PIX/ASA与ScreenOS防火墙命令转换

Question

本帖最后由 wzknet 于 2011-04-26 16:59 编辑

原始出自：PIX/ASA与ScreenOS防火墙命令转换

    PIX/ASA在7.0以前，必须配置NAT才能实现不接安全接口区域互访。在7.0后，可以通过nat-control开关控制。 PIX/ASA防火墙的核心思想是基于接口安全优先级控制数据流转发，而ScreenOS防火墙是基于Security Zone控制数据流转发。在实际中，经常会遇到两种防火墙互换案例，下来是主要命令的转换对应（在PIX/ASA开启nat-control情况下）：

    1、数据流从高安全别级区段（netscreen）流向低安全别级区段（intf-out1），设置NAT 和GLOBAL

nat (netscreen) 3 1.2.1.0 255.255.255.0 0 0 #定义netscreen 安全区段要转换的内部IP 网段
nat (netscreen) 3 1.2.2.0 255.255.255.0 0 0 #定义netscreen 安全区段要转换的内部IP 网段
global (intf-out1) 3 10.2.3.9 #指定外部地址范围，设置单个IP 址地PIX 会自动提示启用PNAT

    我的理解就是在数据流离开PIX/ASA前做了原地址转换，对应ScreenOS命令如下：

set interface ethernet1/2 dip 4 10.2.3.9 10.2.3.9

set address "netscreen" "1.2.1.0/24" 1.2.1.0 255.255.255.0
set address "netscreen" "1.2.2.0/24" 1.2.1.0 255.255.255.0
set group address netscreen "TestAddress"
set group address netscreen "TestAddress" add "1.2.1.0/24"
set group address netscreen "TestAddress" add "1.2.2.0/24"
set policy top from "netscreen" to "intf-out1" "TestAddress" "any" "any" nat src dip-id 4 permit

    2、数据流从低安全别级区段（netscreen）流向高安全别级区段（intf-in1），设置static 和access-list

static (intf-in1,netscreen) 10.2.3.1 10.2.1.33 netmask 255.255.255.255 0 0 #定义一对一的IP 地址静态映射

access-list acl_inside permit ip any any #开放any 访问intf-in1 安全区段的any 权限

access-group acl_inside in interface intf-in1 #把acl_inside应用到intf-in1接口in方向

    我的理解在数据流到达PIX/ASA时做目的地址转换，对应ScreenOS命令如下：

set address "intf-in1" "10.2.3.1/32" 10.2.3.1 255.255.255.255
set policy top from "netscreen" to "intf-in1"  "any" "10.2.3.1/32" "any" nat dst ip 10.2.1.33 permit