一、
功能比較
從以下八個(gè)方面對(duì)PIX、NETSCREEN和ASA防火墻功能做一功能描述和比較:
1、
內(nèi)網(wǎng)安全領(lǐng) 域主動(dòng)訪問(wèn)外網(wǎng)及DMZ非安全領(lǐng) 域
PIX防 火墻:通過(guò)定義區(qū)域的安全優(yōu)先級(jí)來(lái)實(shí)現(xiàn)高安全優(yōu)先級(jí)對(duì)低安全優(yōu)先級(jí)的主動(dòng)任意訪問(wèn)。
NETSCREEN防火墻:通過(guò)區(qū)域策略實(shí)現(xiàn)安全區(qū)域?qū)Ψ前踩珔^(qū)域的主動(dòng)訪問(wèn)。
ASA防火墻: 通過(guò)定義區(qū)域的安全優(yōu)先級(jí)來(lái)實(shí)現(xiàn)高安全優(yōu)先級(jí)對(duì)低安全優(yōu)先級(jí)的主動(dòng)訪問(wèn),但I(xiàn)CMP需要雙相開(kāi)通相應(yīng)策略。
功能比較
從以下八個(gè)方面對(duì)PIX、NETSCREEN和ASA防火墻功能做一功能描述和比較:
1、
內(nèi)網(wǎng)安全領(lǐng) 域主動(dòng)訪問(wèn)外網(wǎng)及DMZ非安全領(lǐng) 域
PIX防 火墻:通過(guò)定義區(qū)域的安全優(yōu)先級(jí)來(lái)實(shí)現(xiàn)高安全優(yōu)先級(jí)對(duì)低安全優(yōu)先級(jí)的主動(dòng)任意訪問(wèn)。
NETSCREEN防火墻:通過(guò)區(qū)域策略實(shí)現(xiàn)安全區(qū)域?qū)Ψ前踩珔^(qū)域的主動(dòng)訪問(wèn)。
ASA防火墻: 通過(guò)定義區(qū)域的安全優(yōu)先級(jí)來(lái)實(shí)現(xiàn)高安全優(yōu)先級(jí)對(duì)低安全優(yōu)先級(jí)的主動(dòng)訪問(wèn),但I(xiàn)CMP需要雙相開(kāi)通相應(yīng)策略。
2、
外網(wǎng)對(duì)內(nèi)網(wǎng)及DMZ區(qū)提供的專項(xiàng)服務(wù)的訪問(wèn)。
PIX防火墻:通過(guò)靜態(tài)映射(static)和策略(conduit) 來(lái)實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)及DMZ專項(xiàng)服務(wù)的訪問(wèn)限制。
NETSCREEN防火墻:通過(guò)對(duì)外網(wǎng)端口MIP和訪問(wèn)策略(set policy)來(lái)實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)及DMZ專項(xiàng)服務(wù)的訪問(wèn)限制。
ASA防火墻: 通過(guò)靜態(tài)映射(static (inside,outside))和策略(access-list)來(lái)實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)及DMZ專項(xiàng)服務(wù)的訪問(wèn)限制。
3、
內(nèi)網(wǎng)地址轉(zhuǎn)換
PIX防火墻:通過(guò)映射命令(net、global)來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)地址的 轉(zhuǎn)換。
NETSCREEN防火墻:通過(guò)對(duì)外網(wǎng)端口MIP、VIP和DIP實(shí)現(xiàn)內(nèi)部地址的 轉(zhuǎn)換。
ASA防火墻:通過(guò)映射命令(net、global)來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)地址 的轉(zhuǎn)換。
對(duì)于 同一個(gè)地址訪問(wèn)不同目的地時(shí)所轉(zhuǎn)換地址不同的應(yīng)用需求,ASA使用策略NAT實(shí)現(xiàn):
access-list inside_pnat_outbound_V1 extended permit ip host 2.6.6.7 host 2.6 .5.218
nat (inside) 38 access-list inside_pnat_outbound_V1
access-list inside_pnat_outbound extended permit ip host 2.6.6.7 host 2.6.5.35
nat (inside) 35 access-list inside_pnat_outbound
4、
策略的定義
PIX防火墻:通過(guò)策略命令(conduit)來(lái)定制訪問(wèn)策略,實(shí)現(xiàn) Ip及端口的訪問(wèn)限制。
NETSCREEN防火墻:通過(guò)對(duì)訪問(wèn)策略(set policy)實(shí)現(xiàn)Ip及端口的訪問(wèn)限制。
ASA防火墻:通過(guò)策略命令(access-list)來(lái)定制訪問(wèn)策 略,實(shí)現(xiàn)Ip及端口的訪問(wèn)限制。
5、
路由的實(shí)現(xiàn)
PIX防火墻:通過(guò)route outside 、route inside來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)的訪問(wèn)路由。
NETSCREEN防火墻:通過(guò)set route來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)的訪問(wèn)路由。
ASA防火墻:通過(guò)route outside 、route inside來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)的訪問(wèn)路由。
6、
管理地址的定義
PIX防火墻:通過(guò)telnet來(lái)實(shí)現(xiàn)管理地址的指定。
NETSCREEN防火墻:通過(guò)綁定到端口的manager IP來(lái)實(shí)現(xiàn)管理地址的制定。
ASA防 火墻:通過(guò)綁定到端口的manager IP來(lái)實(shí)現(xiàn)管理地址的制定。可以是MGMT端口,也可以定義為inside口、outside口或DMZ口。
7、
防火墻備份的實(shí)現(xiàn)
PIX防火墻:通過(guò)failover來(lái)實(shí)現(xiàn)硬件冗余。
NETSCREEN防火墻:通過(guò)定義NSRP集群和VSD組來(lái)實(shí)現(xiàn)硬件冗余。
ASA防火墻:通過(guò)failover定義來(lái)實(shí)現(xiàn)硬件冗余。
8、
防火墻配置的備份和恢復(fù)。
PIX防火墻:通過(guò)命令erase all即可刪除防火墻上所以配置,使其恢復(fù)到出廠設(shè)置狀態(tài)。通過(guò)在命令行內(nèi)直接粘貼備份的配置文件即可自動(dòng)恢復(fù)配置。
NETSCREEN防火墻:在非HA模式下,通過(guò)命令unset all即可刪除防火墻上所以配置,使其恢復(fù)到出廠設(shè)置狀態(tài)。通過(guò)在命令行內(nèi)直接粘貼備份的配置文件即可自動(dòng)恢復(fù)配置。
ASA防火墻:通過(guò)命令erase all即可刪除防火墻上所以配置,使其恢復(fù)到出廠設(shè)置狀態(tài)。通過(guò)在命令行內(nèi)直接粘貼備份的配置文件即可自動(dòng)恢復(fù)配置。
