亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

防火墻PIX、NETSCREEN、ASA功能比較
2010-02-07   網(wǎng)絡(luò)

一、
功能比較
從以下八個(gè)方面對(duì)PIX、NETSCREEN和ASA防火墻功能做一功能描述和比較:

1、
內(nèi)網(wǎng)安全領(lǐng) 域主動(dòng)訪問(wèn)外網(wǎng)及DMZ非安全領(lǐng) 域
PIX防 火墻:通過(guò)定義區(qū)域的安全優(yōu)先級(jí)來(lái)實(shí)現(xiàn)高安全優(yōu)先級(jí)對(duì)低安全優(yōu)先級(jí)的主動(dòng)任意訪問(wèn)。
NETSCREEN防火墻:通過(guò)區(qū)域策略實(shí)現(xiàn)安全區(qū)域?qū)Ψ前踩珔^(qū)域的主動(dòng)訪問(wèn)。
ASA防火墻: 通過(guò)定義區(qū)域的安全優(yōu)先級(jí)來(lái)實(shí)現(xiàn)高安全優(yōu)先級(jí)對(duì)低安全優(yōu)先級(jí)的主動(dòng)訪問(wèn),但I(xiàn)CMP需要雙相開(kāi)通相應(yīng)策略。

2、
外網(wǎng)對(duì)內(nèi)網(wǎng)及DMZ區(qū)提供的專項(xiàng)服務(wù)的訪問(wèn)。
PIX防火墻:通過(guò)靜態(tài)映射(static)和策略(conduit) 來(lái)實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)及DMZ專項(xiàng)服務(wù)的訪問(wèn)限制。
NETSCREEN防火墻:通過(guò)對(duì)外網(wǎng)端口MIP和訪問(wèn)策略(set policy)來(lái)實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)及DMZ專項(xiàng)服務(wù)的訪問(wèn)限制。
ASA防火墻: 通過(guò)靜態(tài)映射(static (inside,outside))和策略(access-list)來(lái)實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)及DMZ專項(xiàng)服務(wù)的訪問(wèn)限制。

3、
內(nèi)網(wǎng)地址轉(zhuǎn)換
PIX防火墻:通過(guò)映射命令(net、global)來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)地址的 轉(zhuǎn)換。
NETSCREEN防火墻:通過(guò)對(duì)外網(wǎng)端口MIP、VIP和DIP實(shí)現(xiàn)內(nèi)部地址的 轉(zhuǎn)換。
ASA防火墻:通過(guò)映射命令(net、global)來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)地址 的轉(zhuǎn)換。
對(duì)于 同一個(gè)地址訪問(wèn)不同目的地時(shí)所轉(zhuǎn)換地址不同的應(yīng)用需求,ASA使用策略NAT實(shí)現(xiàn):
access-list inside_pnat_outbound_V1 extended permit ip host 2.6.6.7 host 2.6 .5.218
nat (inside) 38 access-list inside_pnat_outbound_V1
access-list inside_pnat_outbound extended permit ip host 2.6.6.7 host 2.6.5.35
nat (inside) 35 access-list inside_pnat_outbound

4、
策略的定義
PIX防火墻:通過(guò)策略命令(conduit)來(lái)定制訪問(wèn)策略,實(shí)現(xiàn) Ip及端口的訪問(wèn)限制。
NETSCREEN防火墻:通過(guò)對(duì)訪問(wèn)策略(set policy)實(shí)現(xiàn)Ip及端口的訪問(wèn)限制。
ASA防火墻:通過(guò)策略命令(access-list)來(lái)定制訪問(wèn)策 略,實(shí)現(xiàn)Ip及端口的訪問(wèn)限制。
5、
路由的實(shí)現(xiàn)
PIX防火墻:通過(guò)route outside 、route inside來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)的訪問(wèn)路由。
NETSCREEN防火墻:通過(guò)set route來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)的訪問(wèn)路由。
ASA防火墻:通過(guò)route outside 、route inside來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)的訪問(wèn)路由。
6、
管理地址的定義
PIX防火墻:通過(guò)telnet來(lái)實(shí)現(xiàn)管理地址的指定。
NETSCREEN防火墻:通過(guò)綁定到端口的manager IP來(lái)實(shí)現(xiàn)管理地址的制定。
ASA防 火墻:通過(guò)綁定到端口的manager IP來(lái)實(shí)現(xiàn)管理地址的制定。可以是MGMT端口,也可以定義為inside口、outside口或DMZ口。
7、
防火墻備份的實(shí)現(xiàn)
PIX防火墻:通過(guò)failover來(lái)實(shí)現(xiàn)硬件冗余。
NETSCREEN防火墻:通過(guò)定義NSRP集群和VSD組來(lái)實(shí)現(xiàn)硬件冗余。
ASA防火墻:通過(guò)failover定義來(lái)實(shí)現(xiàn)硬件冗余。
8、
防火墻配置的備份和恢復(fù)。
PIX防火墻:通過(guò)命令erase all即可刪除防火墻上所以配置,使其恢復(fù)到出廠設(shè)置狀態(tài)。通過(guò)在命令行內(nèi)直接粘貼備份的配置文件即可自動(dòng)恢復(fù)配置。
NETSCREEN防火墻:在非HA模式下,通過(guò)命令unset all即可刪除防火墻上所以配置,使其恢復(fù)到出廠設(shè)置狀態(tài)。通過(guò)在命令行內(nèi)直接粘貼備份的配置文件即可自動(dòng)恢復(fù)配置。
ASA防火墻:通過(guò)命令erase all即可刪除防火墻上所以配置,使其恢復(fù)到出廠設(shè)置狀態(tài)。通過(guò)在命令行內(nèi)直接粘貼備份的配置文件即可自動(dòng)恢復(fù)配置。
二、具體配置對(duì)照表如下:
序列
 
