防火墙虚拟系统概述及实现原理

本文详细介绍了虚拟系统技术,包括资源、业务配置、路由表和安全功能的虚拟化,以及在大中型企业网络隔离和云计算中心安全网关中的应用。重点阐述了实现原理,如虚拟系统类型、管理员权限和资源分配机制,包括定额分配和共享抢占。
摘要由CSDN通过智能技术生成

一、概述

虚拟系统技术是把一台防火墙从逻辑上划分为多台防火墙,即虚拟系统。每个虚拟系统可相当于一台真实的设备,可以拥有自己的接口以及路由表等软硬件资。虚拟系统之间默认互相隔离,便于管理以及提高了安全性。

1、几方面的虚拟化

资源虚拟化:管理员可以为每个虚拟系统分配独享的系统资源以及对资源的配额进行限制,充分利用整机的资源,同时避免某个虚拟系统的业务繁忙影响其他虚拟系统的业务运行。

业务配置虚拟化:可以实现配置一个虚拟系统的业务如同配置一台物理防火墙,简化了网络的管理模式以及业务配置的复杂度。

路由表项虚拟化:每个虚拟系统都拥有独立的路由表,不同虚拟系统下的子网即使使用了相同的网段仍可以正常通信,同时,虚拟系统之间的流量相互隔离,仅在有业务需求时能够通过配置实现安全互访。

安全功能虚拟化:每个虚拟系统都可以配置独立的安全策略及其他安全功能,实现对虚拟系统下局域网的安全防护,只有属于该虚拟系统的报文才会受到该虚拟系统下配置的安全功能的影响。

2、场景

大中型企业的网络隔离:大中型企业网络一般为多地部署,防火墙数量众多,网络环境复杂,各业务部门职能权责分明,会有不同的安全需求,将会导致防火墙配置异常复杂,通过防火墙的虚拟系统,可以在实现网络隔离的基础上,使得业务管理更加清晰简便。

云计算中心安全网关:将网络资源和计算能力存放在网络云端,网络用户只需通过网络终端接入公有网络,就可以访问相应的网络资源并使用对应服务,通过配置虚拟系统,可以让部署在云计算中心出口的防火墙具备有云计算网关的能力,对用户流量进行隔离的同时提供强大的安全防护能力。

二、实现原理

1、虚拟系统类型

根系统:Public,默认存在的一个特殊的虚拟系统,即使VSYS为启用,public也依然存在,管理员默认对防火墙配置等同于对public进行配置,作用是管理其他VSYS,并为虚拟系统间通信提供服务。

虚拟系统:在防火墙上划分出来的独立运行的逻辑防火墙,需要在根系统下创建以及为其分配资源。

2、虚拟系统管理员权限

根系统管理员:虚拟系统功能启动后防火墙管理员自动成为根系统管理员,管理员的登录方式、管理权限、认证方式等均保持不变,根系统管理员负责管理和维护防火墙、配置根系统业务。

虚拟系统管理员:创建虚拟系统后,根系统管理员可以为虚拟系统创建一个或者多个管理员,虚拟系统管理员只能进入其所属的虚拟系统配置界面,根系统管理可以进入所有虚拟系统的配置界面。虚拟系统管理员用户名格式:管理员名@@虚拟系统名

3、虚拟系统的资源分配

管理员可以为每个虚拟系统分配独享的系统资源以及对资源的配额进行限制,充分利用整机的资源。

3.1、定额分配

支持定额分配的资源项
资源项名称说明
SSL VPN虚拟网关根系统最多可创建的虚拟网关数量受整机规格限制,单个虚拟系统最多可创建4个虚拟网关,所有虚拟系统和根系统最多可创建的虚拟网关数量不超过整机规格。
安全区域虚拟系统安全区域的规格与根系统完全一致且相互独立,每个虚拟系统都拥有四个默认的安全区域且不能删除及修改,即trust、untrust、local、dmz。
五元组抓包队列根系统有四个抓包队列,单个虚拟系统有2个抓包队列,所有虚拟系统抓包队列的总数受整机规格限制,当虚拟系统已使用的抓包队列达到整机规格的上限时,用户无法在虚拟系统中配置新的五元组抓包。

