1. 默认防火墙上流量能否在相同安全级别之间传输?用什么命令可以允许?

防火墙接口可以分配相同的安全级别，允许接口间的流量互通。
建立连接
1、配置接口冗余
（1）条件：接口必须进行相同的功能（inside或outside）
连接到同一个网络
其中仅有一个接口处于active状态，另外一个接口处于standby状态，一但active接口丧失链路状态并
停止工作，standby接口立即激活并接管传输数据的工作
两个接口必须为同一类型（10、100、1000以太网接口）

（2）配置逻辑冗余接口
interface redundant 1 配置一个redundant虚拟接口
member-interface ethernet0/1 加入接口成员
member-interface ethernet0/2 加入接口成员
no shutdown 开启端口
show interface redundant 1 查看redundant接口状态

注：配置接口的顺序非常重要，第一个添加到逻辑冗余接口的物理接口作为active，接口还采用第一个加入
接口的MAC地址，不管哪个物理接口处于active状态，都是用同样的MAC地址
接口切换时时间很短，只有系统日志里可以查询 debug redundant 命令来监控切换过程
（3）默认情况下接口为administrator down
（4）定义一个逻辑VLAN接口
interface vlan 1 定义逻辑VLAN
interface e0/1 vlan 1 logical 配置e0/1为逻辑接口
interface e0/1.1 定义子接口
vlan 1 配置接口到VLAN1

(5)物理接口配置
nameif outside 定义接口为outbound
security-level 30 定义接口安全级别为30
ip address 配置IP地址
ip address outside dhcp [setroute] [retry]配置接口通过DHCP获得地址，
setroute 在dhcp应答返回的默认网关参数中设置防火墙的默认路由
retry 配置重试请求的次数。
(6)如何使接口可以拥有相同的安全级别
same-security-traffic permit inter-interface

配置 arp高速缓存
1、定义静态ARP表项
arp outside 1.1.1.1 0000.1111.1111.1111 alias outside表明在outside接口上
可以找到主机
2、设置ARP持续定时器（默认情况下保持时间4小时）
arp timeout seconds 60
show arp statistics 显示arp计时器
精确制定入站ACL
最佳做法建议任何入站访问必须止于中立区（DMZ）防火墙接口上的主机，而不是内网网络中的主机
出站流量，内部用户通常是已知的受信任的，可以开放出站访问，但最佳做法建议配置出站访问列表，
以防止内部网络的主机参与针对DMZ或外部网络的蠕虫或攻击
防火墙流量监测流程
数据包--初始校验--Xlate检查--连接查找--ACL查找--Xlate查找--用户验证查找--检测引擎--数据包
接口X 仅为出站 仅为入站 接口Y
防火墙特性和许可证
当防火墙运行一个操作系统的镜像时，必须有合适的许可证激活密钥来解释所需要的特性。
show version 查看防火墙特性
asa5510和asa5505不支持failover（可以通过许可证来激活）

温馨提示：答案为网友推荐，仅供参考

当前网址：https://verywind.cn/ee/r3xrr2ree.html