思科ASA和PIX防火牆配置手冊[轉貼]－涼涼的隨便寫寫到處逛逛心得

探了蠻久的時間始終找不到好的PIX7.0教學

那天看到這篇真是太詳盡了~~真適合入門到進階的人使用

感激這位大大阿

思科ASA和PIX防火牆配置手冊
作者:H-LONG 日期:2006-04-21

■思科ASA和PIX防火牆配置手冊第一章
一、配置基礎

1.1用戶接口

思科防火牆支持下列用戶配置方式：

Console，Telnet，SSH（1.x或者2.0，2.0為7.x新特性，PDM的http方式（7.x以後稱為ASDM）和VMS的Firewall Management Center。

支持進入Rom Monitor模式，權限分為用戶模式和特權模式，支持Help，History和命令輸出的搜索和過濾。

註：Catalyst6500的FWSM沒有物理接口接入，通過下面CLI命令進入：
Switch# session slot slot processor 1 （FWSM所在slot號）

用戶模式：
Firewall> 為用戶模式，輸入enable進入特權模式Firewall#。特權模式下可以進入配置模式，在6.x所有的配置都在一個全局模式下進行，7.x以後改成和IOS類似的全局配置模式和相應的子模式。通過exit，ctrl-z退回上級模式。

配置特性：
在原有命令前加no可以取消該命令。Show running-config 或者 write terminal顯示當前配置，7.x後可以對show run 的命令輸出進行搜索和過濾。Show running-config all顯示所有配置，包含缺省配置。Tab可以用於命令補全，ctrl-l可以用於重新顯示輸入的命令（適用於還沒有輸入完命令被系統輸出打亂的情況），help和history相同於IOS命令集。

Show命令支持 begin，include，exclude，grep 加正則表達式的方式對輸出進行過濾和搜索。

Terminal width 命令用於修改終端屏幕顯示寬度，缺省為80個字符，pager命令用於修改終端顯示屏幕顯示行數，缺省為24行，pager lines 0命令什麼效果可以自己試試。

1.2防火牆許可介紹
防火牆具有下列幾種許可形式，通過使用show version命令可以看設備所支持的特性：

Unrestricted (UR) 所有的限制僅限於設備自身的性能，也支持Failover Restricted (R) 防火牆的內存和允許使用的最多端口數有限制，不支持Failover
Failover (FO) 不能單獨使用的防火牆，只能用於Failover
Failover-Active/Active (FO-AA) 只能和UR類型的防火牆一起使用，支持active/active failover

註：FWSM內置UR許可。

activation-key 命令用於升級設備的許可，該許可和設備的serial number有關（show version輸出可以看到），6.x為16字節，7.x為20字節。

1.3初始配置
跟路由器一樣可以使用setup進行對話式的基本配置。
--------------------------------------------------------------------------------

■思科ASA和PIX防火牆配置手冊第二章
二、配置連接性

2.1配置接口

接口基礎：

防火牆的接口都必須配置接口名稱，接口IP地址和掩碼（7.x開始支持IPv6）和安全等級。接口可以是物理接口也可以是邏輯接口（vlan），從6.3賈С?lt;/SPAN>trunk，但只支持802.1Q封裝，不支持DTP協商。

接口基本配置：

註：對於FWSM所有的接口都為邏輯接口，名字也是vlan後面加上vlanid。例如FWSM位於6500的第三槽，配置三個接口，分別屬於vlan 100,200,300.
Switch(config)# firewall vlan-group 1 100,200,300
Switch(config)# firewall module 3 vlan-group 1
Switch(config)# exit
Switch# session slot 3 processor 1
經過此配置後形成三個端口vlan100.vlan200,vlan300
PIX 6.x
Firewall(config)# interface hardware-id [hardware-speed] [shutdown] （Hardware-id可以用show version命令看到）
PIX 7.x
Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown

命名接口

FWSM 2.x
Firewall(config)# nameif vlan-id if_name securitylevel
PIX 6.x
Firewall(config)# nameif {hardware-id | vlan-id} if_name securitylevel
PIX 7.x
Firewall(config)# interface hardware_id[.subinterface]
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level

註：Pix 7.x和FWSM 2.x開始支持不同接口有相同的security level，前提是全局配置模式下使用same-security-traffic permit inter-interface命令。

