防火墙虚拟系统配置

最新推荐文章于 2024-06-20 08:36:55 发布
最新推荐文章于 2024-06-20 08:36:55 发布
阅读量608 收藏 13
点赞数 10
文章标签: 运维 网络安全 计算机网络 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mario_Ti/article/details/136355924
版权
本文详细描述了在USG6000V1路由器上配置虚拟系统、资源管理、安全策略、IP地址设置、区域划分、路由和引流表的过程,以及虚拟系统间的互访和通过根系统访问互联网的配置方法。
摘要由CSDN通过智能技术生成

一、基础配置

1、启动虚拟系统,查看整机资源剩余量,创建资源类并按需求规划会话数、用户数、用户组数、策略数、整体带宽限制。

[USG6000V1]vsys enable
[USG6000V1]display resource global-resource 
2024-02-28 12:52:36.050 
 Global resource table:
 ------------------------------------------------------------
                           Global-Number        Remained-Number     
 session                   5000                 5000                
 session-rate              6000                 6000                
 ipv6 session              128                  128                 
 ipv6 session-rate         10000                10000               
 bandwidth                 10                   10                  
 policy                    1000                 1000                
 traffic-policy            16                   16                  
 ssl-vpn-concurrent        100                  100                 
 online-user               500                  500                 
 user                      500                  500                 
 user-group                128                  128                 
 security-group            500                  500                 
 l2tp-tunnel               200                  200                 
 ipsec-tunnel              10                   10                  
 ------------------------------------------------------------
[USG6000V1]resou	
[USG6000V1]resource-class r1	
[USG6000V1-resource-class-r1]resource-item-limit session reserved-number 1000 ma
ximum 2000
[USG6000V1-resource-class-r1]resource-item-limit user reserved-number 100
[USG6000V1-resource-class-r1]resource-item-limit user-group reserved-number 10
[USG6000V1-resource-class-r1]resource-item-limit policy reserved-number 200
[USG6000V1-resource-class-r1]resource-item-limit bandwidth 5 entire

2、查看前置资源类是否出错,创建虚拟系统,并分配资源。

[USG6000V1-resource-class-r1]display this
2024-02-28 12:55:44.180 
#
resource-class r1
 resource-item-limit session reserved-number 1000 maximum 2000
 resource-item-limit bandwidth 5 entire
 resource-item-limit policy reserved-number 200
 resource-item-limit user reserved-number 100
 resource-item-limit user-group reserved-number 10
#

[USG6000V1]vsys name vsysa
[USG6000V1-vsys-vsysa]assign resource-class r1	
[USG6000V1-vsys-vsysa]assign interface GigabitEthernet 1/0/0
 Info: All related configurations on this interface are removed.
[USG6000V1-vsys-vsysa]assign interface GigabitEthernet 1/0/1
 Info: All related configurations on this interface are removed.
[USG6000V1-vsys-vsysa]display this
2024-02-28 12:57:19.010 
#
vsys name vsysa 1
 assign interface GigabitEthernet1/0/0
 assign interface GigabitEthernet1/0/1
 assign resource-class r1
#

3、切换到虚拟系统下,配置基础步骤。

[USG6000V1]switch vsys vsysa
<USG6000V1-vsysa>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1-vsysa]interface g1/0/0
[USG6000V1-vsysa-GigabitEthernet1/0/0]ip add 10.0.1.254 24
[USG6000V1-vsysa-GigabitEthernet1/0/0]interface g1/0/1
[USG6000V1-vsysa-GigabitEthernet1/0/1]ip add 10.0.2.254 24
[USG6000V1-vsysa-GigabitEthernet1/0/1]q
[USG6000V1-vsysa]firewall zone trust
[USG6000V1-vsysa-zone-trust]add interface g1/0/0
[USG6000V1-vsysa-zone-trust]firewall zone untrust
[USG6000V1-vsysa-zone-untrust]add interface g1/0/1

4、为虚拟系统配置安全策略。

[USG6000V1-vsysa]firewall zone trust
[USG6000V1-vsysa-zone-trust]add interface g1/0/0
[USG6000V1-vsysa-zone-trust]firewall zone untrust
[USG6000V1-vsysa-zone-untrust]add interface g1/0/1
[USG6000V1-vsysa-zone-untrust]q
[USG6000V1-vsysa]se	
[USG6000V1-vsysa]security-policy
[USG6000V1-vsysa-policy-security]rule name policy1
[USG6000V1-vsysa-policy-security-rule-policy1]source-zone trust
[USG6000V1-vsysa-policy-security-rule-policy1]destination-zone untrust
[USG6000V1-vsysa-policy-security-rule-policy1]source-address 10.0.1.0 24
[USG6000V1-vsysa-policy-security-rule-policy1]service icmp
[USG6000V1-vsysa-policy-security-rule-policy1]action permit

