华为防火墙虚拟系统的适用场景与个人评价以及NAT相关操作下安全策略的配置解释

最新推荐文章于 2024-07-11 10:48:33 发布
最新推荐文章于 2024-07-11 10:48:33 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: HCIA/HCIP sercurity 华为 网络技术 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/123820822
版权
网络技术 同时被 3 个专栏收录
134 篇文章 19 订阅
订阅专栏
华为
100 篇文章 14 订阅
订阅专栏
HCIA/HCIP sercurity
88 篇文章 16 订阅
订阅专栏

我翻了一圈它的产品文档,发现文档中给出的场景大多是防火墙下联一个区域,什么意思?也就是防火墙一个接口代表一个区域,一个范围,然后这个范围由虚拟子系统进行管理,如下图:

 

 

 可以看到一般都是防火墙下联多区域的情况,如果是基于接口分流的这种情况,我们必须保证防火墙下联的区域的流量是单区域的,不能是多区域混杂的,否则将无法起到单个虚拟子系统管理单区域的效果,这当然是我们不想看到的。如果是基于VLAN分流的,那么就需要我们将防火墙设置为透明模式,以便可以接收采纳到多个vlan的流量,其实这种基于VLAN的分流可以帮助我们节省相关的接口开销。

对于上面的应用场景其实还算比较经典和简单的,而且虚拟系统的子系统无法实现vrrp,也就是无法进行双机热备,如果要实现双机热备只能在根系统上实现,而且如果将网络搭建成比较常见的三层:接入,汇聚,核心,那么虚拟系统的管理的难度将逐步上升,如果在核心下面两层有做冗余,那么将无法使用物理接口进行虚拟子系统的分流,那么将只能基于VLAN进行分流,因为物理接口下不只是单区域了,冗余的增加使得区域之间的流量交错纵横。结果就是导致难度将会进一步提升。所以除非真的是需要进行管理权的分离,否则我是觉得不开启虚拟子系统反而管理更简单。

使用虚拟子系统需要考虑的问题 

nat server

在虚拟子系统中,实现nat server的方式有三种,一种是将物理接口分配给虚拟子系统,然后外部流量直接流入虚拟子系统进行nat server,另一种是在根系统进行nat server的转换,然后外部的nat server流量交给根系统,由根系统进行转发后再转交给虚拟子系统,还有一种情况是根系统不做nat server的转换,当他接收到nat server的流量后将其原封不动地转发到虚拟子系统中,那么针对这三种情况,安全策略的放行也有三种对应的写法,针对第一种,我们的放行的安全策略的目的地址是私网的服务器地址,而第二种放行的安全策略的目的地址是同样也是私网的服务器地址,对于第三种放行的安全策略的目的地址放行的是nat server公布出来的公网地址。为什么?原因如下:

针对第一种:

因为第一种是直接流入虚拟子系统的,所以我们需要在虚拟子系统上创建安全策略,因为虚拟子系统在接收到该流量的时候,会因为server-map的缘故会直接进行地址的转换,然后它才会进行安全策略的匹配,所以我们需要放行的是目的地址为私网服务器地址的流量。

针对第二种

因为第二种是先流入根系统进行nat server的公布和转换的,所以我们不仅要在根系统上面配置安全策略,也要在虚拟子系统上面配置安全策略,对于根系统来说,它要放行的安全策略针对的是目的地址是内网服务器地址的流量,因为到根系统的流量首先会进行server-map的转换后才会进行安全策略的匹配,所以安全策略需要放行目的地址为内网服务器地址的流量。同时虚拟子系统设置的安全策略主要针对也是目的地址为内网服务器地址的流量,因为流量在经过根系统的转换后,目的IP将不会再做改变,所以虚拟子系统放行的安全策略抓住目的地址即可

针对第三种

为什么第三种这么怪?首先在第三种情况下,虚拟子系统并没有分配到物理接口,它还是借助根系统才接收到natserver的流量,但是此时根系统并没有进行nat server转换,nat server的转换主要借助的是虚拟子系统本身,所以对于根系统来说,它的安全策略主要针对的就是nat server公布出来的公网地址即可,但是对于虚拟子系统来说,它会先进行nat server的转换,然后才会进行安全策略的匹配,所以配置了的安全策略针对的是目的地址为内网服务器地址。

源NAT

在加入虚拟子系统的情况下,源NAT需要考虑的东西也很多,部署方式也很多样,同样的源NAT可以直接部署在虚拟子系统上,也可以由根系统承载所有虚拟子系统的源NAT功能,我们同样需要考虑在地址转换的情况下,安全策略应该如何设置。