配置IP地址
靜態地址：Firewall(config)# ip address if_name ip_address [netmask]
動態地址：Firewall(config)# ip address outside dhcp [setroute] [retry retry_cnt]

註：setroute參數可以同時獲得來自DHCP服務器的缺省路由，再次輸入此命令可以renew地址。

PPPOE：
Firewall(config)# vpdn username JohnDoe password JDsecret
Firewall(config)# vpdn group ISP1 localname JohnDoe
Firewall(config)# vpdn group ISP1 ppp authentication chap
Firewall(config)# vpdn group ISP1 request dialout pppoe
Firewall(config)# ip address outside pppoe setroute

驗證接口
Firewall# show ip

IPv6地址配置（7.x新特性）
暫略

ARP配置
配置一個靜態的ARP條目：Firewall(config)# arp if_name ip_address mac_address [alias]配置timeout時間：Firewall(config)# arp timeout seconds 缺省為4小時

註：一般情況下使用clear arp會清除所有的ARP緩存，不能針對單個的條目，但是可以通過以下變通方法：配置一個靜態的條目，映射有問題的ip為一個假的mac地址，然後no掉該命令就會重新建立一個arp條目。

MTU和分段

配置MTU：Firewall(config)# mtu if_name bytes 使用show mtu (6.3) 或者show running-config mtu (7.x)來驗證分段（fragment）的幾個命令：限制等待重組的分段數Firewall(config)# fragment size database-limit [if_name]限制每個包的分段數Firewall(config)# fragment chain chain-limit [if_name]限制一個數據包分段到達的時間Firewall(config)# fragment timeout seconds [if_name]配置接口的優先隊列（7.x新特性）暫略

2.2配置路由

啟用PRF防止地址欺騙 Firewall(config)# ip verify reverse-path interface if_name
配置靜態路由Firewall(config)# route if_name ip_address netmask gateway_ip [metric]配置RIP被動聽RIP更新(v1，v2)Firewall(config)# rip if_name passive [version 1] （Firewall(config)# rip if_name passive version 2 [authentication [text | md5 key (key_id)]]）宣告該接口為缺省路由Firewall(config)# rip if_name default version [1 | 2 [authentication [text | md5 key key_id]]

配置OSPF

定義OSPF進程
Firewall(config)# router ospf pid指定相應網絡到OSPF區域
Firewall(config-router)# network ip_address netmask area area_id可選：
定義Router ID Firewall(config-router)# router-id ip_address記錄OSPF鄰居狀態更新
Firewall(config-router)# log-adj-changes [detail]啟用OSPF更新認證 Firewall(config-router)# area area_id authentication [message-digest]宣告缺省路由 Firewall(config-router)# default-information originate [always] [metric value] [metric-type {1 | 2}] [route-map name]

調節OSPF參數
Firewall(config-router)#
timers {spf spf_delay spf_holdtime |lsa-group-pacing seconds}

2.3 DHCP
配置成為DHCP Server：
配置地址池 Firewall(config)# dhcpd address ip1[-ip2] if_name （最多256個客戶端）配置DHCP參數
Firewall(config)# dhcpd dns dns1 [dns2]
Firewall(config)# dhcpd wins wins1 [wins2]
Firewall(config)# dhcpd domain domain_name
Firewall(config)# dhcpd lease lease_length
Firewall(config)# dhcpd ping_timeout timeout

啟用DHCP服務 Firewall(config)# dhcpd enable if_name

驗證：show dhcdp, show dhcpd bindings, show dhcpd statistics

配置DHCP中繼：

定義真實
DHCP Server Firewall(config)# dhcprelay server dhcp_server_ip server_ifc(最多4個)

中繼參數Firewall(config)# dhcprelay timeout seconds Firewall(config)# dhcprelay setroute client_ifc

啟用中繼 Firewall(config)# dhcprelay enable client_ifc驗證 show dhcprelay statistics

2.4組播的支持
暫略

--------------------------------------------------------------------------------
■思科ASA和PIX防火牆配置手冊第三章
一、防火牆的管理
3.1 使用Security Context建立虛擬防火牆（7.x特性）

特性介紹：從PIX7.0和FWSM 2.2(1)開始，可以把物理的一個防火牆配置出多個虛擬的防火牆，每個防火牆稱為context，這樣一個防火牆就支持兩種工作模式：single-context和multiple-context，處於後者工作模式的防火牆被分為三個功能模塊：system execution space(雖然沒有context的功能，但是是所有的基礎)，administrative context(被用來管理物理的防火牆) 和 user contexts(虛擬出來的防火牆，所有配置防火牆的命令都適用)