功能說(shuō)明
 
PIX配置
 
NETSCREEN配置
 
ASA配置
 
1
 
定義區(qū)域
 
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security80

 
set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
 
在接口狀態(tài)下配置:interface GigabitEthernet0/1

nameif DMZ


security-level 30


ip address 2.6.7.1 255.255.255.0

 
2
 
HA failover
failover timeout 0:00:00
failover ip address outside 2.16.253.4
failover ip address inside 2.6.1.82
failover ip address dmz 2.16.1.130
failover ip address wan 2.16.1.4
 
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet1
set nsrp monitor interface ethernet3
 
failover

failover lan unit primary

failover lan interface HA GigabitEthernet0/3

failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001

failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001

failover mac address Management0/0 0018.1900.7000 0018.1900.7001

failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001

failover link HA GigabitEthernet0/3

failover interface ip HA 60.60.60.1 255.255.255.0 standby 60.60.60.2

 
3
 
日志
 
logging trap critical
logging facility 20
logging host inside 2.6.1.2
 
set syslog config "2.6.1.253" "local0" "local0" "debug"
set syslog enable
set syslog traffic
 
logging trap critical
logging facility 20
logging host inside 2.6.1.2
 
4
 
端口區(qū)域綁定和IP定義
 
ip address outside 2.16.253.3 255.255.255.0
ip address inside 2.6.1.81 255.255.255.0
ip address dmz 2.16.1.129 255.255.255.128
 
set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
set interface ethernet1 ip 2.6.1.81/24
set interface ethernet2 ip 2.16.1.129/28
set interface ethernet3 ip 2.16.253.3/24
set interface ethernet3 route
 
interface GigabitEthernet0/0

nameif outside


security-level 0


ip address 2.6.5.216 255.255.255.0

 
5
 
內(nèi)網(wǎng)到外網(wǎng)允許訪問(wèn)
 
nat (inside) 0 0.0.0.0 0.0.0.0 0 0
 
set policy id 4 name "ANY1" from "Trust" to "Untrust"
"Any" "Any" "ANY" Permit

 
access-list inside_access_in extended permit ip any any
 
6
 
靜態(tài)映射
 
static (inside,outside) 2.16.1.38
2.6.2.38 netmask 255.255.255.255 0 0

……..
 
set interface "ethernet3" mip 2.16.1.38 host 2.6.2.38 netmask 255.255.255.255 vr "trust-vr"
 
static (inside,outside) 2.6.5.215 2.6.6.6 netmask 255.255.255.255
 
7
 
策略
 
conduit permit tcp host 23.168.1.38 eq telnet host 2.16.253.55
 
set policy id 6 name "U-T ICMP" from "Untrust" to "Trust"
"2.16.253.55/32" "MIP(2.16.1.38)" "TELNET" Permit

 
access-list DMZ_access_in extended permit tcp host 2.6.7.11 eq ftp host 2.6. 6.7 eq ftp
 
8
 
路由
 
route outside 0.0.0.0 0.0.0.0 2.16.253.8 1
 
set route 0.0.0.0/0 interface ethernet3 gateway 2.16.253.8 1
 
route outside 0.0.0.0 0.0.0.0 2.6.5.1 1
 
9
 
SNMP snmp-server host inside 2.6.1.253
snmp-server location XianWailian
snmp-server contact FangHaitao
snmp-server community 111
snmp-server enable trap
 
set snmp community "INSIDE" Read-Write Trap-on traffic
set snmp host "INSIDE" 2.6.1.253 255.255.255.255
set snmp location "FangHaitao"
set snmp contact "XianWailian"
set snmp name "ns204"
 
snmp-server host inside 2.6.1.253
snmp-server location XianWailian
snmp-server contact FangHaitao
snmp-server community 111
 
snmp-server enable trap
 
10
 
TELNET
 
telnet 2.64.5.76 255.255.255.255
telnet timeout 10
 
set admin manager-ip
2.64.5.76 255.255.255.255

NETSCREEN
通過(guò)指定IP地址來(lái)限制可
telnet到防火墻的終端。
 
telnet 2.64.7.0 255.255.255.0 DMZ
telnet 2.64.6.0 255.255.255.0 inside
 

熱詞搜索:

上一篇:防火墻x86、NP、ASIC和多核架構(gòu)比較
下一篇:何為防毒墻 防火墻--詳解二者的區(qū)別

分享到: 收藏