概述
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。 防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。
防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有SPU(Service Processing Unit),用于实现防火墙的安全功能。
基本概念
安全区域
安全区域(Security Zone),简称为区域(Zone),是防火墙的重要概念。防火墙大部分的安全策略都基于安全区域实施。
一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性。
默认安全区域
华为防火墙确认已创建四个区域,untrust、dmz、trust和local区域。安全区域有以下特性:
1 默认的安全区域不能删除,也不允许修改安全优先级。
2 每个Zone都必须设置一个安全优先级(Priority),值越大,则Zone的安全优先级越高。
3 用户可根据自己的需求创建自定义的Zone。
| 区域名称 | 默认安全优先级 |
| 非受信区域(untrust) | 低安全级别区域,优先级为5。 |
| 非军事化区域(dmz) | 中等安全级别区域,优先级为50。 |
| 受信区域(trust) | 较高安全级别区域,优先级为85。 |
| 本地区域(local) | Local区域定义的是设备本身,例如设备的接口。Local区域是最高安全级别区域,优先级为100。 |
相关命令
创建并进入安全区域视图
[FW1]firewall zone ?
dmz Specify dmz security zone
local Specify local security zone
name Indicate a security zone name to be created or deleted
trust Specify trust security zone
untrust Specify untrust security zone将接口加入到安全区域
[FW1-zone-trust]add interface GigabitEthernet 1/0/1配置自定义安全区域的优先级
[FW1-zone-qyt]set priority 20查看安全区域信息
<FW1>display zone
2023-03-24 08:32:56.260
local
priority is 100
interface of the zone is (0):
#
trust
priority is 85
interface of the zone is (2):
GigabitEthernet0/0/0
GigabitEthernet1/0/1
#
untrust
priority is 5
interface of the zone is (1):
GigabitEthernet1/0/6
#
dmz
priority is 50
interface of the zone is (1):
GigabitEthernet1/0/0
#安全策略
安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。
当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。如果条件匹配,则此流量被执行对应的动作。
安全策略组成
安全策略的组成有匹配条件、动作和安全配置文件(可选)。安全配置文件实现内容安全。
安全策略动作如果为“允许”则可配置安全配置文件,如果为“禁止”则可配置反馈报文。
动作说明
允许:如果动作为“允许”,则对流量进行如下处理:
如果没有配置内容安全检测,则允许流量通过。
如果配置内容安全检测,最终根据内容安全检测的结论来判断是否对流量进行放行。内容安全检测包括反病毒、入侵防御等,它是通过在安全策略中引用安全配置文件实现的。如果其中一个安全配置文件阻断该流量,则防火墙阻断该流量。如果所有的安全配置文件都允许该流量转发,则防火墙允许该流量转发。
禁止:表示拒绝符合条件的流量通过。
如果动作为“禁止”,防火墙不仅可以将报文丢弃,还可以针对不同的报文类型选择发送对应的反馈报文。发起连接请求的客户端/服务器收到防火墙发送的阻断报文后,可以快速结束会话并让用户感知到请求被阻断。
Reset客户端:防火墙向TCP客户端发送TCP reset报文。
Reset服务器:防火墙向TCP服务器发送TCP reset报文。
ICMP不可达:FW向报文客户端发送ICMP不可达报文。
安全策略的匹配过程
当配置多条安全策略规则时,安全策略的匹配按照策略列表的顺序执行,即从策略列表顶端开始逐条向下匹配。如果流量匹配了某个安全策略,将不再进行下一个策略的匹配。
安全策略的配置顺序很重要,需要先配置条件精确的策略,再配置宽泛的策略。
系统默认存在一条缺省安全策略default。缺省安全策略位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作默认为禁止。如果所有配置的策略都未匹配,则将匹配缺省安全策略default。
相关命令
允许管理员通过ping访问设备
[FW1-GigabitEthernet1/0/1]service-manage ping permit进入安全策略视图
[FW1]security-policy配置缺省安全策略default的动作
[FW1-policy-security]default action ?
