华为安全vsys nat 访问

最新推荐文章于 2024-04-22 00:48:13 发布
最新推荐文章于 2024-04-22 00:48:13 发布
阅读量408 收藏 2
点赞数
文章标签: 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44548030/article/details/129229163
版权

1拓扑

pc2 放在vsys1 pc1 流量的过程 pc2----vsys1--root----pc1

pc3 也是如此 也就是说各自的流量先经过虚拟防火墙,再经过root

2 配置

关键配置1

vsys enable

resource-class r0

resource-class 1

#

#

vsys name vsys1 1

assign interface GigabitEthernet1/0/1

assign resource-class 1

#

vsys name vsys2 2

assign interface GigabitEthernet1/0/2

assign resource-class 1

#

vsys name vsys3 3

assign interface GigabitEthernet1/0/3

assign resource-class 1

创建虚拟墙,关联相关的接口

2.1 vsys 的配置

#

interface GigabitEthernet1/0/1

undo shutdown

ip binding vpn-instance vsys1

ip address 192.168.10.1 255.255.255.0

service-manage http permit

service-manage https permit

service-manage ping permit

service-manage ssh permit

service-manage telnet permit

#

interface Virtual-if1

#

sa

#

firewall zone local

set priority 100

#

firewall zone trust

set priority 85

add interface GigabitEthernet1/0/1

#

firewall zone untrust

set priority 5

add interface Virtual-if1

#

#

security-policy

rule name neibu

source-zone local

source-zone trust

destination-zone local

destination-zone trust

source-address 192.168.10.0 mask 255.255.255.0

destination-address 192.168.10.0 mask 255.255.255.0

destination-address 192.168.11.0 mask 255.255.255.0

action permit

rule name shangwang

source-zone trust

destination-zone untrust

source-address 192.168.10.0 mask 255.255.255.0

action permit

#

auth-policy

#

traffic-policy

#

policy-based-route

#

nat-policy

#

quota-policy

#

pcp-policy

#

ip route-static 0.0.0.0 0.0.0.0 public

#

2.2 vsys2的配置

同上

2.3 root 根墙的配置

#

interface GigabitEthernet1/0/0

undo shutdown

ip address 10.1.1.1 255.255.255.0

service-manage http permit

service-manage https permit

service-manage ping permit

service-manage ssh permit

service-manage snmp permit

service-manage telnet permit

#

#

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

add interface Virtual-if0

#

firewall zone untrust

set priority 5

add interface GigabitEthernet1/0/0

#

firewall zone dmz

set priority 50

#

ip route-static 0.0.0.0 0.0.0.0 10.1.1.2

ip route-static 192.168.10.0 255.255.255.0 vpn-instance vsys1

#

security-policy

rule name wai

source-zone local

source-zone untrust

destination-zone local

destination-zone untrust

source-address 10.1.1.0 mask 255.255.255.0

destination-address 10.1.1.0 mask 255.255.255.0

action permit

rule name shangwang

source-zone trust

destination-zone untrust

source-address 192.168.10.0 mask 255.255.255.0

action permit

#

auth-policy

#

traffic-policy

#

policy-based-route

#

nat-policy

rule name shangwang

source-zone trust

destination-zone untrust

source-address 192.168.10.0 mask 255.255.255.0

action source-nat easy-ip

#

3 总结

1 配置虚拟墙 关联相关接口,配置虚拟墙上的安全域,接口服务等等

2 有个细节 vsys1 对应的vif1 接口 vsys2 对应的vif2

public 对应的vif0

3 流量的方向 都是先经过vsys 再经过root 所以再虚拟墙上的路由一定要指向public

4 pc2 要上外网 那么策略要再vsys1 和public 上分别做

5 验证流量有没有成功

[fw1]display firewall session table

2023-02-26 09:49:23.320

Current Total Sessions : 40

icmp VPN: public --> public 192.168.10.2:8235[10.1.1.1:2951] --> 10.1.1.2:204

8

icmp VPN: public --> public 10.1.1.2:6187 --> 10.1.1.1:2048

icmp VPN: public --> public 10.1.1.2:5675 --> 10.1.1.1:2048

icmp VPN: public --> public 192.168.10.2:9771[10.1.1.1:2957] --> 10.1.1.2:204

8

icmp VPN: public --> public 192.168.10.2:6443[10.1.1.1:2944]

