设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCNP学习资料 PIX、NETSCREEN、ASA防火墙功能实现比较
返回列表 发新帖
查看: 3159|回复: 10
收起左侧

[书籍] PIX、NETSCREEN、ASA防火墙功能实现比较

[复制链接]
jinsem1
发表于 2009-11-18 12:06:26 | 显示全部楼层 |阅读模式
一、
功能比较
从以下八个方面对PIX、NETSCREEN和ASA防火墙功能做一功能描述和比较:
1、
内网安全领域主动访问外网及DMZ非安全领域
PIX防火墙:通过定义区域的安全优先级来实现高安全优先级对低安全优先级的主动任意访问。
NETSCREEN防火墙:通过区域策略实现安全区域对非安全区域的主动访问。
ASA防火墙: 通过定义区域的安全优先级来实现高安全优先级对低安全优先级的主动访问,但ICMP需要双相开通相应策略。
2、
外网对内网及DMZ区提供的专项服务的访问。
PIX防火墙:通过静态映射(static)和策略(conduit)来实现外网对内网及DMZ专项服务的访问限制。
NETSCREEN防火墙:通过对外网端口MIP和访问策略(set policy)来实现外网对内网及DMZ专项服务的访问限制。
ASA防火墙: 通过静态映射(static (inside,outside))和策略(access-list)来实现外网对内网及DMZ专项服务的访问限制。
3、
内网地址转换
PIX防火墙:通过映射命令(net、global)来实现内网地址的转换。
NETSCREEN防火墙:通过对外网端口MIP、VIP和DIP实现内部地址的转换。
ASA防火墙:通过映射命令(net、global)来实现内网地址的转换。
对于同一个地址访问不同目的地时所转换地址不同的应用需求,ASA使用策略NAT实现:
access-list inside_pnat_outbound_V1 extended permit ip host 2.6.6.7 host 2.6 .5.218
nat (inside) 38 access-list inside_pnat_outbound_V1
access-list inside_pnat_outbound extended permit ip host 2.6.6.7 host 2.6.5.35
nat (inside) 35 access-list inside_pnat_outbound
4、
策略的定义
PIX防火墙:通过策略命令(conduit)来定制访问策略,实现Ip及端口的访问限制。
NETSCREEN防火墙:通过对访问策略(set policy)实现Ip及端口的访问限制。
ASA防火墙:通过策略命令(access-list)来定制访问策略,实现Ip及端口的访问限制。
5、
路由的实现
PIX防火墙:通过route outside 、route inside来实现内外网的访问路由。
NETSCREEN防火墙:通过set route来实现内外网的访问路由。
ASA防火墙:通过route outside 、route inside来实现内外网的访问路由。
6、
管理地址的定义
PIX防火墙:通过telnet来实现管理地址的指定。
NETSCREEN防火墙:通过绑定到端口的manager IP来实现管理地址的制定。
ASA防火墙:通过绑定到端口的manager IP来实现管理地址的制定。可以是MGMT端口,也可以定义为inside口、outside口或DMZ口。
7、
防火墙备份的实现
PIX防火墙:通过failover来实现硬件冗余。
NETSCREEN防火墙:通过定义NSRP集群和VSD组来实现硬件冗余。
ASA防火墙:通过failover定义来实现硬件冗余。
8、
防火墙配置的备份和恢复。
PIX防火墙:通过命令erase all即可删除防火墙上所以配置,使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
NETSCREEN防火墙:在非HA模式下,通过命令unset all即可删除防火墙上所以配置,使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
ASA防火墙:通过命令erase all即可删除防火墙上所以配置,使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
二、具体配置对照表如下:
[table=0px][tr][td=1,1,34]序列
[/td][td=1,1,70]功能说明
[/td][td=1,1,187]PIX配置
[/td][td=1,1,194]NETSCREEN配置
[/td][td=1,1,182]ASA配置
[/td][/tr][tr][td=1,1,34]1
[/td][td=1,1,70]定义区域
[/td][td=1,1,187]nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security80

[/td][td=1,1,194]set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
[/td][td=1,1,182]在接口状态下配置:interface GigabitEthernet0/1

nameif DMZ

security-level 30

ip address 2.6.7.1 255.255.255.0
[/td][/tr][tr][td=1,1,34]2
[/td][td=1,1,70]HA[/td][td=1,1,187]failover
failover timeout 0:00:00
failover ip address outside 2.16.253.4
failover ip address inside 2.6.1.82
failover ip address dmz 2.16.1.130
failover ip address wan 2.16.1.4
[/td][td=1,1,194]set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet1
set nsrp monitor interface ethernet3
[/td][td=1,1,182]failover

failover lan unit primary

failover lan interface HA GigabitEthernet0/3

failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001

failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001

failover mac address Management0/0 0018.1900.7000 0018.1900.7001

failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001

failover link HA GigabitEthernet0/3

failover interface ip HA 60.60.60.1 255.255.255.0 standby 60.60.60.2

[/td][/tr][tr][td=1,1,34]3
[/td][td=1,1,70]日志
[/td][td=1,1,187]logging trap critical
logging facility 20
logging host inside 2.6.1.2
[/td][td=1,1,194]set syslog config "2.6.1.253" "local0" "local0" "debug"
set syslog enable
set syslog traffic
[/td][td=1,1,182]logging trap critical
logging facility 20
logging host inside 2.6.1.2
[/td][/tr][tr][td=1,1,34]4
[/td][td=1,1,70]端口区域绑定和IP定义
[/td][td=1,1,187]ip address outside 2.16.253.3 255.255.255.0
ip address inside 2.6.1.81 255.255.255.0
ip address dmz 2.16.1.129 255.255.255.128
[/td][td=1,1,194]set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
set interface ethernet1 ip 2.6.1.81/24
set interface ethernet2 ip 2.16.1.129/28
set interface ethernet3 ip 2.16.253.3/24
set interface ethernet3 route
[/td][td=1,1,182]interface GigabitEthernet0/0

