华为防火墙虚拟化

1. 防火墙虚拟系统应用场景
   1. 大中型企业的网络隔离

通过防火墙的虚拟系统将网络隔离为研发部门、财经部门和行政部门。各部门之间可以根据权限互相访问，不同部门的管理员权限区分明确。

1. 1. 云计算中心的安全网关

通过配置虚拟系统，可让部署在云计算中心出口的FW具备云计算网关的能力，对不同租户流量进行隔离的同时提供安全防护能力。

1. 防火墙虚拟系统概述
   1. 什么是虚拟系统

防火墙上存在两种类型的虚拟系统：

根系统（Public）

缺省即存在的一个特殊虚拟系统。缺省时，管理员对防火墙进行配置等同于对根系统进行配置。

在虚拟系统这个特性中，根系统的作用是管理其他虚拟系统，并为虚拟系统间的通信提供服务。

虚拟系统（VSYS）

虚拟系统是在防火墙上划分出来的、独立运行的逻辑设备。

1. 1. 虚拟系统与防火墙虚拟化

为了实现每个虚拟系统的业务都能够做到正确转发、独立管理、相互隔离，FW主要实现了几个方面的虚拟化：资源虚拟化、配置虚拟化、安全功能虚拟化及路由虚拟化。

1. 1. 防火墙主要实现了几个方面的虚拟化：
      1. 资源虚拟化：每个虚拟系统都有独享的资源，包括接口、VLAN、策略和会话等。根系统管理员分配给每个虚拟系统，由各个虚拟系统自行管理和使用。
      2. 配置虚拟化：每个虚拟系统都拥有独立的虚拟系统管理员和配置界面，每个虚拟系统管理员只能管理自己所属的虚拟系统。
      3. 安全功能虚拟化：每个虚拟系统都可以配置独立的安全策略及其他安全功能，只有属于该虚拟系统的报文才会受到这些配置的影响。
      4. 路由虚拟化：每个虚拟系统都拥有各自的路由表，相互独立隔离。目前仅支持静态路由的虚拟化。
      5. 通过以上几个方面的虚拟化，当创建虚拟系统之后，每个虚拟系统的管理员都像在使用一台独占的设备。

1.  虚拟接口
   1. 虚拟系统之间通过虚拟接口实现互访。
   2. 虚拟接口是创建虚拟系统时设备自动为其创建的一个逻辑接口，作为虚拟系统自身与其他虚拟系统之间通信的接口。
   3. 虚拟接口必须配置IP地址，并加入安全区域才能正常工作。
   4. 虚拟接口名的格式为“Virtual-if+接口号”，根系统的虚拟接口名为Virtual-if0，其他虚拟系统的Virtual-if接口号从1开始，根据系统中接口号占用情况自动分配。
   5. •如图所示，各个虚拟系统以及根系统的虚拟接口之间默认通过一条“虚拟链路”连接。如果将虚拟系统、根系统都视为独立的设备，将虚拟接口视为设备之间通信的接口，通过将虚拟接口加入安全区域并按照配置一般设备间互访的思路配置路由和策略，就能实现虚拟系统和根系统的互访、虚拟系统之间的互访。
   6. 
2.  虚拟系统访问根系统
   1. 虚拟系统A下10.3.0.0/24网段的用户通过根系统的GE1/0/1访问Internet服务器3.3.3.3。
   2. 
   3. 虚拟系统与根系统互访有两种场景：虚拟系统访问根系统、根系统访问虚拟系统。这两种场景下，报文转发的流程略有不同。
   4. 本页以虚拟系统访问根系统为例。因为虚拟系统和根系统都需要按照防火墙转发流程对报文进行处理，所以虚拟系统和根系统中要分别完成策略、路由等配置。
3.  两个虚拟系统之间直接互访
   1. 虚拟系统A下10.3.0.0/24网段的用户访问虚拟系统B下服务器3.3.3.3。
   2. 
   3. FW的虚拟系统之间默认是互相隔离的，不同虚拟系统下的主机不能通信。如果两个虚拟系统下主机有通信的需求，就需要配置策略和路由，使不同虚拟系统能够互访。该场景是虚拟系统A向虚拟系统B发起访问。报文先进入虚拟系统A，虚拟系统A按照防火墙转发流程对报文进行处理。然后报文进入虚拟系统B，虚拟系统B再次按照防火墙转发流程对报文进行处理。
   4. 因为两个虚拟系统都需要按照防火墙转发流程对报文进行处理，所以两个虚拟系统中要分别完成策略、路由等配置。
4.  配置举例
   1. 
   2. 实验需求