配置：首先使用show activation-key來驗證是否有multiple-context的許可，然後通過mode multiple和mode single命令在這兩個模式之間進行切換，當然也可以用show mode來驗證現在工作在什麼模式下。在不同context下進行切換使用Firewall# changeto {system | context name}，由於所有的context的定義都必須在system execution space下，所以要首先使用changeto system轉入該模式，Firewall(config)# context name 接著要把物理接口映射到context中只要這樣才能在相應的context下顯示出物理接口，從而配置其屬性
Firewall(config-ctx)# allocate-interface physical-interface [map-name]
最後定義context 的startup-config的存放位置Firewall(config-ctx)# config-url url 通過show context驗證

註：當防火牆工作在multiple-context模式下，admin context就自動生成。(show context來驗證)

由於所有的context都共享設備的資源，所以要限制各個context的資源分配
首先定義class Firewall(config)# class name 然後
Firewall(config-class)# limit-resource all number%
Firewall(config-class)# limit-resource [rate] resource_name number[%] 最後在相應的context配置下Firewall(config-ctx)# member class
通過以下命令驗證 show class，show resource allocation, show resource usage等。

註：缺省telnet，ssh，IPsec 5 sessions，MAC address 65535條目

3.2 管理Flash文件系統

6.x文件系統
只有六種文件可以保存到Flash，沒有文件名只有代號，沒有目錄結構IOS鏡像
1 啟動文件
2 VPN和密匙證書
3 PDM鏡像
4 崩潰信息
5 IOS的文件大小

show flashfs 顯示flash文件

7.x和FWSM文件系統
7.x和FWSM更像IOS的文件系統，具有層級目錄，要被格式化後才可以使用，7.x使用flash:/代表Flash文件系統，FWSM分別使用flash:/ (系統鏡像)和disk:/(配置文件)

由於該系統使用類Unix的指令，所以可以使用下列常用命令來對該文件系統操作：
dir pwd cd more delete copy rename mkdir rmdir format erase fsck
(檢查文件系統完整性)

6.x在Flash裡面只能保存一個系統鏡像，7.x則廢除了此種限制通過使用Firewall(config)# boot system flash:filename來選取不同的系統鏡像，
show bootvar進行驗證

IOS升級見附錄

3.3 管理配置文件

7.0以後可以使用多個啟動配置文件Firewall(config)# boot config url
顯示啟動配置文件Firewall# show startup-config Firewall# show configuration (6.x為show configure)
保存當前配置文件 write memory, copy running-config startup-config, write net [[server-ip-address]:[filename]] (7.x也支持copy至tftp)
強制standby同步當前配置文件 write standby 刪除啟動配置文件 write erase
合併啟動配置文件為當前配置文件 configure memory 從Web導入配置文件configure http[s]://[user:password@]location[:port]/http-pathname
(7.x支持copy自以上源)

合併配置文件自自動更新服務器
Firewall(config)# auto-update device-id {hardware-serial | hostname |ipaddress [if_name] | mac-address [if_name] | string text}
Firewall(config)# auto-update server http[s]://[username:password@]AUSserver-IP-address[:port]/autoupdate/AutoUpdateServlet[verify-certificate]

3.4 管理管理會話
Firewall(config)# console timeout minutes 配置console登錄的超時(缺省0不超時)
禁止來自outside端口的telnet，啟用
telnet Firewall(config)# telnet ip_address netmask if_name
Firewall(config)# telnet timeout minutes 配置telnet超時

啟用SSH配置
首先生成RSA密匙對
Firewall(config)# domain-name name Firewall(config)# ca generate rsa key [modulus] (7.x 使用crypto key generate rsa general-keys [modulus modulus])
Firewall(config)# ca save all (7.x自動保存)
使用show ca mypubkey rsa來驗證
(7.x show crypto key mypubkey rsa) ca zeroize rsa作廢原有密匙對
(7.x crypto key zeroize rsa default)
最後允許ssh會話 Firewall(config)# ssh ip_address netmask if_namessh version命令可以選擇ssh的版本，ssh timeout定義超時時間