nameif outside

security-level 0

ip address 2.6.5.216 255.255.255.0
[/td][/tr][tr][td=1,1,34]5
[/td][td=1,1,70]内网到外网允许访问
[/td][td=1,1,187]nat (inside) 0 0.0.0.0 0.0.0.0 0 0
[/td][td=1,1,194]set policy id 4 name "ANY1" from "Trust" to "Untrust"
"Any" "Any" "ANY" Permit
[/td][td=1,1,182]access-list inside_access_in extended permit ip any any
[/td][/tr][tr][td=1,1,34]6
[/td][td=1,1,70]静态映射
[/td][td=1,1,187]static (inside,outside) 2.16.1.38
2.6.2.38 netmask 255.255.255.255 0 0
……..
[/td][td=1,1,194]set interface "ethernet3" mip 2.16.1.38 host 2.6.2.38 netmask 255.255.255.255 vr "trust-vr"
[/td][td=1,1,182]static (inside,outside) 2.6.5.215 2.6.6.6 netmask 255.255.255.255
[/td][/tr][tr][td=1,1,34]7
[/td][td=1,1,70]策略
[/td][td=1,1,187]conduit permit tcp host 23.168.1.38 eq telnet host 2.16.253.55
[/td][td=1,1,194]set policy id 6 name "U-T ICMP" from "Untrust" to "Trust"
"2.16.253.55/32" "MIP(2.16.1.38)" "TELNET" Permit
[/td][td=1,1,182]access-list DMZ_access_in extended permit tcp host 2.6.7.11 eq ftp host 2.6. 6.7 eq ftp
[/td][/tr][tr][td=1,1,34]8
[/td][td=1,1,70]路由
[/td][td=1,1,187]route outside 0.0.0.0 0.0.0.0 2.16.253.8 1
[/td][td=1,1,194]set route 0.0.0.0/0 interface ethernet3 gateway 2.16.253.8 1
[/td][td=1,1,182]route outside 0.0.0.0 0.0.0.0 2.6.5.1 1
[/td][/tr][tr][td=1,1,34]9
[/td][td=1,1,70]SNMP[/td][td=1,1,187]snmp-server host inside 2.6.1.253
snmp-server location XianWailian
snmp-server contact FangHaitao
snmp-server community 111
snmp-server enable trap
[/td][td=1,1,194]set snmp community "INSIDE" Read-Write Trap-on traffic
set snmp host "INSIDE" 2.6.1.253 255.255.255.255
set snmp location "FangHaitao"
set snmp contact "XianWailian"
set snmp name "ns204"
[/td][td=1,1,182]snmp-server host inside 2.6.1.253
snmp-server location XianWailian
snmp-server contact FangHaitao
snmp-server community 111
snmp-server enable trap

[/td][/tr][tr][td=1,1,34]10
[/td][td=1,1,70]TELNET
[/td][td=1,1,187]telnet 2.64.5.76 255.255.255.255
telnet timeout 10
[/td][td=1,1,194]set admin manager-ip
2.64.5.76 255.255.255.255
NETSCREEN
通过指定IP地址来限制可
telnet到防火墙的终端。
[/td][td=1,1,182]telnet 2.64.7.0 255.255.255.0 DMZ
telnet 2.64.6.0 255.255.255.0 inside
[/td][/tr][/table]
回复

使用道具 举报

gaoxuexue
发表于 2009-11-18 16:06:28 | 显示全部楼层
谢谢版主!!!
沙发 2009-11-18 16:06:28 回复 收起回复
回复 支持 反对

使用道具 举报

wodeai
发表于 2009-11-20 12:00:56 | 显示全部楼层
谢谢版主
板凳 2009-11-20 12:00:56 回复 收起回复
回复 支持 反对

使用道具 举报

hanli
发表于 2009-11-26 13:27:09 | 显示全部楼层
地板 2009-11-26 13:27:09 回复 收起回复
回复 支持 反对

使用道具 举报

hanli
发表于 2009-12-1 14:11:45 | 显示全部楼层
5# 2009-12-1 14:11:45 回复 收起回复
回复 支持 反对

使用道具 举报

匿名  发表于 2009-12-3 21:35:40

謝謝,希望以後多些

謝謝,希望以後多些
6# 2009-12-3 21:35:40 回复 收起回复
回复 支持 反对

使用道具

杨柏
发表于 2009-12-3 22:39:19 | 显示全部楼层

希望可以用些时间了~````

希望可以用些时间了~````
7# 2009-12-3 22:39:19 回复 收起回复
回复 支持 反对

使用道具 举报

@乌鸦@
发表于 2009-12-4 11:50:44 | 显示全部楼层

挺好啊

挺好啊
8# 2009-12-4 11:50:44 回复 收起回复
回复 支持 反对

使用道具 举报

万俟
发表于 2009-12-4 12:04:36 | 显示全部楼层

不错啊! 一个字牛啊!

不错啊! 一个字牛啊!
9# 2009-12-4 12:04:36 回复 收起回复
回复 支持 反对

使用道具 举报

柴轩辕
发表于 2009-12-6 10:38:02 | 显示全部楼层

到底什么样的啊

到底什么样的啊
10# 2009-12-6 10:38:02 回复 收起回复
回复 支持 反对

使用道具 举报

cec
发表于 2013-8-15 16:57:57 | 显示全部楼层
11# 2013-8-15 16:57:57 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-4-24 13:50 , Processed in 0.062899 second(s), 23 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表