亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

防火墻PIX、NETSCREEN、ASA功能比較
2010-02-07   網絡

一、
功能比較
從以下八個方面對PIX、NETSCREEN和ASA防火墻功能做一功能描述和比較:
1、
內網安全領 域主動訪問外網及DMZ非安全領 域
PIX防 火墻:通過定義區域的安全優先級來實現高安全優先級對低安全優先級的主動任意訪問。
NETSCREEN防火墻:通過區域策略實現安全區域對非安全區域的主動訪問。
ASA防火墻: 通過定義區域的安全優先級來實現高安全優先級對低安全優先級的主動訪問,但ICMP需要雙相開通相應策略。

2、
外網對內網及DMZ區提供的專項服務的訪問。
PIX防火墻:通過靜態映射(static)和策略(conduit) 來實現外網對內網及DMZ專項服務的訪問限制。
NETSCREEN防火墻:通過對外網端口MIP和訪問策略(set policy)來實現外網對內網及DMZ專項服務的訪問限制。
ASA防火墻: 通過靜態映射(static (inside,outside))和策略(access-list)來實現外網對內網及DMZ專項服務的訪問限制。

3、
內網地址轉換
PIX防火墻:通過映射命令(net、global)來實現內網地址的 轉換。
NETSCREEN防火墻:通過對外網端口MIP、VIP和DIP實現內部地址的 轉換。
ASA防火墻:通過映射命令(net、global)來實現內網地址 的轉換。
對于 同一個地址訪問不同目的地時所轉換地址不同的應用需求,ASA使用策略NAT實現:
access-list inside_pnat_outbound_V1 extended permit ip host 2.6.6.7 host 2.6 .5.218
nat (inside) 38 access-list inside_pnat_outbound_V1
access-list inside_pnat_outbound extended permit ip host 2.6.6.7 host 2.6.5.35
nat (inside) 35 access-list inside_pnat_outbound

4、
策略的定義
PIX防火墻:通過策略命令(conduit)來定制訪問策略,實現 Ip及端口的訪問限制。
NETSCREEN防火墻:通過對訪問策略(set policy)實現Ip及端口的訪問限制。
ASA防火墻:通過策略命令(access-list)來定制訪問策 略,實現Ip及端口的訪問限制。
5、
路由的實現
PIX防火墻:通過route outside 、route inside來實現內外網的訪問路由。
NETSCREEN防火墻:通過set route來實現內外網的訪問路由。
ASA防火墻:通過route outside 、route inside來實現內外網的訪問路由。
6、
管理地址的定義
PIX防火墻:通過telnet來實現管理地址的指定。
NETSCREEN防火墻:通過綁定到端口的manager IP來實現管理地址的制定。
ASA防 火墻:通過綁定到端口的manager IP來實現管理地址的制定。可以是MGMT端口,也可以定義為inside口、outside口或DMZ口。
7、
防火墻備份的實現
PIX防火墻:通過failover來實現硬件冗余。
NETSCREEN防火墻:通過定義NSRP集群和VSD組來實現硬件冗余。
ASA防火墻:通過failover定義來實現硬件冗余。
8、
防火墻配置的備份和恢復。
PIX防火墻:通過命令erase all即可刪除防火墻上所以配置,使其恢復到出廠設置狀態。通過在命令行內直接粘貼備份的配置文件即可自動恢復配置。
NETSCREEN防火墻:在非HA模式下,通過命令unset all即可刪除防火墻上所以配置,使其恢復到出廠設置狀態。通過在命令行內直接粘貼備份的配置文件即可自動恢復配置。
ASA防火墻:通過命令erase all即可刪除防火墻上所以配置,使其恢復到出廠設置狀態。通過在命令行內直接粘貼備份的配置文件即可自動恢復配置。
二、具體配置對照表如下:
序列
 		 功能說明
 		 PIX配置
 		 NETSCREEN配置
 		 ASA配置
 