PDM/ASDM配置
由於PDM存放位置固定，所以不需要指定鏡像的位置，ASDM使用Firewall(config)# asdm image device:/path 來指定鏡像位置，如果沒有可以
使用copy命令來安裝。然後配置訪問許可
Firewall# http ip_address subnet_mask if_name
啟用HTTP進程Firewall# http server enable
使用https://ip-address/admin來訪問。

Banner配置 Firewall(config)# banner {exec | login | motd} text 對banner不能修改，只能用no來刪除，或者clear banner來清除所有的banner
（7.0 clear configure banner）

監控管理會話 who監控telnet會話 kill telnet-id來清除會話，show ssh sessions監控ssh會話，ssh disconnect session-id清除ssh會話，
show pdm sessions監控pdm會話，pdm disconnect session-id清除pdm會話

3.5 系統重啟和崩潰

通常使用reload命令重啟系統，從7.0以後支持在特定的時間重啟系統
Firewall# reload at hh:mm [month day | day month] [max-hold-time {minutes | hhh:mm}] [noconfirm] [quick] [save-config] [reason text]
或者經過一定的時間間隔後重啟
Firewall# reload in {minutes | hh:mm} [max-hold-time {minutes | hhh:mm}] [noconfirm] [quick] [save-config] [reason text]
啟用崩潰信息生成
Firewall(config)# crashinfo save enable (7.0 no crashinfo save disable) show crashinfo 來看崩潰信息 clear crashinfo刪除信息（FWSM使用crashdump）

3.6 SNMP支持

系統SNMP信息
Firewall(config)# snmp-server location string (contact string)
SNMP訪問許可
Firewall(config)# snmp-server host if_name ip_addr [poll | trap]
Firewall(config)# snmp-server community key

--------------------------------------------------------------------------------

■思科ASA和PIX防火牆配置手冊第四章

四、用戶管理

4.1 一般用戶管理

註：缺省情況下認證用戶僅需要password，這樣的一般用戶缺省用戶名就是enalbe_1,在ssh情況下缺省用戶名就是pix，然後用password來認證
。
非特權模式密碼配置
Firewall(config)# {password | passwd} password [encrypted] (恢復缺省密碼cisco 用clear {password | passwd})
特權模式密碼配置 Firewall(config)# enable password [pw] [level priv_level] [encrypted]

4.2 本地數據庫管理用戶

定義用戶 Firewall(config)# username username [{nopassword | password password}
[encrypted]] privilege level

啟用本地認證 Firewall(config)# aaa authentication {serial | telnet | ssh | http} console LOCAL

註：缺省情況特權模式密碼使用enable password定義，這樣用戶通過認證後使用enable來進入特權模式，而不管用戶初始什麼等級的權限，所有用戶使用相同的密碼。
這裡也可以使用本地enable認證(aaa authentication enable console LOCAL)，用戶使用username password的密碼來進入enable，用戶enable密碼獨立從而增加安全性。

本地授權：
Firewall(config)# aaa authorization command LOCAL
配置命令的特權等級：
Firewall(config)# privilege {show | clear | configure} level level [mode {enable | configure}] command command
使用show privilege來看當前命令的特權等級(7.x使用show run all privilege)

4.3 使用AAA服務器來管理用戶

定義AAA服務器組和協議
Firewall(config)# aaa-server server_tag protocol {tacacs+ | radius}
(7.x還增加了kerberos,ldap,nt,sdi協議的支持)
加入服務器到組
Firewall(config)# aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds]

可選命令

定義服務器失敗閥值 FWSM Firewall(config)# aaa-server server_tag max-attempts number
PIX 6.x Firewall(config)# aaa-server server_tag max-failed-attempts number
PIX 7.x Firewall(config-aaa-server-group)# max-failed-attempts number

定義統計策略(7.x特性)
Firewall(config-aaa-server-group)# accounting-mode {single | simultaneous}

具體各協議參數配置暫略

4.4 配置AAA管理用戶
啟用鑑權
Firewall(config)# aaa authentication {serial | telnet | ssh | http} consoleserver_tag [LOCAL]

啟用授權
Firewall(config)# aaa authorization command server_tag [LOCAL]

啟用統計
Firewall(config)# aaa accounting command [privilege level] server_tag

註：AAA服務器配置略

4.5 配置AAA支持用戶Cut-Through代理
4.6 密碼恢復

--------------------------------------------------------------------------------
■思科ASA和PIX防火牆配置手冊第五章

