防火墙虚拟系统

于 2024-06-21 11:24:52 发布
阅读量872 收藏 14
点赞数 26
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/earthtoearth/article/details/139848819
版权

一、实验思路和网络拓扑

实验思路:

1、在防火墙上启动虚拟系统,设置相应的接口、路由,实现各系统互联;

2、并通过引流表对虚拟系统进行优化,节省根系统资源

二、基础配置

1、交换机配置

[SW1]vlan batch 10 20

[SW1]port-group group-member g0/0/1 g0/0/11

[SW1-port-group]port link-type access 

[SW1-port-group]port default vlan 10

[SW1]port-group group-member g0/0/2 g0/0/12

[SW1-port-group]port link-type access 

[SW1-port-group]port default vlan 20

2、防火墙配置

三、防火墙详细配置

(一)实现PC1与服务器,服务器与PC2互通

1、配置接口区域

2、在VRF_A上设置静态路由

[FW1]switch vsys VRF_A

[FW1-VRF_A]ip route-static 10.1.12.0 24 public 

[FW1-VRF_A]dis ip routing-table

Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: VRF_A
         Destinations : 3        Routes : 3        

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

      10.1.10.0/24  Direct  0    0    D   10.1.10.12      GigabitEthernet1/0/1
     10.1.10.12/32  Direct  0    0    D   127.0.0.1       GigabitEthernet1/0/1
      10.1.12.0/24  Static  60   0           D   0.0.0.0         Virtual-if0

3、在根系统上设置静态路由

[FW1]ip route-static 10.1.10.0 24 vpn-instance VRF_A

[FW1]dis ip routing-table 

Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 5        Routes : 5        

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

      10.1.10.0/24  Static  60   0           D   0.0.0.0         Virtual-if1

4、设置安全策略

根系统上设置

#
security-policy
 rule name LOCAL_TO_ANY
  source-zone local
  action permit
 rule name UNTRST_TO_TRUST
  source-zone untrust
  destination-zone trust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.12.0 mask 255.255.255.0
  action permit
#

虚拟系统上设置

#
security-policy
 rule name LOCAL_TO_ANY
  source-zone local
  action permit
 rule name TRUST_TO_UNTRUST
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.12.0 mask 255.255.255.0
  action permit
#

PC>ping 10.1.12.10

From 10.1.12.10: bytes=32 seq=1 ttl=253 time=32 ms
From 10.1.12.10: bytes=32 seq=2 ttl=253 time=47 ms
[FW1-VRF_A]dis firewall session table 
 icmp  VPN: VRF_A --> public  10.1.10.10:27877 --> 10.1.12.10:2048
 icmp  VPN: VRF_A --> public  10.1.10.10:28645 --> 10.1.12.10:2048
[FW1]dis firewall session table 
 icmp  VPN: public --> public  10.1.10.10:44005 --> 10.1.12.10:2048
 icmp  VPN: public --> public  10.1.10.10:44261 --> 10.1.12.10:2048

(二)引流表配置(为减少防火墙上的引流表,节约防火墙资源)

1、正向引流表(目的地址匹配,服务器访问虚拟系统B,节约根系统资源)

[FW1]firewall import-flow public 10.1.20.10 10.1.20.10 vpn-instance VRF_B

[FW1]dis firewall session table 
 Current Total Sessions : 1
 tcp  VPN: default --> default  192.168.31.1:4124 --> 192.168.31.100:8443

2、反向引流表(源地址匹配,虚拟系统访问服务器,节省根系统资源)

[FW1]firewall import-flow public 10.1.10.10 10.1.10.10 vpn-instance VRF_A

[FW1]dis firewall session table 
 tcp  VPN: default --> default  192.168.31.1:6853 --> 192.168.31.100:8443

(三)实现PC1至PC2互通

PC>ping 10.1.20.10

Ping 10.1.20.10: 32 data bytes, Press Ctrl_C to break
From 10.1.20.10: bytes=32 seq=1 ttl=126 time=63 ms
From 10.1.20.10: bytes=32 seq=2 ttl=126 time=62 ms

[FW1]icmp ttl-exceeded send 

PC>tracert 10.1.20.10

traceroute to 10.1.20.10, 8 hops max
(ICMP), press Ctrl+C to stop
 1  10.1.10.12   47 ms  47 ms  15 ms
 2    *  *  *
 3  10.1.20.10   47 ms  63 ms  62 ms