支持定额分配的资源项会根据系统规格在虚拟系统创建时自动分配给虚拟系统。

3.2、手工分配

3.2.1、创建虚拟系统直接分配
资源项名称说明
公网IP地址

虚拟系统中配置NAT地址池或NAT服务器映射地址时需要使用公网IP地址。此时,必须使用在创建虚拟系统时为虚拟系统分配的公网IP地址,否则会导致NAT的相关配置下发失败。

公网IP地址的分配模式包括独立模式和共享模式:

在独立模式下,已分配的公网IP地址不能再分配给其他虚拟系统使用。

在共享模式下,已分配的公网IP地址可以以共享模式再次分配给其他虚拟系统使用。

无论分配模式使用的是独立模式还是共享模式,IP地址分配给虚拟系统后,根系统的 NAT地址池和NAT服务器映射地址都不能再使用该IP地址。

配置命令为虚拟系统管理视图下的assign global-ip start-address end-address { exclusive | free}

L2TP资源

表示虚拟系统下可使用的L2TP资源(组类型为LNS和LAC的L2TP)个数的总和,可理解为虚拟系统下最多支持绑定的Virtual-Template接口个数。在配置时,需要先在根系统下配置一个Virtual-Template接口,然后在虚拟系统管理员视图下使用assign interface命令将事先配置好的Virtual-Template接口绑定到虚拟系统下。

最多支持为一个虚拟系统预分配10个Virtual-Template接口,该配置项未配置时默认为0,表示虚拟系统下未分配Virtual-Template接口。

内容安全开关

仅支持为虚拟系统配置内容安全特性(反病毒、入侵防御、URL过滤)的使用权限,不支持为虚拟系统分配具体的资源。为虚拟系统配置URL过滤功能的使用权限后,虚拟系统可同时获得DNS过滤功能的使用权限。

配置命令为虚拟系统管理视图下的assign function { av | ips | url-filter }

日志缓冲区

虚拟系统的日志缓冲区用于存放虚拟系统产生的日志信息(包括系统日志和业务日志),与根系统的日志缓冲区互为独立存在,防火墙上所有的虚拟系统均共享并抢占该虚拟系统日志缓冲区资源。

支持为单个虚拟系统配置系统日志及业务日志的日志缓冲区保证值,配置后同时对两种日志生效。
配置命令为虚拟系统管理视图下的assign logbuffer reserved-size reserved-size-value

还有接口、VLAN、VXLAN也属于此类型分配。

3.2.1、通过创建资源类和绑定资源类分配

保证值:虚拟系统可使用某项资源的最小数量,一旦分配即独占。

最大值:最大数量,空闲时可额外分配于虚拟系统。

支持配置和绑定资源类方式分配的资源项:IPv4会话数、IPv6会话数、在线用户数、用户数、用户组数、安全组数、策略数、带宽策略数、IPSec隧道数、L2TP隧道数、SSL VPN并发用户数、入方向带宽、出方向带宽、整体带宽、IPv4新建会话速率、IPv6新建会话速率。

若虚拟系统绑定的资源类对某些资源未指定最大值和保证值,则虚拟系统对这些资源的使用不受限制。

资源类中的带宽资源分为入方向带宽、出方向带宽和整体带宽三类。如何判断:看该数据流的出接口或者如接口。

入方向带宽:从公网接口到私网接口的带宽。

出方向带宽:从私网接口到公网接口的带宽。

整体带宽:虚拟系统的整体带宽=入方向带宽+出方向带宽+私网接口到私网接口的带宽+公网接口到公网接口的带宽。

公网接口:分配接口时设定的公共接口(set public-interface的接口)

