虚拟防火墙典型部署

最新推荐文章于 2024-01-11 11:02:22 发布
最新推荐文章于 2024-01-11 11:02:22 发布
阅读量3.4k 收藏 9
点赞数 1
分类专栏: 网络安全 文章标签: 虚拟防火墙 虚拟防火墙 部署 VSYS



虚拟防火墙功能简称为VSYS,是能够将一台物理防火墙在逻辑上划分成多个虚拟的防火墙,在用户的角度每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现防火墙的二层、三层(路由+NAT)转发、ACL控制、安全检测功能。每个虚拟防火墙系统之间相互独立,不可直接相互通信。不同型号的NF物理防火墙设备支持的最大VSYS个数不同,支持License控制的VSYS个数的扩展。

虚拟防火墙特性

虚拟防火墙对于管理员来说是透明的,有实体防火墙的功能且功能间独立:

  • 每个VSYS拥有独立的系统管理员、审计管理员账户
  • 每个VSYS拥有独立的安全域、网络、用户、服务等条目
  • 每个VSYS可以拥有独立的设备物理接口或者逻辑接口
  • 每个VSYS拥有独立的安全策略、NAT策略、认证策略
  • 每个VSYS拥有独立的防火墙日志、安全日志和审计日志

虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资,用户可以随时根据业务增减相应的虚拟防火墙,做到资源的最大利用。还可以做各个虚拟防火墙的带宽、会话、策略条目的限制,为不同的用户配置不同需求的资源服务,实体防火墙增值业务扩展性大!

虚拟防火墙部署

虚拟系统间完全隔离

此种可描述为运行商虚拟系统设备租赁的场景,用户够买实体防火墙资金较贵且需要专业人员配置和维护,会产生较大的成本,考虑租赁运行商提供的防火墙,价格便宜且维护容易,企业A租赁防火墙1,企业B租赁防火墙2,可满足用户的需求:

  • 不同的虚拟系统进行相互隔离,每个虚拟系统管理员都能够配置自己的数通特性,同时每个虚拟系统只能查看到自己的日志。
  • 每个虚拟系统用户有自己独立的三层路由空间,自己独立的安全域、安全对象以及域间策略。
虚拟系统间完全隔离

配置思路:

  • 创建vsys、vrouter并做两者之间的关联
  • 配置三层接口,指定属于哪个vsys并做其内vrouter的关联
  • 配置不同vsys上外网的路由条目
  • 配置不同vsys中的SNAT的策略
  • 配置不同vsys中的相关安全策略
  • 配置不同vsys的管理员账户
  • 应用配置使其生效

具体配置如下:

1、 创建vsys、vrouter并做两者之间的关联

vrouter

2、 配置三层接口,路属于不同的vsys并绑定在vrouter上

三层接口

Vrouter和接口都属于虚拟系统的资源,可被分配到不同虚拟系统上,vrouter可以被多个虚拟系统共享也可单独占有,接口只能被唯一一个虚拟系统占有。
Vrouter和vswitch不单单属于虚拟系统的资源和被占用,它们也是网络的一种部署,代表了虚拟系统中的二层或三层的网络转发。

3、 配置不同vsys上外网的路由条目

vsys

4、 配置不同vsys中的SNAT的策略,策略独立

SNAT

5、 配置不同vsys中的相关安全策略,安全策略各自独立,互不影响

安全策略各自独立

6、 配置不同vsys的管理员账户,管理员登陆后可单独管理私有的防火墙配置

防火墙配置

7、 应用配置生效

应用配置生效

虚拟系统共享外网出口

此种场景可描述为公司有一个外网出口,下设多个部门,部门间网络隔离且做不同的控制策略或者安全防护,各个部门通过一个外网口做SNAT上外网。

多个虚拟系统共享一个外网出口。虚拟系统2和虚拟系统3访问Internet时,需要跨到虚拟系统1进行NAT并转发,每个虚拟系统用户有自己独立的安全域以及虚拟系统域间策略。

NAT

说明:此处公司A和公司B的IP地址不能重叠,走同一个vrouter转发,重叠会导致转发失败

配置思路:

