1
、
FWSM
与
pix
和
ASA
不同,默认
FWSM
不允许
ping
虚拟防火墙的任何端口,若想让
ping,
需要必须在端口上打开
(icmp permit any inside/outside)
;
2
、
FWSM
与
pix
和
ASA
的另一个不同是:默认
FWSM
不允许从安全级别高的端口到安全级别底网络的访问,除非用
acl
明确允许(从安全级别高到安全级别底方向的访问也需要写
acl
并应用到高安全级别端口上明确允许,才能访问);而
pix
和
asa
默认是允许许从安全级别高的端口到安全级别底网络的访问,并不需要写
acl
应用到高安全级别端口明确允许;
3
、
FWSM
默认只支持两个
security context(
不包括
admin context)
。
4
、从
single
转换成
multiple
模式时,有时输入
mode multiple
防火墙模块自动重起后,使用
show mode
命令查看时仍然显示为
single
模式,需多次输入命令
mode multiple
时
,
才能转换成
multiple context
模式
(
用
show mode
命令会显示
)
,这个现象比较怪,版本为
2.3(3)
。
5
、
FWSM
配置为透明模式时,尽管与透明防火墙的
FWSM
的
inside
和
outside
两个逻辑端口关联的
vlan
是两个不同的
vlan(
如
nameif vlan88 inside security100 nameif vlan100 outside security0)
,但是从
cat6500
上互连出去的
ip
与
inside
或
outside
(取决于
mfsc
和
fwsm
的逻辑位置)互连的
mfsc
侧的逻辑端口
ip
必须是同一网段的
ip
。
转载于:https://blog.51cto.com/72297/336277