私网接口:未配置set public-interface的接口

在虚拟系统互访中,虚拟接口默认为公网接口。

例子①:创建资源类r1,会话保证值1000、会话最大值5000、用户数300、用户组数10、策略数300、整体带宽限制为10Mbit/s。

[USG]vsys enable 
[USG]display resource global-resource 
2024-02-07 06:37:19.260 
 Global resource table:
 ------------------------------------------------------------
                           Global-Number        Remained-Number     
 session                   5000                 5000                
 session-rate              6000                 6000                
 ipv6 session              128                  128                 
 ipv6 session-rate         10000                10000               
 bandwidth                 10                   10                  
 policy                    1000                 1000                
 traffic-policy            16                   16                  
 ssl-vpn-concurrent        100                  100                 
 online-user               500                  500                 
 user                      500                  500                 
 user-group                128                  128                 
 security-group            500                  500                 
 l2tp-tunnel               200                  200                 
 ipsec-tunnel              10                   10                  
 ------------------------------------------------------------
[USG]resource-class r1
[USG-resource-class-r1]resource-item-limit ?
  bandwidth           Indicate bandwidth 
  ipsec-tunnel        Indicate ipsec tunnel numbers
  ipv6                Indicate IPv6
  l2tp-tunnel         Indicate the number of L2TP tunnels
  online-user         Indicate the number of online users
  policy              Indicate the number of policies
  security-group      Indicate the number of security groups
  session             Indicate the number of sessions
  session-rate        Indicate new sessions per second
  ssl-vpn-concurrent  Indicate the ssl vpn
  traffic-policy      Indicate the number of traffic policies
  user                Indicate the number of users
  user-group          Indicate the number of user groups
[USG-resource-class-r1]resource-item-limit session reserved-number 1000 maximum
 5000
[USG-resource-class-r1]resource-item-limit user reserved-number 300
[USG-resource-class-r1]resource-item-limit user-group reserved-number 10
[USG-resource-class-r1]resource-item-limit policy reserved-number 300
[USG-resource-class-r1]resource-item-limit bandwidth 10 entire

例子②:利用例子①的资源类,创建虚拟系统vsysa并分配资源。

[USG]vsys name vsysa
[USG-vsys-vsysa]assign resource-class r1
[USG-vsys-vsysa]assign interface GigabitEthernet 1/0/1

[USG]switch vsys vsysa
<USG-vsysa>sys
Enter system view, return user view with Ctrl+Z.
[USG-vsysa]]

3.3、共享抢占

共享抢占,即不可分配。

地址、地址组、NAT地址池、证书、时间段、自定义服务/服务组、自定义应用/应用组、地区/地区组、带宽通道、静态路由条目、Server-map表、IP-MAC表、ARP表、MAC表等表项。

4、虚拟系统的分流

4.1、基于接口分流

防火墙工作在第三层,根据组网需要,将G1/0/1、G1/0/2、G1/0/3接口分别分配给虚拟系统vsysa、vsysb、vsysc,作为其专属的内网接口,接口分配给虚拟系统后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。

[USG]vsys enable

[USG]vsys name vsysa
[USG-vsys-vsysc]assign interface GigabitEthernet 1/0/1
 Info: All related configurations on this interface are removed.

[USG]vsys name vsysb
[USG-vsys-vsysb]assign interface GigabitEthernet 1/0/2
 Info: All related configurations on this interface are removed.

[USG]vsys name vsysc
[USG-vsys-vsysc]assign interface GigabitEthernet 1/0/3
 Info: All related configurations on this interface are removed.

