FWSM Version 3.1(3) resource acl-partition 12 hostname FWSM enable password sdfsadfasdf encrypted interface Vlan300 ! interface Vlan301 description LAN Failover Interface interface Vlan302 description STATE Failover Interface interface Vlan303 ! interface Vlan350 ! interface Vlan351 ! interface Vlan352 ! interface Vlan353 ! interface Vlan354 ! interface Vlan355 //内存分为12个区 //主机名称 //特权模式密码 // vlan300加入FWSM // vlan300加入FWSM //接口描述,此接口为同步接口 // vlan300加入FWSM 接口描述,此接口为状态同步接口 // vlan303加入FWSM // vlan350加入FWSM // vlan351加入FWSM // vlan352加入FWSM // vlan353加入FWSM // vlan354加入FWSM // vlan355加入FWSM // ! interface Vlan356 // vlan356加入FWSM ! interface Vlan357 // vlan357加入FWSM ! interface Vlan358 // vlan358加入FWSM ! interface Vlan359 ! interface Vlan360 ! interface Vlan361 ! interface Vlan362 ! ! passwd sadfsadfsdfsafasdfasdf encrypted class default limit-resource All 0 limit-resource IPSec 5 limit-resource Mac-addresses 65535 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive pager lines 24 failover failover lan interface lan Vlan301 // vlan359加入FWSM // vlan360加入FWSM // vlan362加入FWSM // vlan362加入FWSM 控制台密码 //默认资源类型 //所有资源不做限制 //IPSec会话限制数为5 //mac地址表条目上限为65535 //ASDM管理会话数上限为5 //SSH会话限制数为5 //Telnet会话限制数为5 //FTP模式为被动模式 //设置一屏显示行数 //启动故障恢复 //故障恢复同步vlan // failover link state Vlan302 //状态恢复vlan failover interface ip lan 10.72.253.9 255.255.255.248 standby 10.72.253.10 //故障恢复同步vlan接口的IP设置 failover interface ip state 10.72.253.17 255.255.255.248 standby 10.72.253.18 //状态同步vlan接口的IP设置 failover group 1 //故障恢复分组一 secondary preempt 1 failover group 2 preempt 1 arp timeout 14400 console timeout 0 admin-context admin context admin allocate-interface Vlan300 config-url disk:/admin.cfg context 1-bangong allocate-interface Vlan350 allocate-interface Vlan360 config-url disk:/vf10.cfg join-failover-group 1 context 2-jiankong allocate-interface Vlan351 allocate-interface Vlan361 config-url disk:/vf11.cfg join-failover-group 1 //在副模块上活动 //故障恢复抢先 //故障恢复分组二 //故障恢复抢先 //arp条目失效时间 //控制台超时时间 //指定实例admin为管理实例 //进入实例配置模式 //将vlan加入实例 //指定配置文件的位置 //进入实例配置模式 //将vlan350加入实例 //将vlan360加入实例 //指定配置文件的位置 //加入故障恢复分组一 //进入实例配置模式 //将vlan351加入实例 //将vlan361加入实例 //指定配置文件的位置 //加入故障恢复分组一 context 3-caiwu //进入实例配置模式 allocate-interface Vlan352 //将vlan352加入实例 allocate-interface Vlan362 //将vlan362加入实例 config-url disk:/vf12.cfg //指定配置文件的位置 join-failover-group 1 //加入故障恢复分组一 context 4-kaifa allocate-interface Vlan353 allocate-interface Vlan363 config-url disk:/vf13.cfg join-failover-group 1 ! context 5-kantanyingyong allocate-interface Vlan354 allocate-interface Vlan364 config-url disk:/vf14.cfg join-failover-group 1 ! context 6-kantanshujuku allocate-interface Vlan355 allocate-interface Vlan365 config-url disk:/vf15.cfg join-failover-group 2 ! context 7-shengchan进制 allocate-interface Vlan356 //进入实例配置模式 //将vlan353加入实例 //将vlan363加入实例 //指定配置文件的位置 //加入故障恢复分组一 //进入实例配置模式 //将vlan354加入实例 //将vlan36加入实例 //指定配置文件的位置 //加入故障恢复分组一 //进入实例配置模式 //将vlan355加入实例 //将vlan365加入实例 //指定配置文件的位置 //加入故障恢复分组二 //进入实例配置模式 //将vlan356加入实例 allocate-interface Vlan366 //将vlan366加入实例 config-url disk:/vf16.cfg //指定配置文件的位置 join-failover-group 2 //加入故障恢复分组二 ! context 8-guanli //进入实例配置模式 allocate-interface Vlan357 allocate-interface Vlan367 config-url disk:/vf17.cfg join-failover-group 2 ! context 9-jingying allocate-interface Vlan358 allocate-interface Vlan368 config-url disk:/vf18.cfg join-failover-group 2 ! context 10-qita allocate-interface Vlan359 allocate-interface Vlan369 config-url disk:/vf19.cfg join-failover-group 2 ! prompt hostname context Cryptochecksum:233g23g23t423dsfg34544 : end //将vlan357加入实例 //将vlan367加入实例 //指定配置文件的位置 //加入故障恢复分组二 //进入实例配置模式 //将vlan358加入实例 //将vlan368加入实例 //指定配置文件的位置 //加入故障恢复分组二 //进入实例配置模式 //将vlan359加入实例 //将vlan369加入实例 //指定配置文件的位置 //加入故障恢复分组二 //提示符为主机名+实例名 FWSM/admin# sh run FWSM Version 3.1(3) hostname admin //实例名为admin domain-name default.domain.invalid //缺省域名为default.domain.invalid enable password 2KFQnbNIdI.2KYOU encrypted //特权模式密码 names //启用地址到名称的转换 ! interface Vlan300 //进入接口配置模式 nameif admin //命名接口 security-level 100 //指定安全级别为100 ip address 10.72.253.1 255.255.255.248 standby 10.72.253.2 //接口的IP配置 ! passwd 2KFQnbNIdI.2KYOU encrypted //控制台密码 pager lines 24 //一屏显示24行 logging enable //启用日志 logging timestamp //启用日志时间戮 logging standby //启用备分模块的日志 logging monitor informational //在SSH和Telnet会话中显示日志,日志级别为信息级 logging buffered informational //日志保存到缓存,日志级别为信息级 mtu admin 1500 //指定admin接口的MTU icmp permit 10.72.2.64 255.255.255.192 admin //允许网络中心的IPMP流量进入 icmp permit 10.72.251.0 255.255.255.0 admin //允许核心交换机的ICMP流量进入 no asdm history enable //关闭ASDM历史追踪 arp timeout 14400 //ARP条目失效时间 route admin 0.0.0.0 0.0.0.0 10.72.253.4 1 //配置管理实例的外出路由,下一跳为交换机的SVI timeout xlate 3:00:00 //NAT条目失效时间 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 //TCP连接空闲时间为1小时,TCP半关连接空闲时间为10分钟,ICMP空闲时间为2分钟,UDP空闲时间为2分钟 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 //sunrpc slot空闲时间为10分钟, H323控制连接空闲时间为5分钟,H225信令连接空闲时间为1小时,MGCP连接空闲时间为5分钟 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 //mgcp-pat xlate失效时间为5分钟,sip控制连接空闲时间为30分钟,sip media连接空闲时间为2分钟 timeout uauth 0:05:00 absolute //用户认证信息缓存时间为5分钟,绝对时间 no snmp-server location //snmp-server位置 no snmp-server contact //snmp-server联系人 snmp-server enable traps snmp authentication linkup linkdown coldstart //启用snmp-server发送信息,包括认证,链路状态,冷启动 telnet 10.72.2.64 255.255.255.192 admin //允许网络中心远程登录流量 telnet timeout 10 //远程登录会话空闲时间为10秒 ssh timeout 5 //SSH会话失效时间为5秒 ! class-map inspection_default //进入流量类型配置模式 match default-inspection-traffic //匹配流量! policy-map global_policy //进入安全策略配置模式 class inspection_default //匹配流量类型 inspect dns maximum-length 512 //启用dns深度检查 inspect ftp //启用ftp深度检查 inspect h323 h225 //启用h323,h225深度检查 inspect h323 ras //启用h323 ras深度检查 inspect netbios //启用netbios深度检查 inspect rsh //启用rsh深度检查 inspect skinny //启用skinny深度检查 inspect smtp //启用smtp深度检查 inspect sqlnet //启用sqlnet深度检查 inspect sunrpc //启用sunrpc深度检查 inspect tftp //启用tftp深度检查 inspect sip //启用sip深度检查 inspect xdmcp //启用xdmcp深度检查 service-policy global_policy global //在全局应用安全策略 Cryptochecksum:5558047ed4d32a63671cdd63104fa334 : end FWSM/1-bangong# sh run : Saved : FWSM Version 3.1(3) hostname 1-bangong //实例名 enable password 8Ry2YjIyt7RRXU24 encrypted //特权模式密码 names //启用地址名称转换 ! interface Vlan350 //进入接口配置模式 