防火墙虚拟系统——引流表

已于 2023-12-25 12:51:49 修改
阅读量1.2k 收藏 22
点赞数 24
分类专栏: 华为防火墙USG实验 文章标签: 网络
于 2023-12-25 12:50:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SSR_ZZ/article/details/135196979
版权

概览

在虚拟系统和根系统互访的场景中,虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务,虚拟系统和根系统都要配置策略、都会建立会话。这样,一方面增加了配置的复杂性,另一方面,每条连接都需要两条会话,业务量大时,会造成整机的会话资源紧张。通过配置引流表,可以解决上述问题。

报文命中引流表时,根系统不再按照防火墙转发流程处理报文,而是按路由表或引流表直接转发报文。因此,根系统中不需要为命中引流表的报文配置策略,根系统也不会为命中引流表的报文创建会话。

报文命中引流表分为正向命中和反向命中两种情况:

  • 正向命中:根系统发往虚拟系统的报文,目的地址匹配引流表中的“Destination Address”,则报文正向命中引流表。报文正向命中引流表时,根系统按引流表转发报文,将报文送入命中的表项对应的“Destination Instance”中处理。

  • 反向命中:虚拟系统发往根系统的报文,源地址匹配引流表中的“Destination Address”,源虚拟系统匹配引流表中的“Destination Instance”,则报文反向命中引流表。报文反向命中引流表时,根系统按路由表转发报文。

拓扑图

配置

  • 开启虚拟系统
  • 虚拟系统创建
  • 虚拟系统分配接口及资源类限制
  • 根系统及虚拟系统接口IP配置、接口加入安全区域
sysname FW1
#
vsys enable
resource-class res_cls
 resource-item-limit session reserved-number 100 maximum 500
 resource-item-limit session-rate 100
 resource-item-limit bandwidth 5 entire
#
vsys name C1 1
 assign interface GigabitEthernet1/0/1
 assign resource-class res_cls
#
vsys name C2 2
 assign interface GigabitEthernet1/0/2
 assign resource-class res_cls
#
interface GigabitEthernet1/0/0
 ip address 10.1.100.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface Virtual-if0
#
switch vsys C1
#
sy
#
interface GigabitEthernet1/0/1
 ip address 10.1.10.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 add interface Virtual-if1
#
security-policy
 rule name local->any
  source-zone local
  action permit
#
switch vsys C2
#
sy
#
interface GigabitEthernet1/0/2
 ip address 10.1.20.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/2
#
firewall zone untrust
 add interface Virtual-if2
#
security-policy
 rule name local->any
  source-zone local
  action permit
#
sysname SW1
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/23
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 20
#

虚拟系统与根系统互通

配置引流表

根系统上配置引流表

FW1:

 firewall import-flow public 10.1.10.0 10.1.10.255 vpn-instance C1
 firewall import-flow public 10.1.20.1 10.1.20.254 vpn-instance C2
#

配置命令后按Y继续

查看引流表配置

查看指定IP地址的引流表信息

虚拟系统上配置路由及安全策略

在虚墙C1上配置路由及安全策略

FW1:

switch vsys C1
#
sy
#
security-policy
 rule name trust->untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
  rule name untrust->trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.100.0 mask 255.255.255.0
  destination-address 10.1.10.0 mask 255.255.255.0
  action permit
#
ip route-static 10.1.100.0 255.255.255.0 public
#

查看C1的路由表

在虚墙C2上配置路由及安全策略

switch vsys C2
#
sy
#
security-policy
 rule name trust->untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.20.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
 rule name untrust->trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.100.0 mask 255.255.255.0
  destination-address 10.1.20.0 mask 255.255.255.0
  action permit
#
ip route-static 10.1.100.0 255.255.255.0 public
#

查看C2的路由表

测试

server ping PC1,可以通信

转发流程,正向命中引流表

查看会话情况

可以看到,根墙上没有创建会话,虚墙C1上创建会话

PC1 ping Server,可以通信

转发流程,反向命中引流表

查看会话情况

可以看到,根墙上没有创建会话,虚墙C1上创建会话

PC2与Server间的通信原理同上

虚拟系统C1与C2跨越根系统互通

虚墙C1上配置路由及安全策略

  • C1访问C2的路由指向根系统public

FW1-C1:

switch vsys C1
#
sy
#
security-policy
 rule name trust->untrust
  destination-address 10.1.20.0 mask 255.255.255.0
 rule name untrust->trust
  source-address 10.1.20.0 mask 255.255.255.0
#
ip route-static 10.1.20.0 255.255.255.0 public
#

虚墙C2上配置路由及安全策略

  • C2访问C1的路由指向根系统public

FW1-C2:

switch vsys C2
#
sy
#
security-policy
 rule name trust->untrust
  destination-address 10.1.10.0 mask 255.255.255.0
 rule name untrust->trust
  source-address 10.1.10.0 mask 255.255.255.0
#
ip route-static 10.1.10.0 255.255.255.0 public
#

