防火墙虚拟系统(基础)

已于 2023-12-25 10:38:35 修改
阅读量1k 收藏 27
点赞数 18
分类专栏: 华为防火墙USG实验 文章标签: 网络 运维 服务器
于 2023-12-25 10:38:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SSR_ZZ/article/details/135193191
版权

拓扑图

配置

开启虚拟系统

虚拟系统创建

虚拟系统分配接口及资源类限制

根系统及虚拟系统接口IP配置、接口加入安全区域

路由

安全策略放行

1)创建2个虚拟系统,1个根系统

PC1连接到虚拟系统C1, PC2连接到虚拟系统C2,Server1连接到根系统Public

开启虚拟系统,并创建虚拟系统,将接口分配到虚墙

配置资源类限制虚墙会话数(保证会话数,最大会话数),限制虚墙整体带宽

配置接口IP地址并加入相应安全区域,配置放行local to any的流量

交换机上创建VLAN,并将接口加入相应VLAN

 FW1:

sysname FW1
#
vsys enable
#
resource-class res
 resource-item-limit session reserved-number 100 maximum 500
 resource-item-limit bandwidth 5 entire
#
vsys name C1 1
 assign interface GigabitEthernet1/0/1
 assign resource-class res
#
vsys name C2 2
 assign interface GigabitEthernet1/0/2
 assign resource-class res
#
interface GigabitEthernet1/0/0
 ip address 10.1.100.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface Virtual-if0
#
security-policy
 rule name local_to_any
  source-zone local
  action permit
#
switch vsys C1
#
interface GigabitEthernet1/0/1
 ip address 10.1.10.254 255.255.255.0
 service-manage ping permit
#
firewall zone trust
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 add interface Virtual-if1
#
security-policy
 rule name local_to_any
  source-zone local
  action permit
#
switch vsys C2
#
interface GigabitEthernet1/0/2
 ip address 10.1.20.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/2
#
firewall zone untrust
 add interface Virtual-if2
#
security-policy
 rule name local_to_any
  source-zone local
  action permit
#

 SW1:

sysname SW1
#
vlan batch 10 20
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/23
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 20
#

测试FW1到直连是否互通,FW ping PC1、PC2、Server1

2)配置虚拟系统与根系统通信

配置路由,安全策略

FW1:

ip route-static 10.1.10.0 255.255.255.0 vpn-instance C1
ip route-static 10.1.20.0 255.255.255.0 vpn-instance C2
#
 rule name untrust_to_trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.10.0 mask 255.255.255.0
  source-address 10.1.20.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
#
switch vsys C1
#
ip route-static 10.1.100.0 255.255.255.0 public
#
rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
#
switch vsys C2
#
ip route-static 10.1.100.0 255.255.255.0 public
#
security-policy
 rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.20.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
#

查看根墙及虚墙的路由表

在PC1和PC2 ping Server1,可以ping通

FW上查看会话表

3)配置虚拟系统C1能访问虚拟C2

两个虚墙之间互访需要在根墙上配置路由,虚墙上配置安全策略

  • 两个虚拟系统间互访
    • FW支持两种模式的两个虚拟系统间互访,分别为标准模式和扩展模式。
  • 在标准模式下:
    • 可以通过在两个虚拟系统间配置相关策略、路由等实现两个虚拟系统间直接互访
    • 同一报文最多只能进行两次转发流程处理,报文经过超过两个虚拟系统即会被丢弃。

    • 还可以将根系统作为路由中转,实现两个虚拟系统跨根系统互访,报文同样只进行了两次转发流程处理,报文经过根系统时不走转发流程。此种方式需要分别配置各虚拟系统与根系统之间的策略、路由等信息。

  • 在扩展模式下:
    • 设备引入了共享虚拟系统(Shared-vsys)的概念,通过在FW中创建一个配置为扩展模式的共享虚拟系统作为路由中转,实现两个虚拟系统跨共享虚拟系统互访
    • 由于将FW配置为扩展模式,同一报文最多可以进行三次转发流程处理,报文从vsysa发出经过Shared-vsys转发到vsysb时不会被丢弃。
    • 在扩展模式下,若将根系统(public)选定为Shared-vsys,则报文经过根系统时不会进行一次转发流程处理,这与标准模式下根系统作为路由中转实现两个虚拟系统跨根系统互访时相同。