5、测试。

二、虚拟系统互访

1、基础配置

[USG6000V1]vsys enable
[USG6000V1]display resource global-resource 
2024-02-28 12:52:36.050 
 Global resource table:
 ------------------------------------------------------------
                           Global-Number        Remained-Number     
 session                   5000                 5000                
 session-rate              6000                 6000                
 ipv6 session              128                  128                 
 ipv6 session-rate         10000                10000               
 bandwidth                 10                   10                  
 policy                    1000                 1000                
 traffic-policy            16                   16                  
 ssl-vpn-concurrent        100                  100                 
 online-user               500                  500                 
 user                      500                  500                 
 user-group                128                  128                 
 security-group            500                  500                 
 l2tp-tunnel               200                  200                 
 ipsec-tunnel              10                   10                  
 ------------------------------------------------------------
[USG6000V1]resou	
[USG6000V1]resource-class r1	
[USG6000V1-resource-class-r1]resource-item-limit session reserved-number 1000 ma
ximum 2000
[USG6000V1-resource-class-r1]resource-item-limit user reserved-number 100
[USG6000V1-resource-class-r1]resource-item-limit user-group reserved-number 10
[USG6000V1-resource-class-r1]resource-item-limit policy reserved-number 200
[USG6000V1-resource-class-r1]resource-item-limit bandwidth 5 entire
[USG6000V1-resource-class-r1]display this
2024-02-28 12:55:44.180 
#
resource-class r1
 resource-item-limit session reserved-number 1000 maximum 2000
 resource-item-limit bandwidth 5 entire
 resource-item-limit policy reserved-number 200
 resource-item-limit user reserved-number 100
 resource-item-limit user-group reserved-number 10
#

[USG6000V1]vsys name vsysa
[USG6000V1-vsys-vsysa]assign resource-class r1	
[USG6000V1-vsys-vsysa]assign interface GigabitEthernet 1/0/0
 Info: All related configurations on this interface are removed.
[USG6000V1-vsys-vsysa]display this
2024-02-28 13:51:45.290 
#
vsys name vsysa 1
 assign interface GigabitEthernet1/0/0
 assign resource-class r1
#
return

[USG6000V1]vsys name vsysb
[USG6000V1-vsys-vsysb]assign resource-class r1
[USG6000V1-vsys-vsysb]assign interface GigabitEthernet 1/0/1
 Info: All related configurations on this interface are removed.
[USG6000V1-vsys-vsysb]display this
2024-02-28 13:53:14.100 
#
vsys name vsysb 2
 assign interface GigabitEthernet1/0/1
 assign resource-class r1
#
return

2、查看接口

[USG6000V1-vsysa]display interface brief 
2024-02-28 13:54:44.020 
PHY: Physical
*down: administratively down
(l): loopback
(s): spoofing
(b): BFD down
(d): Dampening Suppressed
InUti/OutUti: input utility/output utility
Interface                   PHY   Protocol  InUti OutUti   inErrors  outErrors
GigabitEthernet1/0/0        up    up           0%     0%          0          0
Virtual-if1                 up    up(s)        --     --          0          0

3、IP地址配置

[USG6000V1-vsysa-GigabitEthernet1/0/0]ip add 10.0.1.254 24

4、划分区域,尤其是Virtual-if1

[USG6000V1-vsysa]firewall zone trust
[USG6000V1-vsysa-zone-trust]add interface g1/0/0
[USG6000V1-vsysa]firewall zone dmz
[USG6000V1-vsysa-zone-dmz]add interface Virtual-if 1

5、安全策略的配置

[USG6000V1-vsysa]security-policy
[USG6000V1-vsysa-policy-security]rule name vsysa_to_vsysb
[USG6000V1-vsysa-policy-security-rule-vsysa_to_vsysb]source-zone trust
[USG6000V1-vsysa-policy-security-rule-vsysa_to_vsysb]destination-zone dmz
[USG6000V1-vsysa-policy-security-rule-vsysa_to_vsysb]source-address 10.0.1.0 24
[USG6000V1-vsysa-policy-security-rule-vsysa_to_vsysb]destination-address 10.0.2.0 24
[USG6000V1-vsysa-policy-security-rule-vsysa_to_vsysb]service icmp
[USG6000V1-vsysa-policy-security-rule-vsysa_to_vsysb]action permit
[USG6000V1-vsysa-policy-security-rule-vsysa_to_vsysb]q
[USG6000V1-vsysa-policy-security]q