  • 创建vsys、vrouter并做两者之间的关联
  • 配置三层接口,指定属于哪个vsys并做其内vrouter的关联
  • vsys1中配置到外网的路由条目;vsys1中分别配置到vsys2、vsys3的跨虚拟系统路由条目
  • 在vsys2、vsys3中分别配置到vsys1的跨虚拟系统路由条目
  • 建立external类型的安全区,并建立外域绑定条目做各个虚拟系统间的外域相互指定
  • 配置vsys1的相关SNAT的策略,使vsys2、vsys3走SNAT访问外网
  • 分别配置vsys1、vsys2、vsys3的中的安全策略
  • 配置不同vsys中的的管理员账户
  • 应用配置使其生效

具体配置如下:

1、 创建vsys、vrouter并做两者之间的关联

关联

2、 配置三层接口,指定属于哪个vsys并做其内vrouter的关联

三层接口1

3、 vsys1中配置到外网的路由条目;vsys1中分别配置到vsys2、vsys3的跨虚拟系统路由条目

跨虚拟系统路由条目

4、 在vsys2、vsys3中分别配置到vsys1的跨虚拟系统路由条目

vsys2

5、 建立external类型的外域安全区,并做外域安全区和外域绑定:

引入了一种新的外域安全区的描述,当多个虚拟系统共享虚拟交换机或虚拟路由器时使用,当数据需要跨虚拟系统转发时,需要配置外域绑定策略。外域绑定策略用于配置与当前虚拟系统共享虚拟路由器或虚拟交换机的虚拟系统ID。

在vsys1中建立与自己通信的外域,即到vsys2、vsys3外域安全区:

外域安全区

在vsys2、vsys3中建立与自己通信的外域,都是到vsys1外域安全区:

外域

Vsys1中建立外域绑定条目,即vsys2、vsys3外域安全区绑定对应的虚拟系统2、3:

绑定条目

Vsys2、vsys3中建立外域绑定条目,即做vsys1外域安全区绑定虚拟系统1:

绑定虚拟系统1

6、 配置vsys1的相关SNAT的策略,使vsys2、vsys3走SNAT访问外网

SNAT访问外网

7、 分别配置vsys1、vsys2、vsys3的中的安全策略

在vsys1中,是配置外域安全区到Extranet 的ACL控制策略,如下:

Extranet

在vsys2、vsys3中,是配置 Internet到外域安全区的ACL控制策略,如下:

