防火墙虚拟系统——引流表

已于 2023-12-25 12:51:49 修改
阅读量1.5k 收藏 22
点赞数 24
分类专栏: 华为防火墙USG实验 文章标签: 网络
于 2023-12-25 12:50:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssr_zz/article/details/135196979
版权

概览

在虚拟系统和根系统互访的场景中,虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务,虚拟系统和根系统都要配置策略、都会建立会话。这样,一方面增加了配置的复杂性,另一方面,每条连接都需要两条会话,业务量大时,会造成整机的会话资源紧张。通过配置引流表,可以解决上述问题。

报文命中引流表时,根系统不再按照防火墙转发流程处理报文,而是按路由表或引流表直接转发报文。因此,根系统中不需要为命中引流表的报文配置策略,根系统也不会为命中引流表的报文创建会话。

报文命中引流表分为正向命中和反向命中两种情况:

  • 正向命中:根系统发往虚拟系统的报文,目的地址匹配引流表中的“Destination Address”,则报文正向命中引流表。报文正向命中引流表时,根系统按引流表转发报文,将报文送入命中的表项对应的“Destination Instance”中处理。

  • 反向命中:虚拟系统发往根系统的报文,源地址匹配引流表中的“Destination Address”,源虚拟系统匹配引流表中的“Destination Instance”,则报文反向命中引流表。报文反向命中引流表时,根系统按路由表转发报文。

拓扑图

配置

  • 开启虚拟系统
  • 虚拟系统创建
  • 虚拟系统分配接口及资源类限制
  • 根系统及虚拟系统接口IP配置、接口加入安全区域
sysname FW1
#
vsys enable
resource-class res_cls
 resource-item-limit session reserved-number 100 maximum 500
 resource-item-limit session-rate 100
 resource-item-limit bandwidth 5 entire
#
vsys name C1 1
 assign interface GigabitEthernet1/0/1
 assign resource-class res_cls
#
vsys name C2 2
 assign interface GigabitEthernet1/0/2
 assign resource-class res_cls
#
interface GigabitEthernet1/0/0
 ip address 10.1.100.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface Virtual-if0
#
switch vsys C1
#
sy
#
interface GigabitEthernet1/0/1
 ip address 10.1.10.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 add interface Virtual-if1
#
security-policy
 rule name local->any
  source-zone local
  action permit
#
switch vsys C2
#
sy
#
interface GigabitEthernet1/0/2
 ip address 10.1.20.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/2
#
firewall zone untrust
 add interface Virtual-if2
#
security-policy
 rule name local->any
  source-zone local
  action permit
#
sysname SW1
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/23
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 20
#

虚拟系统与根系统互通

配置引流表

根系统上配置引流表

FW1:

 firewall import-flow public 10.1.10.0 10.1.10.255 vpn-instance C1
 firewall import-flow public 10.1.20.1 10.1.20.254 vpn-instance C2
#

配置命令后按Y继续

查看引流表配置

查看指定IP地址的引流表信息

虚拟系统上配置路由及安全策略

在虚墙C1上配置路由及安全策略

FW1:

switch vsys C1
#
sy
#
security-policy
 rule name trust->untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
  rule name untrust->trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.100.0 mask 255.255.255.0
  destination-address 10.1.10.0 mask 255.255.255.0
  action permit
#
ip route-static 10.1.100.0 255.255.255.0 public
#

查看C1的路由表

在虚墙C2上配置路由及安全策略

switch vsys C2
#
sy
#
security-policy
 rule name trust->untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.20.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
 rule name untrust->trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.100.0 mask 255.255.255.0
  destination-address 10.1.20.0 mask 255.255.255.0
  action permit
#
ip route-static 10.1.100.0 255.255.255.0 public
#

查看C2的路由表

测试

server ping PC1,可以通信

转发流程,正向命中引流表

查看会话情况

可以看到,根墙上没有创建会话,虚墙C1上创建会话

PC1 ping Server,可以通信

转发流程,反向命中引流表

查看会话情况

可以看到,根墙上没有创建会话,虚墙C1上创建会话

PC2与Server间的通信原理同上

虚拟系统C1与C2跨越根系统互通

虚墙C1上配置路由及安全策略

  • C1访问C2的路由指向根系统public

FW1-C1:

switch vsys C1
#
sy
#
security-policy
 rule name trust->untrust
  destination-address 10.1.20.0 mask 255.255.255.0
 rule name untrust->trust
  source-address 10.1.20.0 mask 255.255.255.0
#
ip route-static 10.1.20.0 255.255.255.0 public
#

虚墙C2上配置路由及安全策略

  • C2访问C1的路由指向根系统public

FW1-C2:

switch vsys C2
#
sy
#
security-policy
 rule name trust->untrust
  destination-address 10.1.10.0 mask 255.255.255.0
 rule name untrust->trust
  source-address 10.1.10.0 mask 255.255.255.0
#
ip route-static 10.1.10.0 255.255.255.0 public
#