deny Indicate the rule action deny
permit Indicate the rule action permit创建并进入安全策略规则
[FW1-policy-security]rule name td配置安全策略规则的源安全区域
[FW1-policy-security-rule-td]source-zone trust配置安全策略规则的目的安全区域
[FW1-policy-security-rule-td]destination-zone dmz配置安全策略规则的源地址
[FW1-policy-security-rule-td]source-address 192.168.1.0 mask 255.255.255.0配置安全策略规则的目的地址
[FW1-policy-security-rule-td]destination-address 10.1.1.0 mask 255.255.255.0配置安全策略规则的服务
[FW1-policy-security-rule-td]service icmp配置安全策略规则的动作
[FW1-policy-security-rule-td]action permit查看安全策略规则的配置信息
<FW1>display security-policy rule all
2023-03-26 12:48:54.580
Total:4
RULE ID RULE NAME STATE ACTION HITS
-------------------------------------------------------------------------------
1 td enable permit 44
2 dt enable permit 2
5 tu enable permit 30
0 default enable deny 5
-------------------------------------------------------------------------------
创建自定义服务并进入视图添加成员
[FW1]ip service-set qyt type object 16
[FW1-object-service-set-qyt]service protocol tcp destination-port 3389会话表
会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据。
防火墙采用了基于“状态”的报文控制机制:只对首包或者少量报文进行检测就确定一条连接的状态,大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表,来判断该报文所属的连接并采取相应的处理措施。
相关命令
查看会话表
<FW1>display firewall session table
2023-03-26 10:11:38.820
Current Total Sessions : 5
icmp VPN: public --> public 192.168.1.1:26906 --> 10.1.1.1:2048
icmp VPN: public --> public 192.168.1.1:27162 --> 10.1.1.1:2048
icmp VPN: public --> public 192.168.1.1:27674 --> 10.1.1.1:2048
icmp VPN: public --> public 192.168.1.1:26650 --> 10.1.1.1:2048
icmp VPN: public --> public 192.168.1.1:27418 --> 10.1.1.1:2048查看会话表的详细信息
<FW1>display firewall session table verbose
2023-03-26 10:18:18.250
Current Total Sessions : 5
icmp VPN: public --> public ID: c387f03ffe9a48847164201be5
Zone: trust --> dmz TTL: 00:00:20 Left: 00:00:14
Recv Interface: GigabitEthernet1/0/1
Interface: GigabitEthernet1/0/0 NextHop: 10.1.1.1 MAC: 5489-98ae-7983
<--packets: 1 bytes: 60 --> packets: 1 bytes: 60
192.168.1.1:63515 --> 10.1.1.1:2048 PolicyName: td会话表的创建和包处理过程
防火墙状态检测开启情况下,流量的首包会创建会话表项,后续包即可直接匹配会话表项。
会话表的老化时间与长连接
防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。
但是对于某些特殊业务中,一条会话的两个连续报文可能间隔时间很长。例如:
1 用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文。
2 用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间。
此时如果其会话表项被删除,则该业务会中断。长连接(Long Link)机制可以给部分连接设定超长的老化时间,有效解决这个问题。
多通道协议在防火墙上的问题
如果在防火墙上配置严格的单向安全策略,那么防火墙将只允许业务单方向发起访问。这会导致一些特殊的协议无法工作,例如FTP。