第一种

源NAT在虚拟子系统上实现,且具备出去的公网接口。那么在这种情况下,地址转换的任务就直接交给了虚拟子系统,那么就只需要在虚拟子系统上面配置针对内网到外网的安全策略。

第二种

源NAT在虚拟子系统上实现,但是虚拟子系统没有出公网的接口,流量需要根系统做中介,那么这个时候根系统和虚拟子系统都需要考虑安全策略的书写,这个时候我们可以放行根系统的vlanif接口到外网区域的流量,也可以针对虚拟子系统源NAT转换的地址做安全策略的放行。为什么放行根系统的vlanif接口的流量?因为虚拟子系统在这种场景下是借助根系统进行流量的转发,所以它会将流量转发到根系统的vlanif0接口上。

第三种

由根系统去承载所有虚拟子系统的源NAT功能,那么这个时候虚拟子系统只要放行内网到外网的流量,根系统也只要放行内网到外网的流量即可。(其实本质取决于你vlanif接口所在的区域,如果虚拟子系统的vlanif接口在dmz,那么虚拟子系统放行的就是内网到dmz区域的流量)

Mllllk
关注
专栏目录
华为防火墙配置虚拟防火墙举例(路由模式)
11-19
本文详细描述了华为防火墙路由模式下配置虚拟防火墙的用途和配置命令及命令的用途
防火墙虚拟系统
2301_76769041的博客
06-26 275
为了实现每个虚拟系统的业务都能够做到正确转发、独立管理、相互隔离,FW主要实现了几个方面的虚拟化:资源虚拟化、配置虚拟化、安全功能虚拟化及路由虚拟化。通过配置虚拟系统,可让部署在云计算中心出口的FW具备云计算网关的能力,对不同租户流量进行隔离的同时提供安全防护能力。通过以上几个方面的虚拟化,当创建虚拟系统之后,每个虚拟系统的管理员都像在使用一台独占的设备。在虚拟系统这个特性中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务。虚拟系统是在防火墙上划分出来的、独立运行的逻辑设备。
华为防火墙虚拟
最新发布
2301_78439235的博客
07-11 1057
配置思路:vsys配置zone,zone里添加接口,接口配ip,vsys内配置安全策略permit all,vsys配置缺省路由到public,根墙配置安全策略允许1.100主机到 ,Vsys配置策略允许A,B部门访问server IP,通过配置虚拟系统,可让部署在云计算中心出口的FW具备云计算网关的能力,对不同租户流量进行隔离的同时提供安全防护能力。在虚拟系统这个特性中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务。配置G1/0/2接口区域,IP,virtual-if2区域,
华为防火墙虚拟系统实验
Ddfgxfgg的博客
10-26 2258
华为防火墙配置虚拟系统
华为防火墙虚拟系统案例分析(个人总结向)
qq_47529104的博客
03-28 4314
案例一 如图整个拓扑的架构如图所示,上面蓝色的是子虚拟系统1,它分配了一个物理接口g1/0/0,在虚拟系统1上面利用实现NAPT使得内网用户可以访问外网,同时在子虚拟系统1上面实现nat server使得192.168.0.1的服务器可以对外提供服务。 下面紫色的是子虚拟系统2,它也分配了一个物理接口g1/0/1,在虚拟系统2上面同样利用NAPT使得内网的主机可以访问外网,同时在虚拟系统使用no-reverse的nat server,使得内网主机可以被外部主机访问。 根系统的出口接口是g1.
华为虚拟系统
qq_47529104的博客
03-28 2677
概述 什么是虚拟系统,按照我的理解,虚拟系统就是防火墙上面的进程原先是一个进程在防火墙上面运作并执行相关安全职能,但现在我们可以通过创建多个进程,以防火墙的硬件基础从逻辑上虚拟化出多个执行防火墙安全职能的进程。通过主虚拟系统向子虚拟系统分配接口,vlan,策略数等等相关系统资源,使得子虚拟系统可以在被分配了一定的系统资源后独立的对这块系统资源进行管理。其主要的作用就好比一块大土地被分割成了多块小土地,然后每个人,每个管理员所管辖的范围也仅仅限于小土地,这就减少了管理的难度,和管理的事务量。 .
华为防火墙的学习
weixin_54111663的博客
03-12 2076
防火墙原理与基础配置,工作原理。以及trust,untrut,DMZ区域配置
华为防火墙双机热备-HRP
qq_32044265的博客
07-21 6996