测试

PC1 ping PC2

转发流程,PC1查找路由表,将报文发送给根系统Public,根系统正向命中引流表,将报文直接送入Destination Instance C2中查找路由表处理。根系统不会建立会话。

查看会话情况

可以看到,根墙上没有创建会话,虚墙C1、C2上创建会话

PC2 ping PC1同理

SSR_ZZ
关注
专栏目录
2016阿里云121款产品和解决方案全向图(9月制)
科技D人生
10-09 5093
2016阿里云121款产品和解决方案全向图(9月制) 摘要: 云栖社区在9月底又更新了“2016阿里云产品全向图和解决方案全向图”。 导语:DT时代,一切都将走向数据化,可视化。在阿里云所阐述的“技术拓展商业的边界,商业驱动技术的变革”理念中,密集发布的新技术与产品让业内更加震撼,让用户更为惊喜。阿里云逐步实现了“将计算能力变成像水电一样的基础设施”的目标,走向“为了无法计算的价值”。
HCIE-Security Day17:防火墙双机热备实验(五):防火墙旁挂交换机,交换机静态路由引流
小梁的博客
02-19 1万+
双机热备比较常见的是旁挂部署在数据中心核心交换机上,且两台防火墙之间形成双机热备。 目录 旁挂组网的优点 实验五:防火墙旁挂交换机,交换机静态路由引流 需求和拓扑 操作步骤 1、公网部分 2、防火墙部分 3、核心交换部分 4、汇聚交换部分 5、接入交换部分 验证和分析 旁挂组网的优点 1、可以在不改变现有网络物理拓扑的情况下,将防火墙部署到网络中。 2、可以有选择低将通过核心交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行...
防火墙学习6---引流(跟系统虚拟系统通过引流互访)
weixin_48030849的博客
05-16 883
虚拟系统和根系统互访的场景中,虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务,虚拟系统和根系统都要配置策略、都会建立会话。这样,一方面增加了配置的复杂性,另一方面,每条连接都需要两条会话,业务量大时,会造成整机的会话资源紧张。通过配置引流,可以解决上述问题。引流中记录的是IP地址和虚拟系统的归属关系。如下的引流示10.3.0.8这个IP地址属于虚拟系统vsysa。其中,第一个10.3.0.8是这个网段的起始地址,第二个10.3.0.8是这个网段的结束地址。
华为防火墙虚拟系统引流存在的问题
qq_47529104的博客
03-29 964
虚拟系统中的引流帮助根系统简化了静态路由的创建,同时还节省了会话资源,但是它也存在着问题。那么是什么问题? 在nat server中,如果根系统对nat server的流量进行了转换后,如果根系统仅有对应的引流,那么根系统也不会将该流量进行转发,为什么?因为在经过nat server的转换后,该流量已经错过了匹配引流的机会了,所以在这种情况下,引流将不会生效,同时在IPsec中也有一样的问题,当IPsec的流量到达防火墙并进行解封后,同样也不会匹配引流,原因也是和nat server一样。
防火墙学习3---防火墙旁挂交换机,交换机静态路由引流(主备部署)
weixin_48030849的博客
05-13 2585
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。
防火墙旁挂新型引流方案
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
03-13 2858
核心设备创建多VPN实例隔离不同通信域,在防火墙完成不同VRF路由交叉,完成引流
防火墙虚拟系统
weixin_43815178的博客
07-01 1116
虚拟系统具有以下特点: 1.管理独立:每个虚拟系统由独立的管理员进行管理,适合大规模的组网环境。 2.项独立:每个虚拟系统拥有独立的配置及路由项,这使得虚拟系统下的局域网即便使 用相同的地址范围,仍可以正常进行通信。 3.资源固定:可以为每个虚拟系统分配固定的系统资源,不会互相影响。 4.流量隔离:虚拟系统之间的流量相互隔离,更加安全。需要时,可以进行安全互访。 5.虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。 防火墙上存在两种类型的虚拟系统: 根系统
02-防火墙介绍
qianlai22的博客
03-04 5323
包过滤防火墙 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列(ACL,Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。(五元组:源IP地址,源端口,目的IP地址,目的端口和传输层协议) 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要现以下几点: 随着ACL复杂度和长度的增加,其过滤性能呈
Agile Controller系列——业务编排
热门推荐
weixin_42559627的博客
07-06 2万+
