- 論壇徽章:
- 0
|
本帖最后由 wzknet 于 2011-04-26 16:59 編輯
原始出自:PIX/ASA與ScreenOS防火墻命令轉換
PIX/ASA在7.0以前���,必須配置NAT才能實現(xiàn)不接安全接口區(qū)域互訪�����。在7.0后����,可以通過nat-control開關控制。 PIX/ASA防火墻的核心思想是基于接口安全優(yōu)先級控制數據流轉發(fā)���,而ScreenOS防火墻是基于Security Zone控制數據流轉發(fā)����。在實際中����,經常會遇到兩種防火墻互換案例,下來是主要命令的轉換對應(在PIX/ASA開啟nat-control情況下):
1�、數據流從高安全別級區(qū)段(netscreen)流向低安全別級區(qū)段(intf-out1),設置NAT 和GLOBAL
nat (netscreen) 3 1.2.1.0 255.255.255.0 0 0 #定義netscreen 安全區(qū)段要轉換的內部IP 網段
nat (netscreen) 3 1.2.2.0 255.255.255.0 0 0 #定義netscreen 安全區(qū)段要轉換的內部IP 網段
global (intf-out1) 3 10.2.3.9 #指定外部地址范圍��,設置單個IP 址地PIX 會自動提示啟用PNAT
我的理解就是在數據流離開PIX/ASA前做了原地址轉換�,對應ScreenOS命令如下:
set interface ethernet1/2 dip 4 10.2.3.9 10.2.3.9
set address "netscreen" "1.2.1.0/24" 1.2.1.0 255.255.255.0
set address "netscreen" "1.2.2.0/24" 1.2.1.0 255.255.255.0
set group address netscreen "TestAddress"
set group address netscreen "TestAddress" add "1.2.1.0/24"
set group address netscreen "TestAddress" add "1.2.2.0/24"
set policy top from "netscreen" to "intf-out1" "TestAddress" "any" "any" nat src dip-id 4 permit
2、數據流從低安全別級區(qū)段(netscreen)流向高安全別級區(qū)段(intf-in1)���,設置static 和access-list
static (intf-in1,netscreen) 10.2.3.1 10.2.1.33 netmask 255.255.255.255 0 0 #定義一對一的IP 地址靜態(tài)映射
access-list acl_inside permit ip any any #開放any 訪問intf-in1 安全區(qū)段的any 權限
access-group acl_inside in interface intf-in1 #把acl_inside應用到intf-in1接口in方向
我的理解在數據流到達PIX/ASA時做目的地址轉換�����,對應ScreenOS命令如下:
set address "intf-in1" "10.2.3.1/32" 10.2.3.1 255.255.255.255
set policy top from "netscreen" to "intf-in1" "any" "10.2.3.1/32" "any" nat dst ip 10.2.1.33 permit |
|
免費注冊
發(fā)表于 2011-04-26 16:58