五防火牆的訪問控制

5.1 防火牆的透明模式

特性介紹：從PIX 7.0和FWSM 2.2開始防火牆可以支持透明的防火牆模式，接口不需要配置地址信息，工作在二層。只支持兩個接口inside和outside，當然可以配置一個管理接口，但是管理接口不能用於處理用戶流量，在多context模式下不能復用物理端口。由於連接的是同一地址段的網絡，所以不支持NAT，雖然沒有IP地址但是同樣可以配置ACL來檢查流量。

進入透明模式 Firewall(config)# firewall transparent
(show firewall 來驗證當前的工作模式，由於路由模式和透明模式工作方式不同，所以互相切換的時候會清除當前配置文件)

配置接口 Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level

註：不用配置IP地址信息，但是其它的屬性還是要配置的，接口的安全等級一般要不一樣，same-security-traffic permit inter-interface
命令可以免除此限制。

配置管理地址
Firewall(config)# ip address ip_address subnet_mask
Firewall(config)# route if_name foreign_network foreign_mask gateway [metric]
MAC地址表的配置
Firewall# show mac-address-table 顯示MAC地址表
Firewall(config)# mac-address-table aging-time minutes 設置MAC地址表過期時間
Firewall(config)# mac-address-table static if_name mac_address 設置靜態MAC條目
Firewall(config)# mac-learn if_name disable
禁止特定接口地址學習(show mac-learn驗證)
ARP檢查
Firewall(config)# arp if_name ip_address mac_address 靜態ARP條目
Firewall(config)# arp-inspection if_name enable [flood | no-flood]
端口啟用ARP檢查為非IP協議配置轉發策略
Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype}
Firewall(config)# access-group acl_id {in | out} interface if_name

5.2 防火牆的路由模式和地址翻譯

特性介紹：從高安全等級到低安全等級的訪問稱為outbound訪問，需要配置地址翻譯和outbound訪問控制，PIX缺省情況下不用配置ACL就允許此類訪問，FWSM則需要配置ACL來允許此類型的訪問。而從低安全等級到高安全等級的訪問稱為inboud訪問，也需要配置地址翻譯和inboud訪問控制，此類型必須配置ACL.同一安全等級的訪問也可以配置地址翻譯。

支持下列幾種NAT類型

Translation Type
Application
Basic Command
Direction in Which Connections Can Be Initiated
Static NAT
Real source addresses (and ports) are translated to mapped addresses (and ports)
static
Inbound or outbound
Policy NAT
Conditionally translates real source addresses (and ports) to mapped addresses
static access-list
Inbound or outbound
Identity NAT
No translation of real source addresses
nat 0
Outbound only
NAT exemption
No translation of real source addresses matched by the access list
nat 0 access-list
Inbound or outbound
Dynamic NAT
Translates real source addresses to a pool of mapped addresses
nat id
global id address-range
Outbound only
PAT
Translates real source addresses to a single mapped address with dynamic port numbers
nat id
global id address
Outbound only
配置
對於連接數的控制 PIX 6.x ... [norandomseq] [max_conns [emb_limit]]
PIX 7.x ... [norandomseq] [[tcp] max_conns [emb_limit]] [udp udp_max_conns]
連接超時控制 Firewall(config)# timeout [conn hh:mm:ss] [udp hh:mm:ss]
靜態NAT
基於地址的靜態翻譯 Firewall(config)# static (real_ifc,mapped_ifc) {mapped_ip | interface} {real_ip [netmask mask]} [dns]
[norandomseq] [max_conns [emb_limit]]
基於端口的靜態翻譯 Firewall(config)# static (real_ifc,mapped_ifc) {tcp | udp} {mapped_ip | interface} mapped_port {real_ip
real_port [netmask mask]} [dns] [norandomseq] [max_conns [emb_limit]]
策略NAT
定義翻譯策略 Firewall(config)# access-list acl_name permit ip real_ip real_mask foreign_ip foreign_mask
靜態的 Firewall(config)# static (real_ifc,mapped_ifc) mapped_ip access-list acl_name [dns] [norandomseq] [max_conns
[emb_limit]]
NAT的 Firewall(config)# global (mapped_ifc) nat_id {global_ip [-global_ip] [netmask global_mask]} | interface
Firewall(config)# nat (real_ifc) nat_id access-list acl_name [dns] [outside][norandomseq] [max_conns [emb_limit]]
Identify NAT Firewall(config)# nat (real_ifc) 0 real_ip real_mask [dns] [norandomseq] [max_conns [emb_limit]]
註：nat 0和static 相同地址的區別在於：nat 0只能用於outbound訪問，static兩種訪問都可以，對同一地址不建議同時配置此兩類命令。
NAT Exemption
Firewall(config)# access-list acl_name permit ip local_ip local_mask foreign_ip foreign_mask
Firewall(config)# nat (real_ifc) 0 access-list acl_name [dns] [outside] [max_conns [emb_limit] [norandomseq]]
註：此類型NAT策略只能根據源和目的地址不能根據協議類型或者端口
動態地址翻譯
定義NAT的映射地址 Firewall(config)# global (mapped_ifc) nat_id global_ip[-global_ip] [netmask global_mask]
定義PAT的映射地址 Firewall(config)# global (mapped_ifc) nat_id {global_ip | interface}
定義翻譯策略 Firewall(config)# nat (real_ifc) nat_id real_ip [mask [dns] [outside] [[norandomseq] [max_conns [emb_limit]]]
註：也可以使用ACL來做類似的策略NAT。