二、具體配置對(duì)照表如下:
序列 |
功能說(shuō)明 |
PIX配置 |
NETSCREEN配置 |
ASA配置 |
1 |
定義區(qū)域 |
nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security80 |
set interface "ethernet1" zone "Trust" set interface "ethernet2" zone "DMZ" set interface "ethernet3" zone "Untrust" |
在接口狀態(tài)下配置:interface GigabitEthernet0/1 nameif DMZ security-level 30 ip address 2.6.7.1 255.255.255.0 |
2 |
HA | failover failover timeout 0:00:00 failover ip address outside 2.16.253.4 failover ip address inside 2.6.1.82 failover ip address dmz 2.16.1.130 failover ip address wan 2.16.1.4 |
set nsrp cluster id 1 set nsrp rto-mirror sync set nsrp vsd-group id 0 priority 100 set nsrp monitor interface ethernet1 set nsrp monitor interface ethernet3 |
failover failover lan unit primary failover lan interface HA GigabitEthernet0/3 failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001 failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001 failover link HA GigabitEthernet0/3 failover interface ip HA 60.60.60.1 255.255.255.0 standby 60.60.60.2 |
3 |
日志 |
logging trap critical logging facility 20 logging host inside 2.6.1.2 |
set syslog config "2.6.1.253" "local0" "local0" "debug" set syslog enable set syslog traffic |
logging trap critical logging facility 20 logging host inside 2.6.1.2 |
4 |
端口區(qū)域綁定和IP定義 |
ip address outside 2.16.253.3 255.255.255.0 ip address inside 2.6.1.81 255.255.255.0 ip address dmz 2.16.1.129 255.255.255.128 |
set interface "ethernet1" zone "Trust" set interface "ethernet2" zone "DMZ" set interface "ethernet3" zone "Untrust" set interface ethernet1 ip 2.6.1.81/24 set interface ethernet2 ip 2.16.1.129/28 set interface ethernet3 ip 2.16.253.3/24 set interface ethernet3 route |
interface GigabitEthernet0/0 nameif outside security-level 0 ip address 2.6.5.216 255.255.255.0 |
5 |
內(nèi)網(wǎng)到外網(wǎng)允許訪問(wèn) |
nat (inside) 0 0.0.0.0 0.0.0.0 0 0 |
set policy id 4 name "ANY1" from "Trust" to "Untrust" "Any" "Any" "ANY" Permit |
access-list inside_access_in extended permit ip any any |
6 |
靜態(tài)映射 |
static (inside,outside) 2.16.1.38 2.6.2.38 netmask 255.255.255.255 0 0 …….. |
set interface "ethernet3" mip 2.16.1.38 host 2.6.2.38 netmask 255.255.255.255 vr "trust-vr" |
static (inside,outside) 2.6.5.215 2.6.6.6 netmask 255.255.255.255 |
7 |
策略 |
conduit permit tcp host 23.168.1.38 eq telnet host 2.16.253.55 |
set policy id 6 name "U-T ICMP" from "Untrust" to "Trust" "2.16.253.55/32" "MIP(2.16.1.38)" "TELNET" Permit |
access-list DMZ_access_in extended permit tcp host 2.6.7.11 eq ftp host 2.6. 6.7 eq ftp |
8 |
路由 |
route outside 0.0.0.0 0.0.0.0 2.16.253.8 1 |
set route 0.0.0.0/0 interface ethernet3 gateway 2.16.253.8 1 |
route outside 0.0.0.0 0.0.0.0 2.6.5.1 1 |
9 |
SNMP | snmp-server host inside 2.6.1.253 snmp-server location XianWailian snmp-server contact FangHaitao snmp-server community 111 snmp-server enable trap |
set snmp community "INSIDE" Read-Write Trap-on traffic set snmp host "INSIDE" 2.6.1.253 255.255.255.255 set snmp location "FangHaitao" set snmp contact "XianWailian" set snmp name "ns204" |
snmp-server host inside 2.6.1.253 snmp-server location XianWailian snmp-server contact FangHaitao snmp-server community 111 snmp-server enable trap
|
10 |
TELNET |
telnet 2.64.5.76 255.255.255.255 telnet timeout 10 |
set admin manager-ip 2.64.5.76 255.255.255.255 NETSCREEN 通過(guò)指定IP地址來(lái)限制可 telnet到防火墻的終端。 |
telnet 2.64.7.0 255.255.255.0 DMZ telnet 2.64.6.0 255.255.255.0 inside |