这个说明再root 墙上有路由进行转换了

认真学习,报效祖国
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
叶胜超:V SYSTEMS(VSYS)--人人可发币的公链项目!
qq_42115016的博客
07-16 2779
01 项目简介 V SYSTEMS:代币:VSYS,由PoS之父Sunny King创建的区块链数据库云,采用面向对象的方式存储,拥有支撑高并发、高效索引等区块链数据使用场景的能力,可以支撑未来大规模面向社会的去中心化工业级应用。 VSYS对标区块链的亚马逊云,它是ZB交易所LaunchPad上的第一个项目,被ZB公开称为下一个以太坊,被全球知名Staking网站评为与Tezos、Eos、Dash...
华为防火墙虚拟系统间互访
wenhe0119的博客
10-21 2976
华为防火墙虚拟系统间互访配置
华为虚拟系统的相关配置
qq_47529104的博客
03-29 1158
vsys enable //开启虚拟系统 resource-class xxx //创建资源类 在资源类视图:resource-item-limit xxx 可分配的资源如上图所示,上面的资源都是手工资源,即可以手工分配的资源,还有一些资源是不能手工分配的,称为定额分配,比如默认的安全区域,每个虚拟子系统都有默认的4个安全区域。还有共享抢占资源,它们是全部的虚拟子系统共享的,比如ARP表,server-map表,MAC地址表。 下面是各个手工分配可选项的含义: 会话数 //会话的数量.
华为防火墙vsys高级用法
最新发布
04-22 1191
华为防火墙vsys高级用法
ISIS的vsys(虚拟系统)
qq_58405021的博客
06-07 757
ISIS的虚拟系统分片
VSYS区块链白皮书
qq_28076275的博客
03-28 4226
背景 技术在不断发展。互联网的诞生,可以说是历史上最具革命性的事件之一。互联网的诞生才30年左右,但是在很短的时间内,它已经从大型计算机进化到全球数十亿人手中的微型智能手机。多年来,其他技术领域例如人工智能和量子技术也有了显著的进展。尽管这些新技术存在不同的差异,但是在获得大规模应用之前或者获得大量开发资源之前,都曾是各种各样批评的对象。 中本聪在2008年发布的比特币也一样受到各种各样的批评。...
华为防火墙虚拟子系统
m0_72155191的博客
11-23 1086
FW1-vsys-vsysa]assign interface g1/0/0 ##将给接口G1/0/0绑定到虚拟系统vsysa。可以看到下面的vsysa的路由表下多了去12.1.1.0的这个网段的静态路由。可以看到下面的vsysa的路由表下多了去11.1.1.0的这个网段的静态路由。[FW1]vsys name vsysa ##创建虚拟系统vsysa。[FW1]vsys enable ##使能虚拟系统的功能。虚拟系统实在防火墙上划分出来的,独立运行的逻辑设备。配置vsysa的防火墙策略。
华为 USG6000, USG9500, NGFW Module V500R005C20 RESTCONF API 开发指南
09-16
HUAWEI USG6000, USG9500, NGFW Module V500R005C20 RESTCONF API 开发指南
防火墙虚拟系统
jc1112323的博客
10-09 2030
虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备。
华为防火墙虚拟系统实验
Ddfgxfgg的博客
10-26 2098
华为防火墙配置虚拟系统
配置华为防火墙NAT功能
杨奇的博客
06-24 3047
Web配置NAT功能: 命令行配置NAT功能: [FW1]nat-policy //配置NAT策略 [FW1-policy-nat]rule name trust_ISP //策略名称 [FW1-policy-nat-rule-trust_ISP]source-zone trust //配置源区域为trust [FW1-policy-nat-rule-trust_ISP]egress-interface GigabitEthernet 1/0/2 //配置出接口为G1
防火墙——虚拟系统理论讲解
m0_49864110的博客
04-23 5384
当根系统去访问虚拟系统时,如果目的地址匹配到引流表“Destination Address”字段,正向命中引流表,根系统就按照引流表转发报文,将报文送到对应虚拟系统。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。当虚拟系统未开启时,管理员对FW的配置就是对根系统的配置,FW的管理员就是根系统的管理员。当虚拟系统开启时,根系统会继承先前FW的配置,FW上已有的管理员将成为根系统的管理员。
华为ENSP之防火墙虚墙实际运用
m0_73406895的博客
09-25 2115
a.交换机创建VLAN,VLANif,配置接口类型,绑定实例。实例OA内用户流量去PC1,走防火墙过滤。b.防火墙放通VLAN,创建虚墙,绑定实例,放通虚墙策略。此时交换机全局下有1.1.1.0/24路由。2.2.2.0/24的路由在实例OA里。c.通过ospf互通路由。上下联路由都在虚墙上。都学到了对方的路由。
(python版)《剑指Offer》JZ57:二叉树的下一个结点
sinat_29950703的博客
12-07 238
我们以上图为例进行讲解,上图二叉树的中序遍历是d,b,h,e,i,a,f,c,g。我们以这棵树为例来分析如何找出二叉树的下一个结点。 如果一个结点有右子树,那么它的下一个结点就是它的右子树的最左子结点。也就是说从右子结点出发一直沿着指向左子树结点的指针,我们就能找到它的下一个结点。例如,图中结点b的下一个结点是h,结点a的下一个结点是f。 接着我们分析一下结点没有右子树的情形。如果结点是它父结点的左子结点,那么它的下一个结点就是它的父结点。例如,途中结点d的父节点(next)是b,f的父节点(n..
防火墙入侵与检测 day06 防火墙虚拟系统
果子哥丶的博客
05-28 1182
虚拟系统简介、 虚拟系统实现原理( 虚拟系统分流方式、 虚拟系统互访原理)、 虚拟系统配置部署、 *额外知识:GRE隧道传输
虚拟防火墙
qq_42520918的博客
08-20 1361
虚拟防火墙:管理独立,表项独立,资源固定,流量隔离, 虚拟系统资源分配:定额分配(SSL VPN,安全区域分配8个,4个缺省安全区域),手工分配(会话数,用户数,用户组,策略数,)手工分配指定保定值,最大值 两种方式:web,命令行创建。 vsys enable vsys name A //创建虚拟防火墙A, assign interface G1/0/2 给虚拟防火墙A指定接口。 switch vsys A //进入虚拟防火墙A 虚拟防火墙分流:基于接口分流: 虚拟防火墙和根墙怎么连接:vi.
ensp防火墙配置虚拟系统
09-19
切换虚拟系统的配置命令如下:switch vsys VSYSA。 在eNSP中,使用华为USG6000系列防火墙模拟器可以实现防火墙虚拟系统的资源配置和管理功能。要进行防火墙虚拟系统的配置,您需要具备一定的防火墙基础知识。如果您...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值