6、静态路由配置,指向public

[USG6000V1-vsysa]ip route-static 10.0.2.0 24 public

7、配置根系统(充当路由器)

[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface Virtual-if 0

[USG6000V1]ip route-static 10.0.2.0 24 vpn-instance vsysb
[USG6000V1]ip route-static 10.0.1.0 24 vpn-instance vsysa

8、配置vsysb

[USG6000V1-vsysb]display interface brief
2024-02-28 14:14:00.870 
PHY: Physical
*down: administratively down
(l): loopback
(s): spoofing
(b): BFD down
(d): Dampening Suppressed
InUti/OutUti: input utility/output utility
Interface                   PHY   Protocol  InUti OutUti   inErrors  outErrors
GigabitEthernet1/0/1        up    up           0%     0%          0          0
Virtual-if2                 up    up(s)        --     --          0          0

[USG6000V1-vsysb]interface g1/0/1
[USG6000V1-vsysb-GigabitEthernet1/0/1]ip add 10.0.2.254 24
[USG6000V1-vsysb-GigabitEthernet1/0/1]q
[USG6000V1-vsysb]firewall zone trust
[USG6000V1-vsysb-zone-trust]add interface g1/0/1
[USG6000V1-vsysb-zone-trust]q
[USG6000V1-vsysb]firewall zone dmz
[USG6000V1-vsysb-zone-dmz]add interface Virtual-if 2
[USG6000V1-vsysb-zone-dmz]q

[USG6000V1-vsysb]security-policy 
[USG6000V1-vsysb-policy-security]rule name vsysa_to_vsysb
[USG6000V1-vsysb-policy-security-rule-vsysa_to_vsysb]source-zone dmz
[USG6000V1-vsysb-policy-security-rule-vsysa_to_vsysb]destination-zone trust
[USG6000V1-vsysb-policy-security-rule-vsysa_to_vsysb]source-address 10.0.1.0 24
[USG6000V1-vsysb-policy-security-rule-vsysa_to_vsysb]destination-address 10.0.2.0 24
[USG6000V1-vsysb-policy-security-rule-vsysa_to_vsysb]service icmp
[USG6000V1-vsysb-policy-security-rule-vsysa_to_vsysb]action permit
[USG6000V1-vsysb-policy-security-rule-vsysa_to_vsysb]quit
[USG6000V1-vsysb-policy-security]quit

[USG6000V1-vsysb]ip route-static 10.0.1.0 24 public

9、测试

三、虚拟系统通过根系统访问互联网

1、基础配置与二类似,此处忽略。

[USG6000V1-vsysa]firewall zone untrust
[USG6000V1-vsysa-zone-untrust]add interface Virtual-if 1

[USG6000V1-vsysa]security-policy 
[USG6000V1-vsysa-policy-security]rule name vsysa_to_untrust
[USG6000V1-vsysa-policy-security-rule-vsysa_to_untrust]source-zone trust 
[USG6000V1-vsysa-policy-security-rule-vsysa_to_untrust]destination-zone untrust 
[USG6000V1-vsysa-policy-security-rule-vsysa_to_untrust]source-address 10.0.1.0 24
[USG6000V1-vsysa-policy-security-rule-vsysa_to_untrust]service icmp
[USG6000V1-vsysa-policy-security-rule-vsysa_to_untrust]action permit

[USG6000V1-vsysa]ip route-static 0.0.0.0 0 public 
[USG6000V1-vsysb]firewall zone untrust
[USG6000V1-vsysb-zone-untrust]add interface Virtual-if 2

[USG6000V1-vsysb]security-policy 
[USG6000V1-vsysb-policy-security]rule name vsysa_to_untrust
[USG6000V1-vsysb-policy-security-rule-vsysa_to_untrust]source-zone trust 
[USG6000V1-vsysb-policy-security-rule-vsysa_to_untrust]destination-zone untrust 
[USG6000V1-vsysb-policy-security-rule-vsysa_to_untrust]source-address 10.0.2.0 2
4
[USG6000V1-vsysb-policy-security-rule-vsysa_to_untrust]service icmp
[USG6000V1-vsysb-policy-security-rule-vsysa_to_untrust]action permit