测试

PC1 ping PC2

转发流程,PC1查找路由表,将报文发送给根系统Public,根系统正向命中引流表,将报文直接送入Destination Instance C2中查找路由表处理。根系统不会建立会话。

查看会话情况

可以看到,根墙上没有创建会话,虚墙C1、C2上创建会话

PC2 ping PC1同理

SSR_ZZ
关注
  • 24
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
虚拟系统和根系统互访
weixin_43815178的博客
10-01 222
方式:静态路由和引流 静态路由 ip route-static 10.1.2.0 255.255.255.0 vpn-instance vsysb ip route-static 0.0.0.0 0.0.0.0 public [FW1]dis fire sess ta ver vsys vsysb pro icmp 2020-09-07 12:02:47.360 Current Total Sessions : 1 icmp VPN: vsysb --> public ID...
QQ会员抽奖系统引流源码
02-02
一款QQ会员抽奖系统源码,客户抽中QQ会员,提示需要分享到6个群后才能领取, 分享群后直接跳到自己想让加的群,纯暴力引流,适合引流,营销,推广;本程序无需后台。
防火墙旁挂新型引流方案
最新发布
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
03-13 1291
核心设备创建多VPN实例隔离不同通信域,在防火墙完成不同VRF路由交叉,完成引流
防火墙旁挂拓扑,采用策略路由引流
qq_38847770的博客
09-26 8218
防火墙旁挂拓扑,采用策略路由引流 在上面的拓扑中为了来回路径相同,需要在AR1的G0/0/0和G0/0/2两个端口上采用策略重定向 策略路由配置如下: acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 acl number 3001 rule 5 permit ip destination 192.168.1.0 0.0.0....
华为防火墙虚拟系统引流存在的问题
qq_47529104的博客
03-29 884
虚拟系统中的引流帮助根系统简化了静态路由的创建,同时还节省了会话资源,但是它也存在着问题。那么是什么问题? 在nat server中,如果根系统对nat server的流量进行了转换后,如果根系统仅有对应的引流,那么根系统也不会将该流量进行转发,为什么?因为在经过nat server的转换后,该流量已经错过了匹配引流的机会了,所以在这种情况下,引流将不会生效,同时在IPsec中也有一样的问题,当IPsec的流量到达防火墙并进行解封后,同样也不会匹配引流,原因也是和nat server一样。
华为防火墙虚拟系统的案例分析(个人总结向)
qq_47529104的博客
03-28 4183
案例一 如图整个拓扑的架构如图所示,上面蓝色的是子虚拟系统1,它分配了一个物理接口g1/0/0,在虚拟系统1上面利用实现NAPT使得内网用户可以访问外网,同时在子虚拟系统1上面实现nat server使得192.168.0.1的服务器可以对外提供服务。 下面紫色的是子虚拟系统2,它也分配了一个物理接口g1/0/1,在虚拟系统2上面同样利用NAPT使得内网的主机可以访问外网,同时在虚拟系统使用no-reverse的nat server,使得内网主机可以被外部主机访问。 根系统的出口接口是g1.
华为虚拟系统
qq_47529104的博客
03-28 2582
概述 什么是虚拟系统,按照我的理解,虚拟系统就是防火墙上面的进程原先是一个进程在防火墙上面运作并执行相关的安全职能,但现在我们可以通过创建多个进程,以防火墙的硬件基础从逻辑上虚拟化出多个执行防火墙安全职能的进程。通过主虚拟系统向子虚拟系统分配接口,vlan,策略数等等相关系统资源,使得子虚拟系统可以在被分配了一定的系统资源后独立的对这块系统资源进行管理。其主要的作用就好比一块大土地被分割成了多块小土地,然后每个人,每个管理员所管辖的范围也仅仅限于小土地,这就减少了管理的难度,和管理的事务量。 .
华为策略路由引流旁挂防火墙
weixin_45457085的博客
11-08 9977
拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设备,AR3模拟外网untrust区域 项目要求: 1.外网访问内网流量需要通过防火墙过滤再进入内网; 2.内网访问外网流量直接出站无需过滤。 配置思路: 1.首先配通底层,为了直观我这里采用手写静态路由,项目上为了方便可以直接跑内部动态路由协议; 2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。 配置开始: 1.配通底层: SW1上: AR1上: ...
防火墙——虚拟系统理论讲解
m0_49864110的博客
04-23 5292
当根系统去访问虚拟系统时,如果目的地址匹配到引流“Destination Address”字段,正向命中引流,根系统就按照引流转发报文,将报文送到对应虚拟系统。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。当虚拟系统未开启时,管理员对FW的配置就是对根系统的配置,FW的管理员就是根系统的管理员。当虚拟系统开启时,根系统会继承先前FW的配置,FW上已有的管理员将成为根系统的管理员。