1、三个部门，A B C部门，要求A B C部门不能互访。

2、要求A部门能够全部访问internet。

   B部门只能允许http的流量访问internet。

   C部门特殊主机可以访问internet，其他的都不能访问。

3、要求A B部门能够访问到C部门的服务器，但是需要转换IP地址。

   C部门的服务器地址为192.168.1.100.

1. 1. 配置思路：
      1. 防火墙配置3个虚拟系统
      2. 每个虚拟系统添加接口，地址，默认路由，根系统配置IP和上联IP，上联路由
      3. 根防火墙添加安全策略，允许虚拟系统到指定区域
      4. 虚拟系统配置安全策略
      5. 因为ISP没有虚拟系统内网IP，所有根防火墙需要配置NAT，
   2. 配置网页登陆防火墙，可以看到网页端和console端是同步的。

interface GigabitEthernet0/0/0

 undo shutdown

ip binding vpn-instance default  （默认就有这条命令，default代表根墙）

 ip address 192.168.0.1 255.255.255.0

 service-manage https permit

（模拟器经常连不上网页，先检查桥接，最好使用510模拟器。）

1. 1.  命令行的方式打开虚拟防火墙：
      [FW1]vsys enable
   2. 创新虚拟系统：

[FW1]vsys name VFW1

[FW1-vsys-VFW1]

[FW1-vsys-VFW1]assign interface GigabitEthernet 1/0/1 （分配一个interface资源）

[FW1]resource-class R1

[FW1-resource-class-r1]?

resource-class view commands:

  anti-ddos            Defend against DDoS attacks

  arp                  Specify ARP configuration information

  configuration        Configuration interlock

  debugging            Enable system debugging functions

  description          Configure description for resource class

  display              Display current system information

  download             Load specify module

  firewall             Indicate firewall

  ping                 Send echo messages

  quit                 Exit from current command view

  reset                Reset operation

  resource-item-limit  Configure resource item

  return               Exit to user view

  run                  Execute command of user view

  screen-width         Set screen width

  test-aaa             Accounts test

  tracert              Trace route to host

  undo                 Cancel current setting

[FW1-resource-class-r1]resource-item-limit session reserved-number 50 maximum 10

0  （创建资源）

[FW1]vsys name VFW1

[FW1-vsys-VFW1]assign resource-class R1  （虚拟系统VFW1添加资源）

没显示资源名称，应该是模拟器问题，会显示会话数等资源设置情况。

或者在网页端新建虚拟系统，是一样的方法。

1. 1.  分别把2口，3口放到VFW2,VFW3，

 [FW1]vsys name VFW3

[FW1-vsys-VFW2]assign in g 1/0/2

[FW1-vsys-VFW2]as resource-class R1

[FW1]vsys name VFW3

[FW1-vsys-VFW3]assign int g 1/0/3

[FW1-vsys-VFW3]assign resource-class R1

1. 1.  查看VRF，添加成功

[FW1]dis ip vpn-instance

 Total VPN-Instances configured      : 4

 Total IPv4 VPN-Instances configured : 4

 Total IPv6 VPN-Instances configured : 0

  VPN-Instance Name               RD                    Address-family

  VFW1                                                  IPv4      

  VFW2                                                  IPv4      

  VFW3                                                  IPv4      

  default                                               IPv4      

1. 1.  查看接口信息，自动添加了一些virtural-if

[FW1]dis ip interface brief

*down: administratively down

^down: standby

(l): loopback

(s): spoofing

(d): Dampening Suppressed

(E): E-Trunk down

The number of interface that is UP in Physical is 10

The number of interface that is DOWN in Physical is 3

The number of interface that is UP in Protocol is 7

The number of interface that is DOWN in Protocol is 6

Interface                         IP Address/Mask      Physical   Protocol 

GigabitEthernet0/0/0              192.168.0.1/24       up         up       

GigabitEthernet1/0/0              unassigned           down       down     

GigabitEthernet1/0/1              unassigned           up         down     

GigabitEthernet1/0/2              unassigned           up         down     

GigabitEthernet1/0/3              unassigned           up         down     

GigabitEthernet1/0/4              10.1.4.100/24        up         up       

GigabitEthernet1/0/5              unassigned           down       down     

GigabitEthernet1/0/6              unassigned           down       down     

NULL0                             unassigned           up         up(s)    