4.2、基于VLAN分流

防火墙工作在第二层,根据组网需要,内网接口为Trunk接口并允许VLAN 10、20、30报文通过,且通过不同虚拟系统处理。

[USG]vlan batch 10 20 30
Info: This operation may take a few seconds. Please wait for a moment...done.
[USG]vsys name vsysa
[USG-vsys-vsysa]assign vlan 10
[USG-vsys-vsysa]vsys name vsysb
[USG-vsys-vsysb]assign vlan 20
[USG-vsys-vsysb]vsys name vsysc
[USG-vsys-vsysc]assign vlan 30

参考资料:防火墙和VPN技术与实践——李学昭

  • 20
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FIREWALL 防火墙网络安全 防火墙网络安全全文共23页,当前为第1页。 1. 防火墙概述 2. 防火墙的功能 3. 防火墙的类型 4. 防火墙的工作原理 5. 防火墙的部署 6. 防火墙注意事项 防火墙 目录 防火墙网络安全全文共23页,当前为第2页。 防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。 定义 防火墙概述 防火墙网络安全全文共23页,当前为第3页。 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙网络防火墙的定义 防火墙网络安全全文共23页,当前为第4页。 第一代 第二代 第三代 第四代 第五代 一体化安全网关UTM 主要在路由器上实现 电路层防火墙 代理防火墙 基于动态包过滤技术 自适应代理技术 防火墙发展史 防火墙网络安全全文共23页,当前为第5页。 防火墙功能示意 两个不同网络安全域间通信流的唯一通道,对流过的网络数据进行检查,阻止攻击数据包通过。 安全网域一 安全网域二 防火墙网络安全全文共23页,当前为第6页。 1 控制在计算机网络中,不同信任程度区域间传送的数据流 2 网络安全的屏障 3 强化网络安全策略 4 防止内部信息的外泄 防火墙的功能 5 监控网络存取和访问 防火墙网络安全全文共23页,当前为第7页。 防火墙的功能 其他功能 除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。 防火墙的英文名为"FireWall",它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。 防火墙网络安全全文共23页,当前为第8页。 防火墙的类型 应用层防火墙 应用层防火墙是在 TCP/IP 堆栈的"应用层"上运作,使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包。 防火墙网络安全全文共23页,当前为第9页。 网络防火墙 网络防火墙是隔离内部网与Internet之间的一道防御系统,这里有一个门,允许人们在内部网和开放的Internet之间通信。访问者必须首先穿越防火墙的安全防线,才能接触目标计算机,网络防火墙如图所示。 防火墙网络安全全文共23页,当前为第10页。 网络防火墙 Internet 内部网 防火墙 路由器 防火墙网络安全全文共23页,当前为第11页。 防火墙的工作原理 在没有防火墙时,局域网内部的每个节点都暴露给Internet上的其它主机,此时内部网的安全性要由每个节点的坚固程度来决定,且安全性等同于其中最薄弱的节点。使用防火墙后,防火墙会将内部网的安全性统一到它自身,网络安全性在防火墙系统上得到加固,而不是分布在内部网的所有节点上。 防火墙把内部网与Internet隔离,仅让安全、核准了的信息进入,而阻止对内部网构成威胁的数据,它防止黑客更改、拷贝、毁坏重要信息;同时又不会妨碍人们对Internet的访问。 防火墙网络安全全文共23页,当前为第12页。 根据安全策略,从Intranet到Internet 的流量以及响应的返回流量允许通过防火墙。 根据安全策略,从Internet到 Intranet的流量受到阻塞 根据安全策略,从Internet来的特殊类型的流量可能被允许到达Intranet 防火墙的工作原理 服务器 内部网 Internet 防火墙网络安全全文共23页,当前为第13页。 Internet 内部网 分支机构或合作伙伴的网络 VPN 连接 防火墙放置的位置 防火墙网络安全全文共23页,当前为第14页。 防火墙布置 简单包过滤路由 双宿/多宿主机模式 屏蔽主机模式 屏蔽子网模式 防火墙网络安全全文共23页,当前为第15页。 包过滤路由 内部网络 外部网络 包过滤路由器 优点:配置简单 缺点: 日志没有或很少,难以判断是否被入侵 规则表会随着应用变得很复杂 单一的部件保护,脆弱 防火墙网络安全全文共23页,当前为第16页。 双宿/多宿主机模式 内部网络 外部网络 应用代理服务器完成: 对外屏蔽内网信息 设