IGP高级特性---OSPF多进程+防火墙虚拟系统引流
Ddfgxfgg的博客
02-26 2127
OSPF多进程,防火墙引流防火墙虚拟系统
在阿里云上做云防火墙引流
Freeai
06-21 918
防火墙在阿里云引流,教你云防火墙如何玩转公有云引流
QQ会员抽奖系统引流源码 html静态源码
02-09
QQ会员抽奖系统引流源码,客户抽中QQ会员,提示需要分享到6个群后才能领取,分享群后直接跳到自己想让加的群,纯暴力引流,适合引流,营销,推广。本程序无需后台。
谷歌SEO优化的一个大绝招——引流.pptx
09-18
谷歌SEO优化的一个大绝招——引流.pptx
直播间引流——商品推广投放方法.pdf
04-08
直播间引流——商品推广投放方法.pdf
首发卡密引流系统 支持短视频点赞/关注获取卡密
12-20
搭建教程: ...步骤: 将压缩包解压至网站根目录。 打开域名/install,按照提示填写数据库信息进行安装。 管理后台: URL:域名/admin ...程序特色: 支持个人和企业小程序广告获取卡密。...支持短视频点赞和关注获取卡密。
防火墙的四五链
weixin_45697805的博客
01-06 1110
4个有:filter、nat、mangle、raw、默认是filter(没有指定的时候就是filter)。 的处理优先级:raw>mangle>nat>filter。 filter:一般的过滤功能 nat:用于nat功能(端口映射,地址映射等) mangle:用于对特定数据包的修改 raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接...
防火墙应用场景
m0_69435261的博客
09-24 441
NAPT(Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转换,NAPT即转换报文的源地址,又转换源端口。防火墙使用vrrp实现双机热备的时候遇到的问题有:如果主出现问题了就要切到备份的防火墙上,但是会话有个首包机制,会话是首包建立起来的,如果切换到备份的防火墙上那么会话无法起来,这样流量就过不去。NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。
防火墙旁挂,策略路由引流
热门推荐
weixin_34001430的博客
04-04 1万+
1、案例拓扑图 2、核心设备AR2的主要配置 2.1AR2#acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 //匹配需要过滤的路由#traffic classifier liu operator orif-match acl 2000#traffic behavior liuredirect ip-nexthop 2.1.1...
H3C V7 旁挂防火墙静态路由引流
zhangjian5412的博客
09-20 4869
H3C V7 旁挂防火墙静态路由引流 业务需求 企业新增防火墙,把防火墙旁挂在核心交换机旁边,需要交换机通过静态路由的方式将业务流量引向防火墙,实现防火墙网络的保护。 交换机主要配置: dis cu version 7.1.075, Alpha 7571 sysname hexin-sw ip vpn-instance 1 ////创建VPN实例用于隔离、引流的流量 route-distinguisher 100:123 address-family ipv4 vpn-target 1
h3c防火墙旁挂配置引流
09-21
H3C防火墙旁挂配置引流是指在H3C防火墙的边界或外围设备旁挂设备来进行流量引流的配置。 首先,我们需要将H3C防火墙与旁挂设备连接起来,可以通过物理接口或虚拟接口进行连接。连接时要注意接口的设置,确保两者的接口速率和模式一致。 接下来,需要在H3C防火墙中进行相关配置。首先,需要配置旁挂设备所在接口的IP地址,以便与其他网络设备进行通信。可以通过进入对应接口的配置模式,使用命令`ip address x.x.x.x y.y.y.y`设置IP地址。 然后,需要配置路由,以实现流量引流的功能。可以通过使用静态路由或动态路由协议进行配置。静态路由是手动配置路由,动态路由通过协议动态学习路由信息并更新路由。可以通过使用命令`ip route x.x.x.x y.y.y.y [interface]`来设置静态路由,其中x.x.x.x是目的网络地址,y.y.y.y是下一跳地址或出接口。若使用动态路由协议,需要配置H3C防火墙与旁挂设备之间的邻居关系,如BGP邻居关系等。 最后,需要进行ACL(访问控制列)的配置,以控制引流流量的访问权限。可以通过创建和应用ACL来实现。ACL可以基于源IP地址、目的IP地址、端口号等条件来限制或允许流量通过。可以通过使用命令`acl [number] [rule number] permit [source] [destination] [port]`来创建ACL规则,然后通过应用ACL配置到接口上,使用命令`filter ip [number] interface [interface] inbound`来实现。 总结起来,H3C防火墙旁挂配置引流主要包括连接设备、配置接口、设置IP地址、配置路由和ACL等步骤。这样可以实现将特定流量引流到旁挂设备上进行处理的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值