交换机防火墙配置管理下的注意事项
一个朋友托我给他解决一下交换机防火墙配置的问题,问询了很多人,都没有满意的答复。下面是在网上找到的一篇跟问题相似的解答。防火墙的透明模式特性介绍:从PIX7.0和FWSM2.2开始防火墙可以支持透明的防火墙模式,接口不需要配置地址信息,工作在二层。只支持两个接口inside和outside,当然可以配置一个管理接口,但是管理接口不能用于处理用户流量,在多context模式下不能复用物理端口。由于连接的是同一地址段的网络,所以不支持NAT,虽然没有IP地址但是同样可以配置ACL来检查流量。进入交换机防火墙配置Firewall(config)#firewalltransparent(showfirewall来验证当前的工作模式,由于路由模式和透明模式工作方式不同,所以互相切换的时候会清除当前配置文件)。交换机防火墙配置接口Firewall(config)#interfacehardware-idFirewall(config-if)#speed{auto10100nonegotiate}Firewall(config-if)#duplex{autofullhalf}Firewall(config-if)#[no]shutdownFirewall(config-if)#nameifif_nameFirewall(config-if)#security-levellevel交换机防火墙配置注:不用配置IP地址信息,但是其它的属性还是要配置的,接口的安全等级一般要不一样,http://www.diannao100.com电脑技巧,绿色、破解实用软件下载same-security-trafficpermitinter-interface命令可以免除此限制。配置管理地址Firewall(config)#ipaddressip_addresssubnet_maskFirewall(config)#routeif_nameforeign_networkforeign_maskgateway[metric]MAC地址表的配置Firewall#showmac-address-table显示MAC地址表Firewall(config)#mac-address-tableaging-timeminutes设置MAC地址表过期时间Firewall(config)#mac-address-tablestaticif_namemac_address设置静态MAC条目Firewall(config)#mac-learnif_namedisable禁止特定接口地址学习(showmac-learn验证)ARP检查Firewall(config)#arpif_nameip_addressmac_address静态ARP条目Firewall(config)#arp-inspectionif_nameenable[floodno-flood]交换机防火墙配置端口启用ARP检查为非IP协议配置转发策略Firewall(config)#access-listacl_idethertype{permitdeny}{anybpduipxmpls-unicastmpls-multicastethertype}Firewall(config)#access-groupacl_id{inout}interfaceif_name。
|
|