控制策略

8、 配置不同vsys中的管理员账户

管理员账户

9、 应用配置使其生效

生效


枫灵儿
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
虚拟防火墙
m0_73245452的博客
05-29 44
同时,通过使用虚拟防火墙的CPU资源虚拟化技术,数据中心还可以为客户定量出租虚拟防火墙,例如,可以向某些客户出租10M吞吐量的虚拟防火墙,而向另一些客户出租100M吞吐量的虚拟防火墙。同时,CPU资源虚拟化可隔离虚拟防火墙之间的故障,当单个虚拟防火墙受到攻击或资源耗尽时,其它虚拟防火墙不会受到影响,这样就大大提升了各业务的综合可用性。互联网出口较少或者单一时,比较适合使用的是内网物理接口专有、外网物理接口共享的组网方案,各非根虚拟防火墙专有自己的内网物理接口,防火墙部署过程中不影响交换机的原有配置。
赛特斯下一代SD-WAN应用和实践.pptx
09-02
SD-WAN当前市场情况 SD-WAN企业典型应用场景
华为防火墙配置虚拟防火墙举例(路由模式)
11-19
本文详细描述了华为防火墙路由模式下配置虚拟防火墙的用途和配置命令及命令的用途
防火墙配置十大任务之十,构建虚拟防火墙
weixin_33842304的博客
03-07 167
防火墙配置任务十构建虚拟防火墙任务拓扑图10.11.inside区域的交换机的基本配置,在交换机上开启vlan2,vlan3,vlan4.三个vlan。图10.22.outsid...
安全进阶:虚拟防火墙基础实验
网络技术联盟站
11-18 968
我们发现,在跟防火墙的路由表中,直连路由只有192.168.1.0/24及192.168.2.0/24两个网段,而192.168.11.0/24及192.168.13.0/24这两个网段的接口由于被添加到了虚拟防火墙vfw1中,所以查看根防火墙路由表是看不到这两条直连路由的。现在假设客户新增了一个需求,希望位于根防火墙的PC1能够访问位于虚拟防火墙上的Server2,能否实现?PC2与Server2属于一个敏感的业务,这个业务的流量要求与防火墙上的其他流量完全隔离,使用虚拟防火墙技术实现这个需求;
vFW虚拟防火墙部署实战
衡水铁头哥的博客
07-23 4137
疫情还没结束,远程办公仍在继续,这个时间想做个实验都变得很困难,毕竟很少有人单独买设备放家里准备做实验的。远程登录实验室,又没人在现场配合做网线拔插等操作,怎么办呢?搞一台虚拟防火墙vFW吧! 以比较常用的VMware安装H3C的vFW为例,只需要下载vFW的系统镜像,然后在VMware上创建虚拟机,挂载系统镜像进行安装部署就可以了。操作十分简单,可以参考如下链接进行安装部署,需要特别提醒的是根据实际需求调整硬件配置,不要太低。 http://www.h3c.com/cn/d_201807/108957
pemu防火墙模拟+vmware操作系统模拟完全实战
03-25
模拟PIX pemu防火墙模拟+vmware操作系统模拟完全实战
openstack-Mitaka-手动部署手册.docx
02-14
典型的生产架构可能需要至少两个主机节点来运行基础服务。对于某些服务,如块存储服务和对象存储服务,可能需要额外的节点。此外,网络代理可能部署在控制节点上,而不是专用的网络节点,私有网络的覆盖流量通过管理...
VMware vSphere 5.1 vCenter Server安装部署
01-24
在安装vCenter Server之前,还需要确保系统防火墙允许必要的端口通信,例如默认的vSphere Web Client端口443,以及可能需要的5480(用于vSphere Client)和80(HTTP服务)。此外,vCenter Server的安装文件VMware-...
H3C SECPATH1800F系列防火墙产品应用方案
03-03
本文是H3C Secpath1800F系列防火墙产品应用方案介绍。文中详细介绍了SecPath F1800-A 防火墙应用典型部署图,介绍了虚拟防火墙应用方案。
NSX ALB 助力Horizon桌面虚拟化快速交付.pptx
10-10
在Horizon桌面虚拟化环境中,NSX ALB扮演着关键角色,帮助实现高效且经济的VDI(虚拟桌面基础设施)部署。 1. **挑战与传统负载均衡器的问题**:传统负载均衡器往往部署时间长、成本高昂、超额配置且难以排错。它们...
虚拟思科防火墙配置 !!!用真正的ios
11-05
1,Cisco实验模拟器 PIX 个人版 v1.9软件是基于Dynamips技术,让我们感谢伟大的Chris! 2,本软件为免费软件,任何喜欢Cisco PIX技术的人都可以免费使用,希望您能够喜欢 3,本软件的版权归作者BluShin所有。使用者不得对本软件产品进行反向工程、反向编译或反汇编,违者属于侵权行为,并自行承担由此产生的不利后果。 4,由于版权限制,本软件不提供Cisco公司IOS文件,请使用者自行解决 5,由使用本软件带来的法律纠纷,由使用者自己负责,作者概不负责 6,如果你无法接受以上声明,请不要使用本软件。谢谢! 另外,作者提供有偿定制软件服务,可根据你设计的网络拓扑图,为你构建网络模拟设备。每台设备均为绿色可执行文件携带方便,不受网络环境变化的限制,能够实现分布式网络虚拟环境的搭建。若有需要,请QQ 46826190。 软件介绍: ====================== 1,本软件是为PIX爱好者制作的,主要用于练习PIX命令 2,本软件为绿色软件,且每个模拟设备只有一个可执行文件,携带方便。 