    • 此外,还有可能存在虚拟系统和根系统跨另一虚拟系统互访的场景,如图5所示。此时需要分两种情况讨论,若虚拟系统的互访模式处于标准模式下,由于报文最多只能走两次转发流程,因此在第二个虚拟系统(vsysb)转发到根系统时会被vsysb丢弃,因此无法实现上述场景;若虚拟系统的互访模式处于扩展模式下,报文最多可以走三次转发流程,因此报文可以从vsysb转发到根系统,并在根系统中进行一次转发流程处理,实现上述场景。

ip route-static vpn-instance C1 10.1.20.0 255.255.255.0 vpn-instance C2
ip route-static vpn-instance C2 10.1.10.0 255.255.255.0 vpn-instance C1
#
switch vsys C1
#
rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.20.0 mask 255.255.255.0
  action permit
#
switch vsys C2
#
rule name untrust_to_trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.20.0 mask 255.255.255.0
  service icmp
  action permit
#

查看路由信息

PC1 ping PC2,可以ping通

查看会话表

如需PC2 ping PC1,虚墙下配置相应安全策略放行即可

在此场景中,通过配置路由和安全策略实现虚拟系统与根系统互通,虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务,虚拟系统和根系统都要配置策略、都会建立会话。这样,一方面增加了配置的复杂性,另一方面,每条连接都需要两条会话,业务量大时,会造成整机的会话资源紧张。通过配置引流表,可以解决上述问题。 