[USG6000V1-vsysb]ip route-static 0.0.0.0 0 public 
[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name vsys_to_untrust
[USG6000V1-policy-security-rule-vsys_to_untrust]source-zone trust
[USG6000V1-policy-security-rule-vsys_to_untrust]destination-zone untrust  
[USG6000V1-policy-security-rule-vsys_to_untrust]source-address 10.0.1.0 24
[USG6000V1-policy-security-rule-vsys_to_untrust]source-address 10.0.2.0 24 
[USG6000V1-policy-security-rule-vsys_to_untrust]service icmp  
[USG6000V1-policy-security-rule-vsys_to_untrust]action permit 

[USG6000V1]ip route-static 0.0.0.0 0 2.2.2.254

2、测试

3、查看会话表(第一张为vsysa,第二张为根系统)

根系统可以读取虚拟系统的会话表、状态话信息,但是业务量较大时,会增加一定的资源负担以及配置复杂,为此需要配置引流表。

[USG6000V1]firewall import-flow public 10.0.1.1 10.0.1.1 vpn-instance vsysa
 Warning: The destination of this IP range should be in this vsys network, other
wise it may cause flow loop! Continue?[Y/N]:y
[USG6000V1]display firewall import-flow public 10.0.1.1
2024-02-29 13:41:37.530 
 ImportFlow Tables:
 Source Instance  Destination Address  Destination Instance
 ------------------------------------------------------------------------------
    public           10.0.1.1          vsysa                            
 ------------------------------------------------------------------------------
 Total:1       

[USG6000V1]

可见根系统不存vsysa的会话表,而是根据引流表到虚拟系统,此时的根系统可以看作一台路由器,删除安全策略测试仍可以通过。

[USG6000V1]firewall import-flow public 10.0.2.1 10.0.2.1 vpn-instance vsysb
 Warning: The destination of this IP range should be in this vsys network, other
wise it may cause flow loop! Continue?[Y/N]:y