Virtual-if0                       unassigned           up         up(s)    

Virtual-if1                       unassigned           up         up(s)    

Virtual-if2                       unassigned           up         up(s)    

Virtual-if3                       unassigned           up         up(s)    

1. 1. 从根防火墙，切换到虚拟防火墙VFW1，能看到像一个新防火墙界面，可以配置资源池，添加接口，添加策略，添加路由等。

[FW1]switch vsys VFW1

<FW1-VFW1>

<FW1-VFW1>sys

Enter system view, return user view with Ctrl+Z.

[FW1-VFW1]firewall zone trust 

[FW1-VFW1-zone-trust]add interface g 1/0/1  （虚拟防火墙添加接口）

[FW1-VFW1-zone-trust]dis ip int bri

*down: administratively down

^down: standby

(l): loopback

(s): spoofing

(d): Dampening Suppressed

(E): E-Trunk down

Interface                         IP Address/Mask      Physical   Protocol 

GigabitEthernet1/0/1              unassigned           up         down     

Virtual-if1                       unassigned           up         up(s)    

[FW1-VFW1]firewall zone untrust

[FW1-VFW1-zone-untrust]add interface Virtual-if 1（虚拟防火墙添加虚拟接口）

[FW1-VFW1-GigabitEthernet1/0/1]ip add 10.1.1.254 24 （接口添加IP地址）

下面是添加安全策略，否则虚拟系统无法和根系统通信。

[FW1-VFW1]security-policy

[FW1-VFW1-policy-security]rule name permit_vfw1_all

[FW1-VFW1-policy-security-rule-permit_vfw1_all]source-zone trust

[FW1-VFW1-policy-security-rule-permit_vfw1_all]destination-zone untrust

[FW1-VFW1-policy-security-rule-permit_vfw1_all]action permit

下面是添加默认路由，否则虚拟系统没有到达根系统路由

[FW1-VFW1]ip route-static 0.0.0.0 0.0.0.0 public   （public就是Virtual-if 0）

查看路由表：

[FW1-VFW1]dis ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: VFW1

         Destinations : 3        Routes : 3       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        0.0.0.0/0   Static  60   0           D   0.0.0.0         Virtual-if0

       10.1.1.0/24  Direct  0    0           D   10.1.1.254      GigabitEthernet

1/0/1

     10.1.1.254/32  Direct  0    0           D   127.0.0.1       GigabitEthernet

1/0/1

1. 1.  根防火墙也需要将Virtual-if 0放到trust区域

[FW1]firewall zone trust

[FW1-zone-trust]add interface Virtual-if 0

[FW1-zone-untrust]add interface GigabitEthernet 1/0/4

1. 1.  配置VFW1可以访问untrust区域

[FW1-policy-security-rule-permit_vfw1_all]dis this

#

 rule name permit_vfw1_all

  source-zone trust

  destination-zone untrust

  source-address 10.1.1.0 24

  action permit

1. 1.  跟防火墙添加默认路由到上联IP

[FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.4.1

1. 1.  根防火墙配置NAT

 [FW1]nat-policy

[FW1-policy-nat]rule name PAT

[FW1-policy-nat-rule-PAT]source-zone trust

[FW1-policy-nat-rule-PAT]destination-zone untrust

[FW1-policy-nat-rule-PAT]action nat easy-ip

• •  防火墙需要添加回包路由到虚拟防火墙，否则无法回包

[FW1]ip route-static 10.1.1.0 24 vpn-instance VFW1

[FW1]dis ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 6        Routes : 6       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        0.0.0.0/0   Static  60   0          RD   10.1.4.1        GigabitEthernet

