网络安全与技术
Highlighted
网络安全与技术

PIX/ASA与ScreenOS防火墙命令转换

修改时间 ‎05-03-2011 09:39 AM

 

本人原创,转载请注明原始出处:http://k968888.blog.sohu.com/171543707.html

 

PIX/ASA在7.0以前,必须配置NAT才能实现不接安全接口区域互访。在7.0后,可以通过nat-control开关控制。 PIX/ASA防火墙的核心思想是基于接口安全优先级控制数据流转发,而ScreenOS防火墙是基于Security Zone控制数据流转发。在实际中,经常会遇到两种防火墙互换案例,下来是主要命令的转换对应(在PIX/ASA开启nat-control情况下):

    1、数据流从高安全别级区段(netscreen)流向低安全别级区段(intf-out1),设置NAT 和GLOBAL

nat (netscreen) 3 1.2.1.0 255.255.255.0 0 0 #定义netscreen 安全区段要转换的内部IP 网段
nat (netscreen) 3 1.2.2.0 255.255.255.0 0 0 #定义netscreen 安全区段要转换的内部IP 网段
global (intf-out1) 3 10.2.3.9 #指定外部地址范围,设置单个IP 址地PIX 会自动提示启用PNAT

    我的理解就是在数据流离开PIX/ASA前做了原地址转换,对应ScreenOS命令如下:

set interface ethernet1/2 dip 4 10.2.3.9 10.2.3.9

set address "netscreen" "1.2.1.0/24" 1.2.1.0 255.255.255.0
set address "netscreen" "1.2.2.0/24" 1.2.1.0 255.255.255.0
set group address netscreen "TestAddress"
set group address netscreen "TestAddress" add "1.2.1.0/24"
set group address netscreen "TestAddress" add "1.2.2.0/24"
set policy top from "netscreen" to "intf-out1" "TestAddress" "any" "any" nat src dip-id 4 permit

    2、数据流从低安全别级区段(netscreen)流向高安全别级区段(intf-in1),设置static 和access-list

static (intf-in1,netscreen) 10.2.3.1 10.2.1.33 netmask 255.255.255.255 0 0 #定义一对一的IP 地址静态映射

access-list acl_inside permit ip any any #开放any 访问intf-in1 安全区段的any 权限

access-group acl_inside in interface intf-in1 #把acl_inside应用到intf-in1接口in方向

    我的理解在数据流到达PIX/ASA时做目的地址转换,对应ScreenOS命令如下:

set address "intf-in1" "10.2.3.1/32" 10.2.3.1 255.255.255.255
set policy top from "netscreen" to "intf-in1"  "any" "10.2.3.1/32" "any" nat dst ip 10.2.1.33 permit

JNCIS-FWV
JNCIS-SEC
JNCIA-ER
JNCIS-ER
CCNA
http://k968888.blog.sohu.com
1 条回复1
Highlighted
网络安全与技术

回复: PIX/ASA与ScreenOS防火墙命令转换

修改时间 ‎12-31-2011 08:30 PM

从命令行配置和实现来看, PIX和SCREEN OS对于NAT的实现,还是不一样的。

 

学习了。

JNCIE-SEC