5.3 使用ACL進行訪問控制
特性介紹：防火牆的ACL配置跟IOS不同，子網掩碼部分為正常的子網掩碼不需要使用反轉的子網掩碼。還支持Object group，包含IP地址組，ICMP類型組，IP協議或者端口組，並且支持組嵌套。access-list acl_name compiled配置Turbo ACL，7.x自動turbo。防火牆的ACL缺省是擴展模式的，7.x後也支持標準模式了儘管只用於路由協議的配置上，並且加上了extend的參數，雖然配置的時候可以不必強制用這個參數但是當你需要移除該條目的時候要記得把extend這個參數加上。
配置
定義Object Group
網絡對像組
Firewall(config)# object-group network group_id
Firewall(config-network)# description text
Firewall(config-network)# network-object ip_addr mask (或者 host ip_addr)
Firewall(config-network)# group-object group_id
ICMP對像組 Firewall(config)# object-group icmp-type group_id
Firewall(config-icmp-type)# description text
Firewall(config-icmp-type)# icmp-object icmp_type
Firewall(config-icmp-type)# group-object group_id
協議對像組 Firewall(config)# object-group protocol group_id
Firewall(config-protocol)# description text
Firewall(config-protocol)# protocol-object protocol
Firewall(config-protocol)# group-object group_id
服務對像組 Firewall(config)# object-group service group_id {tcp | udp | tcp-udp}
Firewall(config-service)# description text
Firewall(config-service)# port-object range begin_port end_port (或者eq port)
Firewall(config-service)# group-object group_id
定義時間範圍 7.0特性
Firewall(config)# time-range name
Firewall(config-time-range)# periodic start-day hh:mm to end-day hh:mm
Firewall(config-time-range)# periodic days-of-the-week hh:mm to hh:mm
Firewall(config-time-range)# absolute [start hh:mm day month year] [end hh:mm day month year]
配置ACL Firewall(config)# access-list acl_id [line line-num] [extended] {permit | deny}
{protocol | object-group protocol_obj_group} {source_addr source_mask | object-group network_obj_group} [operator
sport | object-group service_obj_group]
{destination_addr destination_mask |object-group network_obj_group}
[operator dport | object-group service_obj_group] [log [[disable | default] | [level]]] [interval secs]] [time-range name]
[inactive]

show access-list 來驗證， clear access-list acl_id counters 重置ACL計數器

--------------------------------------------------------------------------------

■思科ASA和PIX防火牆配置手冊第六章

六配置Failover增加可用性

特性介紹：為了增強可用性，避免單點故障，提高性能等原因才引入了Failover的特性。Active-Standby是最初支持的一種特性，其中一台是

UR的許可，另一台為UR或者Failover-only的許可，FWSM缺省支持此中模式，在該模式下一個為Active工作狀態，Standby只是監控Active的狀

態而不工作，這樣就在性能上雖然有兩台設備但是並沒有得到加強。在7.x以後由於引入了context的概念，這樣Active-Active另一種Failover

的特性也出現了，在每個context下有自己的active和standby，配置每個設備在不同context下的角色從而使其都工作，也增加了性能，但是此

模式只被PIX515E，525,535和ASA平台支持