FTP主动模式传输文件时,首先需要客户端主动向服务器端发起控制连接,然后需要服务器端向客户端发起数据连接。如果设备上配置的安全策略仅允许客户端报文单方向通过,则FTP文件传输不能成功。
同FTP,通信过程中需占用两个或两个以上端口的协议被称为多通道协议。多通道协议都需要考虑此类问题。
ASPF与Server-map
为了解决多通道协议的问题,防火墙需要识别协议在应用层协商的地址和端口。这需要开启ASPF (Application Specific Packet Filter,针对应用层的包过滤)功能。
ASPF也称作基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,即生成Server-map表。
Server-map表也记录了类似会话表中连接的状态。Server-map表中的信息相对简单,是简化的会话表,在真实流量到达前生成。在流量真实到达防火墙时,防火墙会基于Server-map表生成会话表,然后执行转发。
开启ASPF解决多通道协议问题,是生成Server-map表的一种方式。
注意:ASPF和ALG功能使用的是同一个配置,只是不同场景下FW对报文的处理不同,因而叫法不同。非NAT场景下叫ASPF,NAT场景下叫ALG。
Server-map表与简化的包转发过程
当防火墙接收到一个报文且没有命中会话表时,防火墙进入首包处理流程,查询是否有命中的Server-map表。如果有,则会生成会话表转发报文;如果没有,则执行其他包处理过程。
相关命令
创建并进入安全域间视图
[FW]firewall interzone trust dmz 配置域间ASPF/ALG功能
[FW-interzone-trust-dmz]detect ftp 查看server-map表信息
[FW]display firewall server-map 配置举例:基本防火墙组网
需求
1 总部员工通过防火墙访问FTP服务器、ISP运营商
2 总部管理员通过防火墙管理SW1接入交换机、SW2接入交换机
3 分部管理员通过防火墙管理SW2接入交换机
配置步骤
1 配置交换机vlan、各设备接口ip、默认路由(FW、SW1、SW2、R1、R2)
2 配置交换机远程管理,允许总部管理员访问SW1和SW2,允许分部管理员访问SW2
2 在防火墙上将接口划分到安全区域
3 在防火墙上配置NAT策略:总部员工-Untrust,允许服务ICMP
4 在防火墙上配置安全策略:总部员工-Untrust,允许服务ICMP
5 在防火墙上配置安全策略:总部员工-FTP服务器,允许服务ICMP、FTP
6 在防火墙上配置安全策略:qyt-DMZ、qyt-Trust、Untrust-Trust,允许服务telnet
主要配置
FW主要配置
#
sysname FW
#
interface GigabitEthernet1/0/0 //配置防火墙各接口IP
undo shutdown
ip address 10.1.1.1 255.255.255.252
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 20.2.2.1 255.255.255.252
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 202.100.1.1 255.255.255.252
#
interface GigabitEthernet1/0/6
undo shutdown
ip address 192.168.3.1 255.255.255.252
#
firewall zone trust //将各接口划分到安全区域
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/0
#
firewall zone name qyt id 4
set priority 20
add interface GigabitEthernet1/0/6
#
firewall interzone trust dmz //配置trust与DMZ区域间的ASPF
detect ftp
#
ip route-static 0.0.0.0 0.0.0.0 202.100.1.2 //配置默认路由、静态路由
ip route-static 192.168.1.0 255.255.255.252 GigabitEthernet1/0/0 10.1.1.2
ip route-static 192.168.2.0 255.255.255.0 GigabitEthernet1/0/1 20.2.2.2
#
nat server 0 protocol tcp global 202.100.1.1 1234 inside 20.2.2.2 telnet //开启映射
#
security-policy //配置安全策略
rule name td //总部员工-FTP服务器,允许服务ICMP、FTP
source-zone trust
destination-zone dmz
source-address 192.168.2.0 mask 255.255.255.0
destination-address 192.168.1.0 mask 255.255.255.252
service ftp
service icmp
action permit
rule name qd //qyt-dmz,允许服务telnet
source-zone qyt
destination-zone dmz
service telnet
action permit
rule name qt //qyt-trust,允许服务telnet
source-zone qyt
destination-zone trust