SSR_ZZ
关注
  • 18
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
防火墙虚拟系统
weixin_43815178的博客
07-01 1081
虚拟系统具有以下特点: 1.管理独立:每个虚拟系统由独立的管理员进行管理,适合大规模的组网环境。 2.表项独立:每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即便使 用相同的地址范围,仍可以正常进行通信。 3.资源固定:可以为每个虚拟系统分配固定的系统资源,不会互相影响。 4.流量隔离:虚拟系统之间的流量相互隔离,更加安全。需要时,可以进行安全互访。 5.虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。 防火墙上存在两种类型的虚拟系统: 根系统
应用系统虚拟化架构
02-19
1. **虚拟化层**:这是整个架构的基础,通常由虚拟机监控器(Hypervisor)实现,如VMware ESXi、Microsoft Hyper-V或KVM等。虚拟化层负责管理硬件资源,为每个虚拟应用提供独立的操作系统实例和硬件环境。 2. **...
云宏大讲坛 | 灵活轻便的云宏CNware虚拟防火墙
weixin_34233856的博客
02-01 148
防火墙是位于内部网和外部网之间的屏障,按照系统管理员预先定义好的规则来控制数据包的进出,是系统的第一道防线,其作用是防止非法用户的进入。虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。 以上描述的防火墙一般用于数据中心内部网络和外部网络之间,而云宏君接下来描述的虚拟防火...
防火墙学习4---虚拟系统相关概念介绍
最新发布
weixin_48030849的博客
05-14 1862
防火墙虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。每个虚拟系统相当于一台真实的设备。有自己的接口、地址集、用户/组、路由表项以及策略。每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统
虚拟×××和虚拟防火墙 (VNN)
weixin_33698043的博客
05-23 101
大型企业越来越需要将网络、各种应用程序以及公司数据库扩展至企业雇员、商业合作伙伴以及其它访客用户。这样的需求产生了庞大而又复杂的网络,既难以管理,又无法确保其安全。与此同时,许多管理员开始利用虚拟局域网(VLAN)技术对不同部门和团队的基础架构进行拆分。尽管VLAN技术在按功能划分这些网络方面是卓有成效的,这些公司仍需要在每个网段的前端部署单独的防火墙、××× 和***...
虚拟防火墙
qq_42520918的博客
08-20 1374
虚拟防火墙:管理独立,表项独立,资源固定,流量隔离, 虚拟系统资源分配:定额分配(SSL VPN,安全区域分配8个,4个缺省安全区域),手工分配(会话数,用户数,用户组,策略数,)手工分配指定保定值,最大值 两种方式:web,命令行创建。 vsys enable vsys name A //创建虚拟防火墙A, assign interface G1/0/2 给虚拟防火墙A指定接口。 switch vsys A //进入虚拟防火墙A 虚拟防火墙分流:基于接口分流: 虚拟防火墙和根墙怎么连接:vi.
华为防火墙系列基础培训.rar
08-01
1asp态防火墙隐形的通道mp 2 gerver-map机制在防火墙中的使用场景解析mp4 ...5配置虚拟防火虚拟防火墙间的互mp4 6虚拟防火墙大中型企业的网络隔mp4 7虚拟防火墙基本原理mp4 8状态检查防火墙产生的背mp
VMware数据中心基础架构虚拟化整合项目方案书样本.docx
12-17
72.3. 安全性:确保虚拟环境的安全性,通过设置访问控制、加密、防火墙规则等措施,防止未授权访问和潜在威胁。 102.4. 性能优化:持续监控和调整虚拟化环境,确保虚拟机性能满足业务需求,例如通过动态资源调度...
kengle虚拟主机管理系统
11-22
【kengle虚拟主机管理系统】是一款专为管理...对于初次使用者,可能需要了解一些基础的Linux命令和网络知识,以便更好地理解和管理Kangle系统。同时,定期更新和维护Kangle到最新版本,可以保持系统的安全性和稳定性。
网络虚拟主机实时开通系统 v1.1
03-07
在开通虚拟主机时,系统会自动进行安全检查和配置,包括防火墙设置、权限控制、数据备份等,确保用户的数据安全无虞。此外,系统还可能提供定期的安全更新和漏洞修复,以抵御潜在的网络安全威胁。 对于企业级用户来...
华为防火墙配置虚拟防火墙举例(路由模式)
11-19
本文详细描述了华为防火墙路由模式下配置虚拟防火墙的用途和配置命令及命令的用途
华为云平台部署虚拟防火墙
08-31
华为云平台部署虚拟防火墙,详细介绍了如何上传镜像资源,怎么组网,怎么配置nat策略,实现内外网通信。 文档现在不可用了。不知道是csdn还是怎么回事。之前没有问题
虚拟思科防火墙配置 !!!用真正的ios
11-05
1,Cisco实验模拟器 PIX 个人版 v1.9软件是基于Dynamips技术,让我们感谢伟大的Chris! 2,本软件为免费软件,任何喜欢Cisco PIX技术的人都可以免费使用,希望您能够喜欢 3,本软件的版权归作者BluShin所有。使用者不得对本软件产品进行反向工程、反向编译或反汇编,违者属于侵权行为,并自行承担由此产生的不利后果。 4,由于版权限制,本软件不提供Cisco公司IOS文件,请使用者自行解决 5,由使用本软件带来的法律纠纷,由使用者自己负责,作者概不负责 6,如果你无法接受以上声明,请不要使用本软件。谢谢! 另外,作者提供有偿定制软件服务,可根据你设计的网络拓扑图,为你构建网络模拟设备。每台设备均为绿色可执行文件携带方便,不受网络环境变化的限制,能够实现分布式网络虚拟环境的搭建。若有需要,请QQ 46826190。 软件介绍: ====================== 1,本软件是为PIX爱好者制作的,主要用于练习PIX命令 2,本软件为绿色软件,且每个模拟设备只有一个可执行文件,携带方便。 