1,Cisco实验模拟器 PIX 个人版 v1.9软件是基于Dynamips技术,让我们感谢伟大的Chris! 2,本软件为免费软件,任何喜欢Cisco PIX技术的人都可以免费使用,希望您能够喜欢 3,本软件的版权归作者BluShin所有。使用者不得对本软件产品进行反向工程、反向编译或反汇编,违者属于侵权行为,并自行承担由此产生的不利后果。 4,由于版权限制,本软件不提供Cisco公司IOS文件,请使用者自行解决 5,由使用本软件带来的法律纠纷,由使用者自己负责,作者概不负责 6,如果你无法接受以上声明,请不要使用本软件。谢谢! 另外,作者提供有偿定制软件服务,可根据你设计的网络拓扑图,为你构建网络模拟设备。每台设备均为绿色可执行文件携带方便,不受网络环境变化的限制,能够实现分布式网络虚拟环境的搭建。若有需要,请QQ 46826190。 软件介绍: ====================== 1,本软件是为PIX爱好者制作的,主要用于练习PIX命令 2,本软件为绿色软件,且每个模拟设备只有一个可执行文件,携带方便。 3,经测试本软件可以完成的绝大部门PIX实验 4,本软件为一个模块化软件,可以不断增加模拟设备 软件操作指南: ================================== 1,请把解压缩后的文件和你所用的IOS放在同一目录下,不要修改解压后文件的目录结构 2,请自行下载并安装WinPcap 3,请在命令行下运行“GetMac -v "命令,获取你所用活动网卡的参数信息。如\Device\NPF_{07D829F6-353B-4E92-8371-E286BEF3190D},注意要把“TCP”修改为“NPF” 4,首先运行PIX.exe,然后再运行OutRouter.exe和InSwitch.exe。其中Switch是绑定Router运行的,Switch不能首先单独运行。 5,配置你要桥接PIX的PC网卡参数 在运行PIX时,在出现“请输入您要与PIX桥接的本地活动的网卡参数(例如:\Device\NPF_{07D829F6-353B-4E92-8371-E286BEF3190D}),注意格式!!输入后请按回车键:”提示符后,请输入你在第3步获取的网卡参数 6,配置你选用的IOS文件 在运行Router和Switch时,在出现“请输入您选用路由器的IOS文件(只能是3640系列的IOS!),注意IOS文件要与本程序在同一目录下!!输入后请按回车键:”时,输入你选用的IOS文件名,注意IOS文件要与本程序在同一目录下 7,参数设置完毕!即可启动PIX和路由器了,当PIX出现“QEMU waiting for connection on: :4001,server”和当路由器交换机最后出现“JIT enabled”时,恭喜你!模拟器已经成功启动! 10,你可以通过Telnet或者超级终端登录相应端口进入路由器进行实验了! 注意事项 ================= 1,本软件是基于Dynamips技术,感谢伟大的Chris为我们CiscoFuns开发这么强大的模拟器 2,本软件模拟的是3640系列的路由器,所以IOS选择只能是3640系列的路由器 3,请务必把你选用的IOS文件放到与本程序同一目录下 4,本软件PIX你可以自行通过修改PEMU.INI文件选用PIXos版本,本软件选用的是PIXos8.03和ASDM6.03。并且已经写入到FLASH文件中,如何运行ASDM,请看我写的PIX for ASDM指导 5,请先运行路由器,然后再运行交换机 6,运行本软件之前你需要安装WinPcap程序。 7,本软件虽然已经过多次测试,但是难免存在一些不足,如果在运行中出现任何问题,您可以QQ 46826190或者E-Mail:BluShin@126.com 联系作者 ==================== 作者提供有偿定制软件服务。可根据你设计的网络拓扑图,为你构建网络模拟设备。每台设备均为绿色可执行文件,携带方便,而且可以实现分布式网络虚拟环境的搭建。若有需要,请QQ 46826190或者BluShin@126.com。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值