为了实现主用设备出现故障时备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键配置命令和会话表等状态信息。为此华为防火墙引入了 HRP( Huawei Redundancy Protocol)协议,实现防火墙双机之间动态状态数据和关键配置命令的备份。...
华为官方HCIE安全培训PPT资料合集.zip
09-01
HC13031032 安全策略技术 HC13031033 NAT原理及应用 HC13031034 用户管理与认证技术 HC13031041 双机热备技术 HC13031042 防火墙虚拟化及带宽管理 HC13031051 网络攻击介绍 HC13031052 防火墙DDos攻击防范技术 HC...
安全防御设备---防火墙2
qq_52016943的博客
09-09 1363
防火墙
防火墙HA配置
悦分享
07-15 4636
高可靠性(HighAvailability),简称为HA,能够在通信线路或设备产生故障时提供备用方案,从而保证数据通信的畅通,有效增强网络的可靠性。实现HA功能,用户需要配置两台采用完全相同的硬件平台、固件版本,均启用VR及防病|毒功能、安装防病毒许可证的安全网关,组成HA簇。当一台设备不可用或者不能处理来自客户端的请求时,该请求会及时转到另外的可用设备来处理,这样就保证了网络通信的不间断进行,极大地提高了通信的可靠性。2、HA基础概念HA簇HA簇是实现HA功能的设备的组合。HA组HANode。...
华为云平台部署虚拟防火墙
08-31
华为云平台部署虚拟防火墙,详细介绍了如何上传镜像资源,怎么组网,怎么配置nat策略,实现内外网通信。 文档现在不可用了。不知道是csdn还是怎么回事。之前没有问题
防火墙NAT策略实验报告.docx
11-13
本文档介绍FW在典型项目中的应用及配置方法。本文档并不覆盖所有的场景,您可以以本文档所提供的案例为范本,自定义您的配置。 本文档适用于负责配置和管理防火墙设备的网络管理员。您应该熟悉以太网基础知识,且具有丰富的网络管理经验。
配置华为防火墙虚拟系统
2301_76769137的博客
12-29 922
步骤3:配置静态路由和策略,就能实现,实现路由可达,不同的虚拟系统通信,需要通过virtual-if接口通信,因此静态路由的下一跳,写虚拟系统的vpn实例即可。如图所示,在防火墙上创建两个虚拟系统,分别命名为vsysa、vsysb,PC1属于vsysa、PC2属于vsysb,最终实现PC1和PC2能够互相访问。步骤1:创建虚拟系统,并且将虚拟系统、根系统都视为独立的设备,将虚拟接口视为设备之间通信对应的接口,通过划分到对应的虚拟系统。3)配置一般设备间互访vsysb的思路ip地址(配置前注意退出到根系统
华为防火墙虚拟配置
weixin_33795833的博客
03-03 4399
Root Firewall配置如下system-viewsysname root-firewall #防火墙命名vlan batch 41 71 73 100 to 200 1000 to 2000 3001 to 3100 #创建vlaninterface eth-trunk 0 #创建聚合组0 (为HRP所使用)trunkport GigabitEthernet1/0/...
华为虚拟防火墙技术
weixin_44548030的博客
02-26 706
虚拟防火墙技术 vsys1 vsys2 互相访问技术
华为虚拟服务器系统,华为虚拟主机管理系统
weixin_36327582的博客
08-06 408
华为虚拟主机管理系统 内容精选换一换受保护环境是备份数据的来源,通常被称作生产端。当受保护环境增加至eBackup备份管理系统后,您可以对已增加的受保护环境执行查看、修改、删除等操作。VMware受保护环境添加至eBackup备份管理系统后,系统会自动获取虚拟机的信息,相关图标说明如表1所示。关于VMware受保护环境的中的对象定义以及之间的关联关系详细说明,请参见VMwaeBackup备份管理系...
华为防火墙vsys之虚拟防火墙配置
IT技术
01-11 3090
华为防火墙vsys之虚拟防火墙配置
华为防火墙NAT配置实验与技巧
第二步,配置防火墙NAT。需要配置NAT地址池,将内部私有地址转换为公网地址。同时配置NAT Server,将DMZ区域中的服务器的服务发布给外部用户。具体配置方法如下: ``` nat address-group 1 1.1.1.100 1.1.1.100 nat ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值