service telnet
action permit
rule name tu //总部员工-Untrust,允许服务ICMP
source-zone trust
destination-zone untrust
source-address 192.168.2.0 mask 255.255.255.0
service icmp
action permit
rule name ut //Untrust-Trust,允许服务telnet
source-zone untrust
destination-zone trust
service telnet
action permit
#
nat-policy //配置NAT策略
rule name qyt //总部员工-Untrust,允许服务ICMP
source-zone trust
destination-zone untrust
source-address 192.168.2.0 mask 255.255.255.0
service icmp
action source-nat easy-ip
#SW1配置
#
sysname SW1
#
vlan batch 10 to 11
#
acl number 3000 //配置高级ACL,允许总部管理员访问
rule 5 permit ip source 192.168.3.2 0 destination 10.1.1.2 0
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.252
#
interface Vlanif11
ip address 192.168.1.2 255.255.255.252
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 11
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 //配置默认路由
#
user-interface con 0
user-interface vty 0 4
acl 3000 inbound //在入方向应用ACL
user privilege level 15
set authentication password cipher 7,51LkW5^M/(]>4l=GBP$Ec# //配置认证方式
#SW2配置
#
sysname SW2
#
vlan batch 20 to 21
#
acl number 3000 //配置高级ACL,允许总部管理员和分部管理员访问
rule 5 permit ip source 192.168.3.2 0 destination 20.2.2.2 0
rule 10 permit ip source 202.100.1.6 0 destination 20.2.2.2 0
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher ]X@2F`P=.LEI>,Z,88J\:Q!! //配置认证密码
local-user admin service-type telnet //配置支持服务
#
interface Vlanif20
ip address 20.2.2.2 255.255.255.252
#
interface Vlanif21
ip address 192.168.2.2 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 21
#
ip route-static 0.0.0.0 0.0.0.0 20.2.2.1
#
user-interface con 0
user-interface vty 0 4
acl 3000 inbound //在入方向应用ACL
authentication-mode aaa //配置认证方式
user privilege level 15
#R1配置
#
sysname R1
#
interface GigabitEthernet0/0/0
ip address 192.168.3.2 255.255.255.252
#
ip route-static 0.0.0.0 0.0.0.0 192.168.3.1 //配置默认路由
#R2配置
#
sysname R2
#
interface GigabitEthernet0/0/0
ip address 202.100.1.6 255.255.255.252
#
ip route-static 0.0.0.0 0.0.0.0 202.100.1.5 //配置默认路由
#
ISP配置
#
sysname ISP
#
interface GigabitEthernet0/0/0
ip address 202.100.1.2 255.255.255.252
#
interface GigabitEthernet0/0/1
ip address 202.100.1.5 255.255.255.252
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
#
FTP服务器配置
测试成果
测试:总部员工通过防火墙访问FTP服务器(ICMP、FTP)
测试:总部员工通过防火墙访问ISP运营商 (ICMP)
测试:总部管理员通过防火墙管理SW1接入交换机 (Telnet)
测试:总部管理员通过防火墙管理SW2接入交换机 (Telnet)
测试:分部管理员通过防火墙管理SW2接入交换机 (Telnet)
虚拟系统
虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。