[USG6000V1-policy-security-rule-vsys_to_untrust]undo source-address 10.0.2.0 24

四、引流表

参考资料:防火墙和VPN技术与实践——李学昭

Mario_Ti
关注
  • 10
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙虚拟系统
weixin_43815178的博客
07-01 1086
虚拟系统具有以下特点: 1.管理独立:每个虚拟系统由独立的管理员进行管理,适合大规模的组网环境。 2.表项独立:每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即便使 用相同的地址范围,仍可以正常进行通信。 3.资源固定:可以为每个虚拟系统分配固定的系统资源,不会互相影响。 4.流量隔离:虚拟系统之间的流量相互隔离,更加安全。需要时,可以进行安全互访。 5.虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。 防火墙上存在两种类型的虚拟系统: 根系统
华为防火墙vsys之虚拟防火墙配置
IT技术
01-11 2810
华为防火墙vsys之虚拟防火墙配置
Vm配置虚拟网络信息&配置虚拟防火墙&取消软件安装限制&解决问题Temporary failure in name resolution
weixin_64972949的博客
06-01 3969
本篇博客对Vm配置虚拟网络信息&配置虚拟防火墙&取消软件安装限制的讲解就到此结束了,感谢大家的赏脸观看,如果本篇博客对你有帮助的话,请点一个小赞支持一下博主,谢谢!我们下一篇博客再见。
防火墙配置【最详细的实验演示】
最新发布
Innocence_0的博客
06-20 1795
以上操作可定义一个名称为new,优先级为60的安全域从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)
虚拟防火墙以及端口操作
weixin_37718867的博客
07-05 2021
在这里通常会有些错觉,22端口没有开放,但是依然是连接状态,这是系统做的人性化优化,便于远程管理服务器,虽然22端口没有开放,但是用户通过当前的连接开启防火墙后,该连接依然处于连接状态,只要不关闭当前连接还是可以在当前连接中正产操作的。如果是重新开启一个连接是连不上的。在Ubuntu系统进行安装的时候默认安装了ufw防火墙,如果没有安装可以使用命令sudo sudo apt-get install ufw进行安装。开放指定ip所有操作 sudo ufw allow from 192.168.121.1。
VMvare虚拟机之共享文件&防火墙设置
m0_74915426的博客
12-26 1516
今天的到这了!!!希望能帮到你哦!!!
防火墙虚拟系统资源分配配置实例
永远是少年
07-28 2999
今天继续给大家介绍华为USG6000系列防火墙。本文主要使用华为eNSP模拟器,实现了防火墙虚拟系统的资源配置及管理功能。 阅读本文,您需要有一定的防火墙基础知识,如果您对此存在困惑,欢迎查阅我博客的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 一、实验拓扑及目的 实验拓扑如上所示,现在要求给部门1和部门2分别配置虚拟系统,并命名为VSYSA和VSYSB,并给虚拟系统分配资源并创建管理用户。 二、实验相关配置命令 (一)创建虚拟系统相关命令 在防火墙
解决防火墙导致虚拟机不能ping通宿主机的问题
09-08 1990
今天,无缘无故的,虚拟机突然用不了,网络连上不了,一番折腾翻找,最后才发现,是因为虚拟机ping不同宿主主机了,连网关都ping不通了,但是,宿主主机却可以ping通虚拟机。最后才发现,原来是防火墙的问题,直接关掉防火墙自然是可以解决问题的,但是,这样不好,不安全。我们可以用另一种方法来解决,
思科 虚拟防火墙基本配置
09-19
### 思科虚拟防火墙(FWSM)基本配置详解 #### 一、各提示符说明 在思科防火墙安全模块(Firewall Services Module, FWSM)中,不同的提示符代表了不同的工作模式,这对于理解和执行配置命令至关重要。 - **一般...
H3C 防火墙典型配置案例集整本手册【COMWARE V7平台】.rar
03-22
H3C 防火墙G 虚拟防火墙典型配置案例(V7) H3C 防火墙IPsec典型配置案例(V7) H3C 防火墙NAT444典型配置案例(V7) H3C 防火墙NAT典型配置案例(V7) H3C 防火墙堆叠冗余口应用典型配置案例(V7) H3C 防火墙基于ACL包过滤...
华为防火墙配置虚拟防火墙举例(路由模式)
11-19
本文详细描述了华为防火墙路由模式下配置虚拟防火墙的用途和配置命令及命令的用途
虚拟iis配置
10-11
虚拟IIS配置是Windows操作系统中Internet Information Services (IIS)的一项功能,允许在单个物理服务器上创建并管理多个独立的、互不干扰的Web站点。这种配置方式有助于提高资源利用率,简化管理,并且便于为不同的...
详解Nginx 虚拟主机配置的三种方式(基于端口)
09-30
本文主要聚焦于Nginx虚拟主机配置的三种方式之一——基于端口的配置。 1. **基于端口的虚拟主机配置**: 当服务器只有一个IP地址或者希望通过不同的端口区分不同的网站时,可以使用基于端口的虚拟主机配置。每个...
虚拟主机中phpMyAdmin的安装配置方法
09-11
总的来说,phpMyAdmin是一个强大的MySQL管理工具,但在虚拟主机环境下配置时需谨慎处理,以确保数据的安全和系统的稳定性。遵循上述步骤,你就可以在虚拟主机上成功安装和配置phpMyAdmin,从而便捷地管理和维护你的...
虚拟机的创建以及创建后网卡和防火墙配置条件
qig_tia的博客
04-06 347
使用指令 vi /etc/sysconfig-scripts/ifcfg-ens33进入网卡编辑(注;ens33不是固定的,具体要使用ip a指令查看)设置完成后开启虚拟机,进行linux系统centos7的安装,安装完毕后设置语言中文。使用下载好的iso映像文件,文件尽量选择完整版,有助于创建yum源时的操作。分别是firewalld(防火墙)和selinux(安全策略)IPADDR要和网关相似,但不能一样,网关查询如下表。密码可以简单设置,不过需要点击两次完成才能确定。操作完毕后就有了一台新的虚拟机。
CentOS 防火墙设置
1853
12-09 474
CentOS 防火墙 基础命令 功能 命令 备注 查看状态 firewall-cmd --state 开启 systemctl start firewalld.service 重启 systemctl restart firewalld.service 设置开启自启动 systemctl enable firewalld.service 查看自启设置是否成功...
虚拟机中防火墙设置
qq_41512314的博客
07-29 3634
虚拟机中防火墙设置 虚拟机中操作防火墙: systemctl stop firewalld.service    #关闭防火墙服务 systemctl disable firewalld.service   #禁止防火墙开启启动 systemctl restart iptables.service   #重启防火墙使配置生效 systemctl enable iptables.service    #设置防火墙开机启动 ...
虚拟机的防火墙设置指令
weixin_41577728的博客
08-16 6220
查看防火墙服务状态:systemctl status firewalld。重启防火墙:service firewalld restart。开启防火墙:service firewalld start。关闭防火墙:service firewalld stop。
ensp防火墙配置虚拟系统
09-19
在eNSP中配置防火墙虚拟系统,首先需要进入虚拟系统界面,然后进行类似于防火墙网管配置的操作。要注意的是,管理虚拟系统的服务(如ssh、telnet...3. 除了华为USG6000系列防火墙,还有哪些防火墙支持虚拟系统配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值