earthtoearth
关注
  • 26
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为防火墙虚拟系统间互访
wenhe0119的博客
10-21 2993
华为防火墙虚拟系统间互访配置
HCIE-Datacom防火墙虚拟系统LAB实验手册
03-12
HCIE-Datacom防火墙虚拟系统LAB实验手册
防火墙虚拟系统(基础)
SSR_ZZ的博客
12-25 1005
【代码】防火墙虚拟系统(基础)
华为防火墙虚拟系统实验
Ddfgxfgg的博客
10-26 2129
华为防火墙配置虚拟系统
配置华为防火墙虚拟系统
2301_76769137的博客
12-29 698
步骤3:配置静态路由和策略,就能实现,实现路由可达,不同的虚拟系统通信,需要通过virtual-if接口通信,因此静态路由的下一跳,写虚拟系统的vpn实例即可。如图所示,在防火墙上创建两个虚拟系统,分别命名为vsysa、vsysb,PC1属于vsysa、PC2属于vsysb,最终实现PC1和PC2能够互相访问。步骤1:创建虚拟系统,并且将虚拟系统、根系统都视为独立的设备,将虚拟接口视为设备之间通信对应的接口,通过划分到对应的虚拟系统。3)配置一般设备间互访vsysb的思路ip地址(配置前注意退出到根系统
防火墙虚拟系统资源分配配置实例
永远是少年
07-28 2901
今天继续给大家介绍华为USG6000系列防火墙。本文主要使用华为eNSP模拟器,实现了防火墙虚拟系统的资源配置及管理功能。 阅读本文,您需要有一定的防火墙基础知识,如果您对此存在困惑,欢迎查阅我博客的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 一、实验拓扑及目的 实验拓扑如上所示,现在要求给部门1和部门2分别配置虚拟系统,并命名为VSYSA和VSYSB,并给虚拟系统分配资源并创建管理用户。 二、实验相关配置命令 (一)创建虚拟系统相关命令 在防火墙
华为防火墙虚拟系统的案例分析(个人总结向)
qq_47529104的博客
03-28 4229
案例一 如图整个拓扑的架构如图所示,上面蓝色的是子虚拟系统1,它分配了一个物理接口g1/0/0,在虚拟系统1上面利用实现NAPT使得内网用户可以访问外网,同时在子虚拟系统1上面实现nat server使得192.168.0.1的服务器可以对外提供服务。 下面紫色的是子虚拟系统2,它也分配了一个物理接口g1/0/1,在虚拟系统2上面同样利用NAPT使得内网的主机可以访问外网,同时在虚拟系统使用no-reverse的nat server,使得内网主机可以被外部主机访问。 根系统的出口接口是g1.
防火墙虚拟系统概述及实现原理
Mario_Ti的博客
02-07 1681
本文介绍防火墙虚拟系统实现原理。
防火墙虚拟系统互访配置实例
永远是少年
07-29 2785
今天继续给大家介绍华为USG6000系列防火墙。本文主要是以华为eNSP模拟器,介绍了华为下一代防火墙虚拟系统之间互访的配置实例。 阅读本文,您需要有一定的华为防火墙基础知识,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 防火墙虚拟系统资源分配配置实例 一、实验要求及拓扑 实验拓扑如上所示,要求为公司两个部门之间配置虚拟系统,并把相应接口划分为相应的虚拟系统。最后配置实现防火墙虚拟系统之间的互访,实现公司的两
华为防火墙虚拟系统
m0_72155191的博客
11-23 1095
FW1-vsys-vsysa]assign interface g1/0/0 ##将给接口G1/0/0绑定到虚拟系统vsysa。可以看到下面的vsysa的路由表下多了去12.1.1.0的这个网段的静态路由。可以看到下面的vsysa的路由表下多了去11.1.1.0的这个网段的静态路由。[FW1]vsys name vsysa ##创建虚拟系统vsysa。[FW1]vsys enable ##使能虚拟系统的功能。虚拟系统实在防火墙上划分出来的,独立运行的逻辑设备。配置vsysa的防火墙策略。
防火墙旁挂与虚拟系统实验
最新发布
04-17
防火墙旁挂与虚拟系统实验
StoneOS命令行用户手册-虚拟系统-5.5R8-1
03-30
StoneOS命令行用户手册-虚拟系统-5.5R8-1
云资源池集成虚拟防火墙方案及关键技术
01-19
对于云资源池而言,虚拟防火墙具有特殊性,本身既是网络服务需要被业务系统编排,又是网元组件需要被网络系统配置。云资源池环境下,虚拟防火墙面临与云平台、SDN等其他组件集成的问题。研究了现有云资源池集成虚拟...
华为模拟器eNSP 防火墙 USG6000V10
08-18
USG6000系列防火墙的固件, 解压文件,在模拟器上启动USG6000时会提示加载固件,选择解压后的vdi文件,导入后再次点击启动。 注意:命令窗口#号增加属于正常现象,起码跑三四行#号后正常启动。 帐号:admin 密码:...
山石防火墙SG6000-VFW01-5.5R1B11.iso安装镜像
11-04
山石防火墙SG6000-VFW01-5.5R1B11.iso安装镜像
华为 Eudemon 1000 防火墙说明文档
08-18
华为 Eudemon 1000 防火墙说明文档,详细说明配置步骤,配置说明
MyFireWall-netfilter:华中科技大学2019网络安全课程设计(基于netfilter的防火墙系统
03-11
基于netfilter的防火墙系统防火墙基于netfilter实现,测试运行环境为Ubuntu12.04系统版本,内核版本:3.13.0-32-generic。实现了规则匹配,状态连接列表,动态nat转换,日志查询等功能。以及命令行两种版本的用户...
华为防火墙安全笔记.tar
07-04
5虚拟防火墙下.docx 5虚拟防火墙上,docX 4安全策略_4配置安全策略下。docy 4安全策略4配置安全策略中。docx 4安全策略4配置安全策略上。docx 4安全策略3一层三层安全策略的差异。docx 4安全策略2安全策略组成与匹配...
什么是防火墙虚拟系统
07-28
防火墙虚拟系统(Firewall Virtual System)是一种网络安全技术,它允许在单个物理防火墙设备上创建多个独立的虚拟防火墙实例。每个虚拟系统都具有自己的配置、安全策略和网络资源,就像独立的物理防火墙一样工作。 防火墙虚拟系统可以帮助组织节省硬件成本,并简化网络管理。通过在单个物理设备上创建多个虚拟系统,可以实现逻辑上的隔离,每个虚拟系统可以独立地管理和保护不同的网络区域或部门。虚拟系统之间的流量和配置是相互隔离的,因此即使在同一物理设备上运行多个虚拟系统,也能确保安全性和性能的隔离。 在一个防火墙虚拟系统中,可以配置独立的网络接口、访问控制策略、安全服务等。每个虚拟系统都可以根据特定的需求进行定制和管理,而不会影响其他虚拟系统或整个物理设备。这种灵活性和隔离性使得防火墙虚拟系统成为大型组织和服务提供商中网络安全管理的有力工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值