可以从逻辑上将一台FW设备划分为多个虚拟系统。每个虚拟系统相当于一台真实的设备,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟系统管理员进行配置和管理。
虚拟系统特点
每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。
每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。
可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。
虚拟系统之间的流量相互隔离,更加安全。在需要的时候,虚拟系统之间也可以进行安全互访。
虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。
虚拟系统原理
FW上存在两种类型的虚拟系统
根系统(public)
根系统是FW上缺省存在的一个特殊的虚拟系统。即使虚拟系统功能未启用,根系统也依然存在。此时,管理员对FW进行配置等同于对根系统进行配置。启用虚拟系统功能后,根系统会继承先前FW上的配置。
在虚拟系统这个特性中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务。
虚拟系统(VSYS)
虚拟系统是在FW上划分出来的、独立运行的逻辑设备。
虚拟系统与VPN实例
除了虚拟系统之外,FW还支持VPN实例(VPN Instance),两者都有隔离的作用,虚拟系统的主要作用是业务隔离和路由隔离(静态路由),VPN实例的主要作用是路由隔离。没有实现虚拟化的功能需要使用VPN实例来配置多实例功能,如动态路由、组播等。
FW上的VPN实例包括如下两种形态:
创建虚拟系统时自动生成的VPN实例
创建虚拟系统时,会自动生成相同名字的VPN实例。
管理员手动创建的VPN实例
管理员使用ip vpn-instance命令手动创建的VPN实例,该VPN实例主要用于MPLS场景中,作用是路由隔离。我们所说的用来进行路由隔离的VPN实例,指的就是管理员手动创建的VPN实例。
目前FW上这两种形态的VPN实例并存,配置时请根据实际场景来确定具体使用哪种形态的VPN实例。
管理员
根据虚拟系统的类型,管理员分为根系统管理员和虚拟系统管理员。两类管理员的作用范围和功能都不相同。
虚拟系统的资源分配
合理地分配资源可以对单个虚拟系统的资源进行约束,避免因某个虚拟系统占用过多的资源,导致其他虚拟系统无法获取资源、业务无法正常运行的情况。
安全区域、策略、会话等实现虚拟系统业务的基础资源支持定额分配或手工分配。
定额分配:此类资源直接按照系统规格自动分配固定的资源数,不支持用户手动分配。
手工分配:此类资源支持用户通过命令行或Web界面中的资源类界面手动分配。
此外,其他的资源项则是各个虚拟系统一起共享抢占整机资源,同样不支持用户手动分配。
接口资源
支持分配给虚拟系统的接口类型包括:三层以太网接口,三层以太网子接口,三层Eth-Trunk接口,三层Eth-Trunk子接口,POS接口,IP-Trunk接口,Tunnel接口,Virtual-Template接口。
二层接口不支持直接分配给虚拟系统。使用assign vlan命令将VLAN分配给虚拟系统后,二层接口会随VLAN分配给相应的虚拟系统。Trunk和Hybrid类型的二层接口可以随VLAN分配给多个虚拟系统,各个虚拟系统下可配置该接口,例如接口加入安全区域。
VLANIF接口不支持直接分配给虚拟系统。使用assign vlan命令将VLAN分配给虚拟系统时,对应的VLANIF接口会同步分配给虚拟系统。
Vbdif接口不支持直接分配给虚拟系统。使用assign vni命令将VNI分配给虚拟系统时,对应的Vbdif接口会同步分配给虚拟系统。
管理口不能分配给虚拟系统。
虚拟系统的分流
通过分流能将进入设备的报文送入正确的虚拟系统处理。
FW上未配置虚拟系统时,报文进入FW后直接根据根系统的策略和表项(会话表、MAC地址表、路由表等)对其进行处理。FW上配置了虚拟系统时,每个虚拟系统都相当于一台独立的设备,仅依据虚拟系统内的策略和表项对报文进行处理。因此,报文进入FW后,首先要确定报文与虚拟系统的归属关系,以决定其进入哪个虚拟系统进行处理。我们将确定报文与虚拟系统归属关系的过程称为分流。
FW支持基于接口分流、基于VLAN分流和基于VNI分流三种分流方式。
基于接口分流:接口工作在三层时,采用基于接口的分流方式。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。
基于VLAN分流:接口工作在二层时,采用基于VLAN的分流方式。将VLAN与虚拟系统绑定后,该VLAN内的报文都将被送入与其绑定的虚拟系统进行处理。
基于VNI分流:虚拟系统和VXLAN结合使用时,采用基于VNI的分流方式。将VNI(VXLAN Network Identifier)与虚拟系统绑定后,该VXLAN内的报文都将被送入与其绑定的虚拟系统进行处理。
虚拟系统互访
FW支持虚拟系统与根系统互访、两个虚拟系统间直接互访、两个虚拟系统跨根系统互访以及两个虚拟系统跨共享虚拟系统互访四种基本场景。通过对基本场景的认识,可以帮助您更好地理解虚拟系统互访的基本原理并正确地进行相关配置。
按照互访角色划分,虚拟系统互访可分为虚拟系统与根系统互访和两个虚拟系统间互访两类。
相关命令
将接口从三层模式切换到二层模式
[FW-GigabitEthernet1/0/0]portswitch 开启虚拟系统功能
[FW]vsys enable新建并进入资源类视图
[FW]resource-class r1指定资源项的保证数量和最大数量
[FW-resource-class-r1]resource-item-limit ?