业务编排基本概念: ACL:访问控制列(AccessControl List),是一系列有顺序的规则组的集合,这些规则根据数据包的源地址、目的地址、端口号等来描述。 UCL:用户控制列(UserControl List),是针对用户级别的ACL控制,使用数据包的源安全组、目的安全组、端口号等内容定义规则。 业务流:符合指定特征(ACL或者UCL规则)的网络流量。 编排设备:对业务流进行...
超详细零信任市场解读
weixin_43909140的博客
05-26 5790
零信任 零信任的特点: “信任”等于“权限”,零信任的实质是通过在网络中消除未经验证的隐含信任 构建安全的业务访问环境。“从不信任,始终验证”是零信任的核心思想,权限最小化是基本原则,在不可信 网络中构建安全系统是零信任的终极目标。 不再以一个清晰的边界,来划分信任或不信任的设备。(强调无边界); 不再有信任或不信任的网络(不分内外网); 不再有信任或不信任的用户(一次认证、静态认证或只靠认证是不可靠的); 不做任何假定,不信任任何人愿,随时检查一切,防...
[渝粤教育] 沈阳理工大学 电子商务基础与应用 参考 资料
渝粤题库
03-16 2312
教育 -电子商务基础与应用-章节资料考试资料-沈阳理工大学【】 随堂测验 1、【单选题】电子商务的核心是( )。 A、信息系统 B、互联网 C、人 D、物流 参考资料【 】 2、【多选题】电子商务的对象是( )。 A、生产 B、分配 C、交换 D、消费 参考资料【 】 3、【判断题】电子商务随着互联网的产生而产生,随着互联网的发展而发展。 A、正确 B、错误 参考资料【 】 随堂测验 1、【判断题】电子商务具有封闭性的特点。 A、正确 B、错误 参考资料【
华为虚拟系统
qq_47529104的博客
03-28 2728
概述 什么是虚拟系统,按照我的理解,虚拟系统就是防火墙上面的进程原先是一个进程在防火墙上面运作并执行相关的安全职能,但现在我们可以通过创建多个进程,以防火墙的硬件基础从逻辑上虚拟化出多个执行防火墙安全职能的进程。通过主虚拟系统向子虚拟系统分配接口,vlan,策略数等等相关系统资源,使得子虚拟系统可以在被分配了一定的系统资源后独立的对这块系统资源进行管理。其主要的作用就好比一块大土地被分割成了多块小土地,然后每个人,每个管理员所管辖的范围也仅仅限于小土地,这就减少了管理的难度,和管理的事务量。 .
IGP高级特性---OSPF多进程+防火墙虚拟系统引流
Ddfgxfgg的博客
02-26 2551
OSPF多进程,防火墙引流防火墙虚拟系统
防火墙——虚拟系统理论讲解
m0_49864110的博客
04-23 5755
当根系统去访问虚拟系统时,如果目的地址匹配到引流“Destination Address”字段,正向命中引流,根系统就按照引流转发报文,将报文送到对应虚拟系统。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。当虚拟系统未开启时,管理员对FW的配置就是对根系统的配置,FW的管理员就是根系统的管理员。当虚拟系统开启时,根系统会继承先前FW的配置,FW上已有的管理员将成为根系统的管理员。
设备旁挂--策略路由引流
小簸箕
03-08 1364
策略路由 引流 旁挂
防火墙旁挂,策略路由引流
weixin_34001430的博客
04-04 1万+
1、案例拓扑图 2、核心设备AR2的主要配置 2.1AR2#acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 //匹配需要过滤的路由#traffic classifier liu operator orif-match acl 2000#traffic behavior liuredirect ip-nexthop 2.1.1...
虚拟防火墙
最新发布
m0_73245452的博客
05-29 98
同时,通过使用虚拟防火墙的CPU资源虚拟化技术,数据中心还可以为客户定量出租虚拟防火墙,例如,可以向某些客户出租10M吞吐量的虚拟防火墙,而向另一些客户出租100M吞吐量的虚拟防火墙。同时,CPU资源虚拟化可隔离虚拟防火墙之间的故障,当单个虚拟防火墙受到攻击或资源耗尽时,其它虚拟防火墙不会受到影响,这样就大大提升了各业务的综合可用性。互联网出口较少或者单一时,比较适合使用的是内网物理接口专有、外网物理接口共享的组网方案,各非根虚拟防火墙专有自己的内网物理接口,防火墙在部署过程中不影响交换机的原有配置。
广域网革命者|穿透灵魂的SD-WAN解决方案
山石网科的博客
08-25 771
目 录 1.医联体发展简介 1.1.医联体的概念及目标 1.2.医联体的组织形式 1.3.医联体的建设进展 2.医联体网络建设现状与挑战 2.1.当前医联体网络现状 2.1.1.专线投入成本高 2.1.2.网络运维管理难 2.1.3.业务链路质量差 2.1.4.安全能力弱 2.2.新型医联体WAN组网需要具备哪些特性? 2.3.医联体WAN组网转型方案——SD-WAN 3.山石网科SD-WAN解决方案 3.1.方案架构设计 3.2.方案价值 3.2.1.【成本】.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值