1/0/4

       10.1.1.0/24  Static  60   0           D   0.0.0.0         Virtual-if1

       10.1.4.0/24  Direct  0    0           D   10.1.4.100      GigabitEthernet

1/0/4

     10.1.4.100/32  Direct  0    0           D   127.0.0.1       GigabitEthernet

1/0/4

      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0

      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0

1. 1.  此时，VFW1配置完成！client1 ping AR1通。如果不通，可以检查虚拟系统和根墙的session表，检查策略，zone，IP，路由，等

 虚拟防火墙的session表：

1. 1. 检查session具体的报文，能看出源目IP和MAC。

1. 1.  如果遇到故障，检查路由，查看出口路由，回包路由
   2.  检查策略情况

1. 下面是通过网页端，添加虚拟系统2路由

配置G1/0/2接口区域，IP，virtual-if2区域，

配置VFW2的安全策略

添加VFW2默认路由到public（根墙），虚拟路由器仅仅支持静态路由

切换到根墙，配置安全策略，放行VFW2的HTTP服务

检查client2和client1互通，和策略匹配情况

1.  下面是配置VFW3的全部配置：要求A B部门能够访问到C部门的服务器，但是需要转换IP地址。

C部门的服务器地址为192.168.1.100.

配置思路：vsys配置zone，zone里添加接口，接口配ip，vsys内配置安全策略permit all，vsys配置缺省路由到public，根墙配置安全策略允许1.100主机到 ，Vsys配置策略允许A,B部门访问server IP，

[FW1-VFW3]dis cu

interface GigabitEthernet1/0/3

 undo shutdown

 ip binding vpn-instance VFW3

 ip address 10.1.3.254 255.255.255.0

firewall zone trust

 set priority 85

 add interface GigabitEthernet1/0/3

security-policy

 rule name permit_all

  source-zone trust

  destination-zone untrust

  action permit

ip route-static 0.0.0.0 0.0.0.0 public

[FW1-policy-security-rule-permit_vfw3]dis this （根墙配置策略）

#

 rule name permit_vfw3

  source-zone trust

  destination-zone untrust

  source-address 10.1.3.100 32

  action permit

正常来讲，根墙需要配置路由指向各虚拟墙，才能路由转发。但实际情况不需要，防火墙可以根据session表项进行路由转发。建议配置路由。

[FW1]ip route-static 10.1.1.0 24 vpn-instance VFW1

[FW1]ip route-static 10.1.2.0 24 vpn-instance VFW2

[FW1]ip route-static 10.1.3.0 24 vpn-instance VFW3

[FW1-VFW3-policy-security-rule-permit_untrust_trust_3.100]dis this

#

 rule name permit_untrust_trust_3.100

  source-zone untrust

  destination-zone trust

  destination-address 10.1.3.100 32

  service http

  service icmp

  action permit

 （Vsys3 允许到达server ip）

测试client1 ping服务器server2

流量的路径是：

VFW1查找路由从Virtual-if1  >>>  根墙的Virtual-if0  >>> Virtual-if3   >>>  根据静态路由指到VFW3 >>> VFW3放行策略流量到server

流量从根墙绕了一下，下面改一下路径，从VFW1,直接下一跳到VFW3

配置Virtual-if1，Virtual-if3的IP地址，然后再VFW1，VFW3配置路由互指

[FW1-VFW1]int Virtual-if 1

[FW1-VFW1-Virtual-if1]ip add 172.16.1.1 24

[FW1-VFW1]ip route-static 10.1.3.0 24 172.16.1.3

[FW1-VFW3]int Virtual-if 3

[FW1-VFW3-Virtual-if3]ip add 172.16.1.3 24

[FW1-VFW3]ip route-static 10.1.1.0 24 172.16.1.1

测试CLIENT1 ping server，不通。因为目的虚拟路由器不对。需要在VFW1,VFW3网页里删除静态路由，

解决方法是在根墙里配置VFW1直接指向VFW3

[FW1]ip route-static vpn-instance VFW1 10.1.3.0 24 vpn-instance VFW3

但是配置时候出错了，是因为模拟器镜像太老的问题。换新镜像ok

配置完成。

1.  整体配置思路是：
   1. 配置接口到zone里
   2. 配置好虚拟墙，根墙的策略放行。
   3. 配置好路由