3,经测试本软件可以完成的绝大部门PIX实验 4,本软件为一个模块化软件,可以不断增加模拟设备 软件操作指南: ================================== 1,请把解压缩后的文件和你所用的IOS放在同一目录下,不要修改解压后文件的目录结构 2,请自行下载并安装WinPcap 3,请在命令行下运行“GetMac -v "命令,获取你所用活动网卡的参数信息。如\Device\NPF_{07D829F6-353B-4E92-8371-E286BEF3190D},注意要把“TCP”修改为“NPF” 4,首先运行PIX.exe,然后再运行OutRouter.exe和InSwitch.exe。其中Switch是绑定Router运行的,Switch不能首先单独运行。 5,配置你要桥接PIX的PC网卡参数 在运行PIX时,在出现“请输入您要与PIX桥接的本地活动的网卡参数(例如:\Device\NPF_{07D829F6-353B-4E92-8371-E286BEF3190D}),注意格式!!输入后请按回车键:”提示符后,请输入你在第3步获取的网卡参数 6,配置你选用的IOS文件 在运行Router和Switch时,在出现“请输入您选用路由器的IOS文件(只能是3640系列的IOS!),注意IOS文件要与本程序在同一目录下!!输入后请按回车键:”时,输入你选用的IOS文件名,注意IOS文件要与本程序在同一目录下 7,参数设置完毕!即可启动PIX和路由器了,当PIX出现“QEMU waiting for connection on: :4001,server”和当路由器交换机最后出现“JIT enabled”时,恭喜你!模拟器已经成功启动! 10,你可以通过Telnet或者超级终端登录相应端口进入路由器进行实验了! 注意事项 ================= 1,本软件是基于Dynamips技术,感谢伟大的Chris为我们CiscoFuns开发这么强大的模拟器 2,本软件模拟的是3640系列的路由器,所以IOS选择只能是3640系列的路由器 3,请务必把你选用的IOS文件放到与本程序同一目录下 4,本软件PIX你可以自行通过修改PEMU.INI文件选用PIXos版本,本软件选用的是PIXos8.03和ASDM6.03。并且已经写入到FLASH文件中,如何运行ASDM,请看我写的PIX for ASDM指导 5,请先运行路由器,然后再运行交换机 6,运行本软件之前你需要安装WinPcap程序。 7,本软件虽然已经过多次测试,但是难免存在一些不足,如果在运行中出现任何问题,您可以QQ 46826190或者E-Mail:BluShin@126.com 联系作者 ==================== 作者提供有偿定制软件服务。可根据你设计的网络拓扑图,为你构建网络模拟设备。每台设备均为绿色可执行文件,携带方便,而且可以实现分布式网络虚拟环境的搭建。若有需要,请QQ 46826190或者BluShin@126.com。
防火墙虚拟
KT986的博客
05-28 2450
防火墙虚拟虚拟化技术原理:将一台物理的防火墙,从逻辑上划分为多台虚拟防火墙,但是共享CPU、内存等物理资源;不同的虚拟防火墙之间,配置、转发完全隔离,从而实现功能定制、个性化管理以及资源的最大化利用 虚拟化两种类型: 一虚多(提升系统资源利用率;降低硬件成本;节省能耗、空间及管理成本) 多虚一(简化运维,可靠性高) vrrp(把两台防火墙的接口虚拟成一个接口,统一对外提供一个IP地址),服务器负载均衡属于虚拟化技术 防火墙虚拟化的发展 从VFW(虚拟防火墙)到VSYS(虚拟...
防火墙虚拟系统概述及实现原理
Mario_Ti的博客
02-07 1739
本文介绍防火墙虚拟系统实现原理。
防火墙——虚拟系统理论讲解
m0_49864110的博客
04-23 5470
当根系统去访问虚拟系统时,如果目的地址匹配到引流表“Destination Address”字段,正向命中引流表,根系统就按照引流表转发报文,将报文送到对应虚拟系统。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。当虚拟系统未开启时,管理员对FW的配置就是对根系统的配置,FW的管理员就是根系统的管理员。当虚拟系统开启时,根系统会继承先前FW的配置,FW上已有的管理员将成为根系统的管理员。
华为虚拟防火墙互通和访问外网
baidu_41701694的博客
09-06 2176
可以使用resource-item-limit 设置 bandwidth、 ipsec-tunnel、l2tp-tunnel、 online-user 、security-group、 policy、session-rate 、session、 ssl-vpn-concurren、traffic-policy、user 、 user-group
基于360虚拟防火墙实现neutron三层网络功能
rtmdk的博客
10-28 995
360虚拟防火墙基于虚拟机形态集成了三层网络和安全防护功能,该虚拟机作为租户网络的三层路由器,通过手动创建内网网关port和外网port,并将这些port绑定到虚拟机中,从而连通租户vpc网络,这个虚拟机则提供针对vpc的南北流量转发和边界安全防护。另外vpn网络的东西向流量可以通过基于流表实现的分布式逻辑路由器进行转发,从而减少该虚拟机的流量负载。
ensp防火墙配置虚拟系统
09-19
在eNSP中配置防火墙虚拟系统,首先需要进入虚拟系统界面,然后进行类似于防火墙网管配置的操作。要注意的是,管理虚拟系统的服务(如ssh、telnet等)需要在根系统下执行服务开启的命令。切换虚拟系统的配置命令如下:switch vsys VSYSA。 在eNSP中,使用华为USG6000系列防火墙模拟器可以实现防火墙虚拟系统的资源配置和管理功能。要进行防火墙虚拟系统的配置,您需要具备一定的防火墙基础知识。如果您对此有困惑,可以查阅相关文章获取更多信息。 需要注意的是,目前华为官网已经无法下载华为虚拟防火墙软件包vfw_usg.rar。相关问题如下: 相关问题: 1. eNSP是什么?如何使用eNSP模拟器进行防火墙虚拟系统的配置? 2. 防火墙虚拟化技术有哪些优势和应用场景? 3. 除了华为USG6000系列防火墙,还有哪些防火墙支持虚拟系统配置?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值