show conn 时只增加不减少。
解决方法:
此为FWSM软件bug,升级软件至3.14或更高即可解决。
1.4 FTP bug
问题描述
FTP服务器对外服务选用默认端口以外的端口(非21端口)不正常。配置inspect后问题依然存在。
解决方法:
此为刚刚发现的bug,哪位大侠有好的解决方法,请不吝赐教。
1.5 配置failover注意事项
问题描述
在配置failover时,备FWSM已经配置了命令“failover”但没有同步,show run显示配置为“no failover”。
解决方法:
原因是最先配置了此命令其他的命令还没有配置,备设备就开始找主设备在找不到主设备情况下此命令会变成“no failover”。解决办法是最后在配置“failover” 命令或重新再配置一次此命令。
1.6 关于sqlnet问题
问题描述
FWSM配置完毕后与sqlnet有关的应用不正常。
解决方法:
Sqlnet流量被FWSM阻挡,解决办法:
policy-map global_policy
class inspection_default
no inspect sqlnet
1.7 FWSM的邮件卫士
问题描述
FWSM配置完毕后邮件系统不正常,尤其是使用邮件管理工具。如fox-mail、lookout等。
问题描述:
FWSM的邮件卫士功能阻挡了SMTP协议的某些邮件命令如hellow、mail、rcpt、data、rset、noop、quit等。
解决方法:
解决办法是禁用此功能
policy-map global_policy
class inspection_default
no inspect smtp
1.8 个别应用连接中断
问题描述:
FWSM配置好后,过一段时间个别应用连接中断,是由于这些应用程序写的有问题在火墙连接超时断开连接时不能重新建立连接。
解决方法:
延长timeout时间。命令:
timeout conn 3:00:00
1.9 icmp 卫士
问题描述:
Pc直接与FWSM inside或其他接口连接FWSM可以ping 通pc,但pc不能ping FWSM接口。原因是FWSM默认情况下是不让ping的。即使是在FWSM的访问策略上配置了permit icmp any any 也只是允许流量通过FWSM而不是ping通FWSM接口。
解决方法:
icmp permit any outside
icmp permit any inside
在项目实施及维护过程中出现了一下关于FWSM的小问题现总结如下。
1.1 IP序列号随机问题
问题描述:
FWSM或pix在工作过程中出于安全考虑建立每一个会话都会将ip序列号进行随机编号。流量经过2各以上FWSM时2次以上的随机编号会严重影响各种应用。
解决方法:
关闭次功能不随机编号
命令实例:static (inside,outside) 11.18.2.11 11.18.2.11 netmask 255.255.255.240 norandomseq
1.2 NFS问题
问题描述:
系统中有NFS(NFS是Net File Server的简写,即网络文件服务器.网络文件系统是FreeBSD支持的文件系统中的一种,也被称为NFS. NFS允许一个系统在网络上与它人共享目录和文件。通过使用NFS,用户和程序可以象访问本地文件一样访问远端系统上的文件。是非windows系统运行的linux、unix)应用的会出现mount不上服务器的问题。
解决方法:
原因是FWSM3.11版本软件bug,解决方法有2个
方法一:
Mount时加tcp端口
方法二:
升级FWSM软件至3.13或更高。
1.3 多context 资源分配bug
问题描述
在3.13(23)软件版本下,配置了FWSM context 资源分配后,个别context在某种流量出发下,不能释放系统资源即show conn 时只增加不减少。
解决方法:
此为FWSM软件bug,升级软件至3.14或更高即可解决。
1.4 FTP bug
问题描述
FTP服务器对外服务选用默认端口以外的端口(非21端口)不正常。配置inspect后问题依然存在。
解决方法:
此为刚刚发现的bug,哪位大侠有好的解决方法,请不吝赐教。
1.5 配置failover注意事项
问题描述
在配置failover时,备FWSM已经配置了命令“failover”但没有同步,show run显示配置为“no failover”。
解决方法:
原因是最先配置了此命令其他的命令还没有配置,备设备就开始找主设备在找不到主设备情况下此命令会变成“no failover”。解决办法是最后在配置“failover” 命令或重新再配置一次此命令。
1.6 关于sqlnet问题
问题描述
FWSM配置完毕后与sqlnet有关的应用不正常。
解决方法:
Sqlnet流量被FWSM阻挡,解决办法:
policy-map global_policy
class inspection_default
no inspect sqlnet
1.7 FWSM的邮件卫士
问题描述
FWSM配置完毕后邮件系统不正常,尤其是使用邮件管理工具。如fox-mail、lookout等。
问题描述:
FWSM的邮件卫士功能阻挡了SMTP协议的某些邮件命令如hellow、mail、rcpt、data、rset、noop、quit等。
解决方法:
解决办法是禁用此功能
policy-map global_policy
class inspection_default
no inspect smtp
1.8 个别应用连接中断
问题描述:
FWSM配置好后,过一段时间个别应用连接中断,是由于这些应用程序写的有问题在火墙连接超时断开连接时不能重新建立连接。
解决方法:
延长timeout时间。命令:
timeout conn 3:00:00
1.9 icmp 卫士
问题描述:
Pc直接与FWSM inside或其他接口连接FWSM可以ping 通pc,但pc不能ping FWSM接口。原因是FWSM默认情况下是不让ping的。即使是在FWSM的访问策略上配置了permit icmp any any 也只是允许流量通过FWSM而不是ping通FWSM接口。
解决方法:
icmp permit any outside
icmp permit any inside
转载于:https://blog.51cto.com/swver/116127
347
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