1
 		 定義區域
 		 nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security80

 		 set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
 		 在接口狀態下配置:interface GigabitEthernet0/1

nameif DMZ

security-level 30

ip address 2.6.7.1 255.255.255.0
 
2
 		 HA failover
failover timeout 0:00:00
failover ip address outside 2.16.253.4
failover ip address inside 2.6.1.82
failover ip address dmz 2.16.1.130
failover ip address wan 2.16.1.4
 		 set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet1
set nsrp monitor interface ethernet3
 		 failover

failover lan unit primary

failover lan interface HA GigabitEthernet0/3

failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001

failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001

failover mac address Management0/0 0018.1900.7000 0018.1900.7001

failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001

failover link HA GigabitEthernet0/3

failover interface ip HA 60.60.60.1 255.255.255.0 standby 60.60.60.2

 
3
 		 日志
 		 logging trap critical
logging facility 20
logging host inside 2.6.1.2
 		 set syslog config "2.6.1.253" "local0" "local0" "debug"
set syslog enable
set syslog traffic
 		 logging trap critical
logging facility 20
logging host inside 2.6.1.2
 
4
 		 端口區域綁定和IP定義
 		 ip address outside 2.16.253.3 255.255.255.0
ip address inside 2.6.1.81 255.255.255.0
ip address dmz 2.16.1.129 255.255.255.128
 		 set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
set interface ethernet1 ip 2.6.1.81/24
set interface ethernet2 ip 2.16.1.129/28
set interface ethernet3 ip 2.16.253.3/24
set interface ethernet3 route
 		 interface GigabitEthernet0/0

nameif outside

security-level 0

ip address 2.6.5.216 255.255.255.0
 
5
 		 內網到外網允許訪問
 		 nat (inside) 0 0.0.0.0 0.0.0.0 0 0
 		 set policy id 4 name "ANY1" from "Trust" to "Untrust"
"Any" "Any" "ANY" Permit
 		 access-list inside_access_in extended permit ip any any
 
6
 		 靜態映射
 		 static (inside,outside) 2.16.1.38
2.6.2.38 netmask 255.255.255.255 0 0
……..
 		 set interface "ethernet3" mip 2.16.1.38 host 2.6.2.38 netmask 255.255.255.255 vr "trust-vr"
 		 static (inside,outside) 2.6.5.215 2.6.6.6 netmask 255.255.255.255
 
7
 		 策略
 		 conduit permit tcp host 23.168.1.38 eq telnet host 2.16.253.55
 		 set policy id 6 name "U-T ICMP" from "Untrust" to "Trust"
"2.16.253.55/32" "MIP(2.16.1.38)" "TELNET" Permit
 		 access-list DMZ_access_in extended permit tcp host 2.6.7.11 eq ftp host 2.6. 6.7 eq ftp
 
8
 		 路由
 		 route outside 0.0.0.0 0.0.0.0 2.16.253.8 1
 		 set route 0.0.0.0/0 interface ethernet3 gateway 2.16.253.8 1
 		 route outside 0.0.0.0 0.0.0.0 2.6.5.1 1
 
9
 		 SNMP snmp-server host inside 2.6.1.253
snmp-server location XianWailian
snmp-server contact FangHaitao
snmp-server community 111
snmp-server enable trap
 		 set snmp community "INSIDE" Read-Write Trap-on traffic
set snmp host "INSIDE" 2.6.1.253 255.255.255.255
set snmp location "FangHaitao"
set snmp contact "XianWailian"
set snmp name "ns204"
 		 snmp-server host inside 2.6.1.253
snmp-server location XianWailian
snmp-server contact FangHaitao
snmp-server community 111
 
snmp-server enable trap
 
10
 		 TELNET
 		 telnet 2.64.5.76 255.255.255.255
telnet timeout 10
 		 set admin manager-ip
2.64.5.76 255.255.255.255
NETSCREEN
通過指定IP地址來限制可
telnet到防火墻的終端。
 		 telnet 2.64.7.0 255.255.255.0 DMZ
telnet 2.64.6.0 255.255.255.0 inside
 

熱詞搜索:

上一篇:防火墻x86、NP、ASIC和多核架構比較
下一篇:何為防毒墻 防火墻--詳解二者的區別

分享到: 收藏