bandwidth Indicate bandwidth
ipsec-tunnel Indicate ipsec tunnel numbers
ipv6 Indicate IPv6
l2tp-tunnel Indicate the number of L2TP tunnels
online-user Indicate the number of online users
policy Indicate the number of policies
security-group Indicate the number of security groups
session Indicate the number of sessions
session-rate Indicate new sessions per second
ssl-vpn-concurrent Indicate the ssl vpn
traffic-policy Indicate the number of traffic policies
user Indicate the number of users
user-group Indicate the number of user groups创建并进入虚拟系统管理视图
[FW]vsys name v1为虚拟系统分配资源类
[FW-vsys-v1]assign resource-class r1为虚拟系统分配VLAN
[FW-vsys-v1]assign vlan 10从根系统的系统视图切换到指定的虚拟系统的用户视图
[FW]switch vsys v1创建并进入管理员
[FW-v1-aaa]manager-user admin@@v1创建管理员账号的密码
[FW-v1-aaa-manager-user-admin@@v1]password配置管理员的登录方式或服务类型
[FW-v1-aaa-manager-user-admin@@v1]service-type ssh telnet web 为管理员账号配置权限级别
[FW-v1-aaa-manager-user-admin@@v1]level 15为管理员账号绑定管理员角色
[FW-v1-aaa]bind manager-user admin@@v1 role system-admin创建地址对象或地址组,并进入对应视图
[FW-v1]ip address-set addv1 type object 配置举例:使用虚拟系统隔离不同部门(二层)
需求
行政部门员工192.168.1.2-192.168.1.254允许访问Internet
研发部门员工192.168.2.2-192.168.1.100允许访问Internet
研发部门其他静止访问Internet
FW步骤
1 在根系统下创建vlan、接口配置二层vlan、配置资源类、创建虚拟系统、绑定资源类和vlan
2 在虚拟下划分接口安全区域、配置管理员账户、配置地址池、配置安全策略
FW根系统配置
#
sysname FW
#
vlan batch 10 20
#
vsys enable
#
resource-class r1 //配置资源类
resource-item-limit session reserved-number 500 maximum 1000
resource-item-limit policy reserved-number 300
resource-item-limit user reserved-number 200
resource-item-limit user-group reserved-number 10
#
vsys name v1 1 //配置虚拟系统V1的资源
assign resource-class r1
assign vlan 10
#
vsys name v2 2 //配置虚拟系统V2的资源
assign resource-class r1
assign vlan 20
#
interface GigabitEthernet1/0/0
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet1/0/1
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#FW虚拟系统V1配置
#
switch vsys v1
#
ip address-set addv1 type object //配置地址池addv1
address 0 range 192.168.1.2 192.168.1.254
aaa //配置虚拟系统v1的管理员账户
manager-user admin@@v1
password cipher @%@%E}8*IL)JA;A;&R0!p@COV"8h5j<*IYmi49uL9C<>6X5F"8kV@%@%
service-type web telnet ssh
level 15
bind manager-user admin@@v1 role system-admin
#
firewall zone trust //划分接口到安全区域
set priority 85
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#
security-policy //配置安全策略
rule name tu
source-zone trust
destination-zone untrust
source-address address-set addv1 //调用地址池addv1
action permit
rule name tu2
source-zone trust
destination-zone untrust
action deny
#FW虚拟系统V2配置(同V1)
#
switch vsys v2
#
ip address-set addv2 type object //配置地址池(不包含静止访问Internet的用户)
address 0 range 192.168.2.2 192.168.2.100
#
aaa
manager-user admin@@v2
password cipher @%@%qH(hE`J}fQh_eo-mTMHKyFzgc:|76=enaIx_B`#45dg*Fzjy@%@%
service-type web telnet ssh
level 15
bind manager-user admin@@v2 role system-admin
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#
security-policy
rule name tu
source-zone trust
destination-zone untrust
source-address address-set addv2
action permit
rule name tu2
source-zone trust
destination-zone untrust
action deny
#其他设备配置参考
SW3配置
#
sysname SW3
#
vlan batch 20
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 20
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
#
SW2配置
#
sysname SW2
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk pvid vlan 20
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20
#
SW1配置
#
sysname SW1
#
vlan batch 10 20
#
interface Vlanif1
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
#
interface GigabitEthernet0/0/1
port link-type access
#
interface GigabitEthernet0/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 30
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
#
R1配置
#
sysname R1
#
acl number 2000
rule 5 permit
#
interface GigabitEthernet0/0/0
ip address 10.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 202.100.1.2 255.255.255.0
nat outbound 2000
#
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
ip route-static 192.168.1.0 255.255.255.0 10.1.1.1
ip route-static 192.168.2.0 255.255.255.0 10.1.1.1
#
4356
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
