防火墙 PIX、NETSCREEN、ASA防火墙功能实现比较

一、
功能比较
从以下八个方面对PIX、NETSCREEN和ASA防火墙功能做一功能描述和比较:
1、
内网安全领域主动访问外网及DMZ非安全领域
PIX 防火墙:通过定义区域的安全优先级来实现高安全优先级对低安全优先级的主动任意访问。
NETSCREEN 防火墙:通过区域策略实现安全区域对非安全区域的主动访问。
ASA 防火墙: 通过定义区域的安全优先级来实现高安全优先级对低安全优先级的主动访问,但ICMP需要双相开通相应策略。

2、
外网对内网及DMZ区提供的专项服务的访问。
PIX 防火墙:通过静态映射(static)和策略(conduit)来实现外网对内网及DMZ专项服务的访问限制。
NETSCREEN 防火墙:通过对外网端口MIP和访问策略(set policy)来实现外网对内网及DMZ专项服务的访问限制。
ASA 防火墙: 通过静态映射(static (inside,outside))和策略(access-list)来实现外网对内网及DMZ专项服务的访问限制。

3、
内网地址转换
PIX 防火墙:通过映射命令(net、global)来实现内网地址的转换。
NETSCREEN 防火墙:通过对外网端口MIP、VIP和DIP实现内部地址的转换。
ASA 防火墙:通过映射命令(net、global)来实现内网地址的转换。
对于同一个地址访问不同目的地时所转换地址不同的应用需求,ASA使用策略 NAT实现:
access-list inside_pnat_outbound_V1 extended permit ip host 2.6.6.7 host 2.6 .5.218
nat (inside) 38 access-list inside_pnat_outbound_V1
access-list inside_pnat_outbound extended permit ip host 2.6.6.7 host 2.6.5.35
nat (inside) 35 access-list inside_pnat_outbound

4、
策略的定义
PIX 防火墙:通过策略命令(conduit)来定制访问策略,实现Ip及端口的访问限制。
NETSCREEN 防火墙:通过对访问策略(set policy)实现Ip及端口的访问限制。
ASA 防火墙:通过策略命令(access-list)来定制访问策略,实现Ip及端口的访问限制。
5、
路由的实现
PIX 防火墙:通过route outside 、route inside来实现内外网的访问路由。
NETSCREEN 防火墙:通过set route来实现内外网的访问路由。
ASA 防火墙:通过route outside 、route inside来实现内外网的访问路由。
6、
管理地址的定义
PIX 防火墙:通过telnet来实现管理地址的指定。
NETSCREEN 防火墙:通过绑定到端口的manager IP来实现管理地址的制定。
ASA 防火墙:通过绑定到端口的manager IP来实现管理地址的制定。可以是MGMT端口,也可以定义为inside口、outside口或DMZ口。
7、
防火墙备份的实现
PIX 防火墙:通过failover来实现硬件冗余。
NETSCREEN 防火墙:通过定义NSRP集群和VSD组来实现硬件冗余。
ASA 防火墙:通过failover定义来实现硬件冗余。
8、
防火墙配置的备份和恢复。
PIX 防火墙:通过命令erase all即可删除防火墙上所以配置,使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
NETSCREEN 防火墙:在非HA模式下,通过命令unset all即可删除防火墙上所以配置,使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
ASA 防火墙:通过命令erase all即可删除防火墙上所以配置,使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
二、具体配置对照表如下:
序列
 
功能说明
 
PIX配置
 
NETSCREEN配置
 
ASA配置
 
1
 
定义区域
 
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security80

 
set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
 
在接口状态下配置:interface GigabitEthernet0/1

nameif DMZ

security-level 30

ip address 2.6.7.1 255.255.255.0
 
2
 
HA failover
failover timeout 0:00:00
failover ip address outside 2.16.253.4
failover ip address inside 2.6.1.82
failover ip address dmz 2.16.1.130
failover ip address wan 2.16.1.4
 
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet1
set nsrp monitor interface ethernet3
 
failover

failover lan unit primary

failover lan interface HA GigabitEthernet0/3

failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001

failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001

failover mac address Management0/0 0018.1900.7000 0018.1900.7001

failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001

failover link HA GigabitEthernet0/3

failover interface ip HA 60.60.60.1 255.255.255.0 standby 60.60.60.2

 
3
 
日志
 
logging trap critical
logging facility 20
logging host inside 2.6.1.2
 
set syslog config "2.6.1.253" "local0" "local0" "debug"
set syslog enable
set syslog traffic
 
logging trap critical
logging facility 20
logging host inside 2.6.1.2
 
4
 
端口区域绑定和IP定义
 
ip address outside 2.16.253.3 255.255.255.0
ip address inside 2.6.1.81 255.255.255.0
ip address dmz 2.16.1.129 255.255.255.128
 
set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
set interface ethernet1 ip 2.6.1.81/24
set interface ethernet2 ip 2.16.1.129/28
set interface ethernet3 ip 2.16.253.3/24
set interface ethernet3 route
 
interface GigabitEthernet0/0

nameif outside

security-level 0

ip address 2.6.5.216 255.255.255.0
 
5
 
内网到外网允许访问
 
nat (inside) 0 0.0.0.0 0.0.0.0 0 0
 
set policy id 4 name "ANY1" from "Trust" to "Untrust"
"Any" "Any" "ANY" Permit
 
access-list inside_access_in extended permit ip any any
 
6
 
静态映射
 
static (inside,outside) 2.16.1.38
2.6.2.38 netmask 255.255.255.255 0 0
……..
 
set interface "ethernet3" mip 2.16.1.38 host 2.6.2.38 netmask 255.255.255.255 vr "trust-vr"
 
static (inside,outside) 2.6.5.215 2.6.6.6 netmask 255.255.255.255
 
7
 
策略
 
conduit permit tcp host 23.168.1.38 eq telnet host 2.16.253.55
 
set policy id 6 name "U-T ICMP" from "Untrust" to "Trust"
"2.16.253.55/32" "MIP(2.16.1.38)" "TELNET" Permit
 
access-list DMZ_access_in extended permit tcp host 2.6.7.11 eq ftp host 2.6. 6.7 eq ftp
 
8
 
路由
 
route outside 0.0.0.0 0.0.0.0 2.16.253.8 1
 
set route 0.0.0.0/0 interface ethernet3 gateway 2.16.253.8 1
 
route outside 0.0.0.0 0.0.0.0 2.6.5.1 1
 
9
 
SNMP snmp-server host inside 2.6.1.253
snmp-server location XianWailian
snmp-server contact FangHaitao
snmp-server community 111
snmp-server enable trap
 
set snmp community "INSIDE" Read-Write Trap-on traffic
set snmp host "INSIDE" 2.6.1.253 255.255.255.255
set snmp location "FangHaitao"
set snmp contact "XianWailian"
set snmp name "ns204"
 
snmp-server host inside 2.6.1.253
snmp-server location XianWailian
snmp-server contact FangHaitao
snmp-server community 111
 
snmp-server enable trap
 
10
 
TELNET
 
telnet 2.64.5.76 255.255.255.255
telnet timeout 10
 
set admin manager-ip
2.64.5.76 255.255.255.255
NETSCREEN
通过指定IP地址来限制可
telnet到防火墙的终端。
 
telnet 2.64.7.0 255.255.255.0 DMZ
telnet 2.64.6.0 255.255.255.0 inside
 

你可能感兴趣的:(防火墙,休闲,asa,Netscreen,PIX)