nameif outside //命名接口 security-level 0 //安全级别为0 ip address 10.72.253.25 255.255.255.248 standby 10.72.253.26 //配置接口IP interface Vlan360 //进入接口配置模式 nameif inside //命名接口 security-level 100 //接口安全级别为100 ip address 10.72.253.33 255.255.255.248 standby 10.72.253.34 //配置接口IP地址 passwd 2KFQnbNIdI.2KYOU encrypted //控制台密码 same-security-traffic permit inter-interface //相同安全级别的流量允许通过接口 access-list inside_access_in extended permit icmp any any //允许ICMP流量进入inside接口 access-list outside_access_in extended permit tcp any 10.72.5.0 255.255.255.240 eq 80 //允许到门户服务器的正常业务流量 access-list outside_access_in extended permit tcp any 10.72.5.0 255.255.255.240 eq 815 //允许到门户服务器的正常业务流量 access-list outside_access_in extended permit ip 10.72.2.64 255.255.255.192 any //允许管理部门的网络及从核心交换机的流量 access-list outside_access_in extended permit ip 10.72.251.0 255.255.255.0 any //允许管理部门的网络及从核心交换机的流量 access-list outside_access_in extended permit icmp 10.72.2.64 255.255.255.192 any /允许管理部门的网络及从核心交换机的ICMP流量 access-list outside_access_in extended permit icmp 10.72.251.0 255.255.255.0 any //允许管理部门的网络及从核心交换机的ICMP流量 pager lines 24 //一屏显示24行 logging enable //启用日志 logging timestamp //启用日志时间戮 logging monitor critical //在SSH和Telnet会话中显示日志,日志级别为critical logging buffered critical //日志保存到缓存,日志级别为critical mtu inside 1500 //inside接口MTU为1500 mtu outside 1500 // outside接口MTU为1500 monitor-interface inside //监控inside接口 monitor-interface outside //监控outside接口 icmp permit any inside //允许ICPM流量进入inside接口 icmp permit any outside //允许ICPM流量进入outside接口 no asdm history enable //关闭ASDM历史追踪 arp timeout 14400 //ARP条目失效时间 access-group inside_access_in in interface inside //inside接口上应用访问列表inside_access_in access-group outside_access_in in interface outside // outside接口上应用访问列表outside_access_in route inside 10.72.5.0 255.255.255.224 10.72.253.37 1 //服务器网络路由指向CSM接口 route outside 0.0.0.0 0.0.0.0 10.72.253.30 1 //外出路由指向SVI timeout xlate 3:00:00 //NAT条目失效时间 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 //TCP连接空闲时间为1小时,TCP半关连接空闲时间为10分钟,ICMP空闲时间为2分钟,UDP空闲时间为2分钟 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 //sunrpc slot空闲时间为10分钟, H323控制连接空闲时间为5分钟,H225信令连接空闲时间为1小时,MGCP连接空闲时间为5分钟 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 //mgcp-pat xlate失效时间为5分钟,sip控制连接空闲时间为30分钟,sip media连接空闲时间为2分钟 timeout uauth 0:05:00 absolute //用户认证信息缓存时间为5分钟,绝对时间 no snmp-server location //snmp-server位置 no snmp-server contact //snmp-server联系人 snmp-server enable traps snmp authentication linkup linkdown coldstart //启用snmp-server发送信息,包括认证,链路状态,冷启动 telnet timeout 5 //远程登录会话空闲时间为5秒 ssh timeout 5 //SSH会话失效时间为5秒 ! class-map inspection_default //进入流量类型配置模式 match default-inspection-traffic //匹配流量 policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect skinny inspect smtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service-policy global_policy global Cryptochecksum:5558047ed4d32a63671cdd63104fa334 : end //进入安全策略配置模式 //匹配流量类型 启用dns深度检查 //启用ftp深度检查 //启用h323,h225深度检查 //启用h323 ras深度检查 //启用netbios深度检查 //启用rsh深度检查 //启用skinny深度检查 //启用smtp深度检查 //启用sqlnet深度检查 //启用sunrpc深度检查 //启用tftp深度检查 //启用sip深度检查 //启用xdmcp深度检查 //在全局应用安全策略 // 因篇幅问题不能全部显示,请点此查看更多更全内容