3,经测试本软件可以完成的绝大部门PIX实验 4,本软件为一个模块化软件,可以不断增加模拟设备 软件操作指南: ================================== 1,请把解压缩后的文件和你所用的IOS放在同一目录下,不要修改解压后文件的目录结构 2,请自行下载并安装WinPcap 3,请在命令行下运行“GetMac -v "命令,获取你所用活动网卡的参数信息。如\Device\NPF_{07D829F6-353B-4E92-8371-E286BEF3190D},注意要把“TCP”修改为“NPF” 4,首先运行PIX.exe,然后再运行OutRouter.exe和InSwitch.exe。其中Switch是绑定Router运行的,Switch不能首先单独运行。 5,配置你要桥接PIX的PC网卡参数 在运行PIX时,在出现“请输入您要与PIX桥接的本地活动的网卡参数(例如:\Device\NPF_{07D829F6-353B-4E92-8371-E286BEF3190D}),注意格式!!输入后请按回车键:”提示符后,请输入你在第3步获取的网卡参数 6,配置你选用的IOS文件 在运行Router和Switch时,在出现“请输入您选用路由器的IOS文件(只能是3640系列的IOS!),注意IOS文件要与本程序在同一目录下!!输入后请按回车键:”时,输入你选用的IOS文件名,注意IOS文件要与本程序在同一目录下 7,参数设置完毕!即可启动PIX和路由器了,当PIX出现“QEMU waiting for connection on: :4001,server”和当路由器交换机最后出现“JIT enabled”时,恭喜你!模拟器已经成功启动! 10,你可以通过Telnet或者超级终端登录相应端口进入路由器进行实验了! 注意事项 ================= 1,本软件是基于Dynamips技术,感谢伟大的Chris为我们CiscoFuns开发这么强大的模拟器 2,本软件模拟的是3640系列的路由器,所以IOS选择只能是3640系列的路由器 3,请务必把你选用的IOS文件放到与本程序同一目录下 4,本软件PIX你可以自行通过修改PEMU.INI文件选用PIXos版本,本软件选用的是PIXos8.03和ASDM6.03。并且已经写入到FLASH文件中,如何运行ASDM,请看我写的PIX for ASDM指导 5,请先运行路由器,然后再运行交换机 6,运行本软件之前你需要安装WinPcap程序。 7,本软件虽然已经过多次测试,但是难免存在一些不足,如果在运行中出现任何问题,您可以QQ 46826190或者E-Mail:BluShin@126.com 联系作者 ==================== 作者提供有偿定制软件服务。可根据你设计的网络拓扑图,为你构建网络模拟设备。每台设备均为绿色可执行文件,携带方便,而且可以实现分布式网络虚拟环境的搭建。若有需要,请QQ 46826190或者BluShin@126.com。
AF_方案彩页_深信服下一代防火墙一虚多解决方案V2.0.pdf
09-24
AF_方案彩页_深信服下一代防火墙一虚多解决方案V2.0.pdf
华为防火墙vsys虚拟防火墙配置
最新发布
IT技术
01-11 2598
华为防火墙vsys虚拟防火墙配置
有状态的防火墙与基于OVS流规则的防火墙(by quqi99)
技术并艺术着
09-19 6659
作者:张华 发表于:2014-08-19 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 理论部分 例:允许内网用户访问公网的web服务,如果采用包过滤的无状态的防火墙技术的话,应该是: 序号 动作 源地址 源端口 目标地址 目标端口 方向 1 允许 ...
应对网络攻击 VMware呼吁构建分布式虚拟防火墙
weixin_33918357的博客
07-03 281
传统的网络安全采取以安全域为边界的方式,主要的安全保护措施放在了边界防火墙上,如今的数据中心网络安全依旧采取了以安全域划分的方式。然而,实践证明,以安全域为边界的网络安全不能有效防护网络攻击,基于SDN技术,采取NSX微分段安全技术已成必须。 “现已证明基于边界的网络安全保护是无效的,超过70%的黑客借助丢失、被盗或薄弱的认证信息成功入侵企业内部网络。建...
华为防火墙虚拟子系统
m0_72155191的博客
11-23 1128
FW1-vsys-vsysa]assign interface g1/0/0 ##将给接口G1/0/0绑定到虚拟系统vsysa。可以看到下面的vsysa的路由表下多了去12.1.1.0的这个网段的静态路由。可以看到下面的vsysa的路由表下多了去11.1.1.0的这个网段的静态路由。[FW1]vsys name vsysa ##创建虚拟系统vsysa。[FW1]vsys enable ##使能虚拟系统的功能。虚拟系统实在防火墙上划分出来的,独立运行的逻辑设备。配置vsysa的防火墙策略。
防火墙虚拟系统
jc1112323的博客
10-09 2073
虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备。
华为安全vsys nat 访问
weixin_44548030的博客
02-26 434
华为虚拟技术nat 隔离互访
防火墙技术:保护内外网络的关键屏障
- 市场上常见的防火墙产品包括硬件防火墙(如Cisco ASA、Fortinet FortiGate)、软件防火墙(如Windows防火墙、Norton Personal Firewall)以及虚拟防火墙(在虚拟化环境中实现)。 5. **发展趋势**: - 随着技术...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值