devbox
Monodyee
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

华为ensp防火墙虚拟系统在网络中的部署

作者:Monodyee | 2024-04-18 21:18:54

ensp防火墙

首先我们要知道虚拟系统是啥,干什么用的,解决什么问题的,说白话就是,我没钱,买不起两台墙,我买一台墙通过虚拟系统的方式逻辑变成两台墙,学过高级路由的都知道vpn,vpn是将路由器器逻辑分成多个,每个vpn下有自己的路由表,其实原理都是类似的,都是换汤不换药!

虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。

您可以从逻辑上将一台FW设备划分为多个虚拟系统。每个虚拟系统相当于一台真实的设备,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟系统管理员进行配置和管理。

虚拟系统具有以下特点:

  • 每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。
  • 每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。
  • 可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。
  • 虚拟系统之间的流量相互隔离,更加安全。在需要的时候,虚拟系统之间也可以进行安全互访。
  • 虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。

以华为ensp实验为例

fw3是企业边界,内网通过防火墙nat访问互联网,但内网中pc50和pc40模拟了两个不同的部分(不同的业务、不同的楼都可以),因为成本问题,买不起双墙,通过虚拟系统,将两个业务隔离开。

在初次接触虚拟系统的伙伴们要分清一个事情,就是公共墙、虚拟墙(若干)

如上图,在公共墙中G1/0/2是外网口划入un区域,G1/0/1 G1/0/6是dmz区域,但G1/0/5是虚拟系统b的接口,G1/0/4是虚拟系统a的接口,那么这里有一个虚接口的概念,就是公共墙的虚拟口连接着虚拟墙的虚拟口,如下图,物理是一个墙但逻辑被分成了两个墙,各配各的,相互隔离

  1.  
  2. #
  3. sysname fw3
  4. #
  5. undo info-center enable
  6. #
  7. vsys enable   \\开启虚拟系统
  8. resource-class r1  \\设置资源类
  9.  resource-item-limit session reserved-number 1000 maximum 3000 
  10.  resource-item-limit policy reserved-number 100 
  11. #
  12. 创建虚拟系统,分别加入对应的接口和资源类
  13. vsys name vsys136a 1
  14.  assign interface GigabitEthernet1/0/4
  15.  assign resource-class r1
  16. #
  17. vsys name vsys136b 2
  18.  assign interface GigabitEthernet1/0/5
  19.  assign resource-class r1
  20. #
  21. 将下联虚拟系统的接口绑定到vpn中(vpn就是虚拟系统)
  22. interface GigabitEthernet1/0/1
  23.  undo shutdown
  24.  ip binding vpn-instance vsys136c
  25.  ip address 172.23.136.254 255.255.255.0
  26. #
  27. interface GigabitEthernet1/0/4
  28.  undo shutdown
  29.  ip binding vpn-instance vsys136a
  30.  ip address 172.22.136.254 255.255.255.0
  31. #
  32. 下面就是普通的主墙接口
  33. interface GigabitEthernet1/0/2
  34.  undo shutdown
  35.  ip address 5.5.136.254 255.255.255.0
  36. #
  37. interface GigabitEthernet1/0/5
  38.  undo shutdown
  39.  ip address 172.21.136.254 255.255.255.0
  40. #
  41. interface GigabitEthernet1/0/6
  42.  undo shutdown
  43.  ip address 172.17.136.254 255.255.255.0
  44. #
  45. firewall zone trust
  46.  set priority 85
  47.  add interface GigabitEthernet0/0/0
  48.  add interface Virtual-if0  \\把主墙的虚拟接口加入到信任区域中
  49. #
  50. firewall zone untrust
  51.  set priority 5
  52.  add interface GigabitEthernet1/0/2
  53. #
  54. ip route-static 0.0.0.0 0.0.0.0 5.5.136.1  \\去外网的路由
  55. ip route-static 172.21.136.0 255.255.255.0 vpn-instance vsys136b  \\到虚拟系统的vpn路由
  56. ip route-static 172.22.136.0 255.255.255.0 vpn-instance vsys136a
  57. #
  58. 写策略,虚拟墙的访问外网的流量最终都会从主墙出去
  59. security-policy
  60.  rule name to_internet
  61.   source-zone trust
  62.   destination-zone untrust
  63.   action permit
  64. #
  65. 写nat策略
  66. nat-policy
  67.  rule name nat1
  68.   source-zone trust
  69.   egress-interface GigabitEthernet1/0/2
  70.   source-address 172.21.136.0 mask 255.255.255.0
  71.   source-address 172.22.136.0 mask 255.255.255.0
  72.   action source-nat easy-ip
  73. #
  74.  
  75. 虚拟墙a的配置
  76. #
  77. switch vsys vsys136a  \\进入虚拟墙a
  78. #
  79. 这个接口就是刚才主墙配置过的
  80. interface GigabitEthernet1/0/4
  81.  undo shutdown
  82.  ip binding vpn-instance vsys136a
  83.  ip address 172.22.136.254 255.255.255.0
  84. #
  85. interface Virtual-if1
  86. #
  87. firewall zone trust
  88.  set priority 85
  89.  add interface GigabitEthernet1/0/4  \\把分墙的物理口接入到对应虚拟系统的信任区中,
  90. #
  91. firewall zone dmz
  92.  set priority 50
  93.  add interface Virtual-if1  \\虚拟墙的逻辑接口加入到dmz
  94. #
  95. security-policy
  96. 这里的策略是从虚拟墙的接口流量到主墙的虚拟接口,放来回策略,所以是信任到dmz的流量
  97.  rule name va-vb
  98.   source-zone trust
  99.   destination-zone dmz
  100.   source-address 172.22.136.0 mask 255.255.255.0
  101.   destination-address 172.21.136.0 mask 255.255.255.0
  102.   action permit
  103.  rule name vb-va
  104.   source-zone dmz
  105.   destination-zone trust
  106.   source-address 172.21.136.0 mask 255.255.255.0
  107.   destination-address 172.22.136.0 mask 255.255.255.0
  108.   action permit
  109. 这条是需要nat的流量
  110.  rule name t-dmz-nat
  111.   source-zone trust
  112.   destination-zone dmz
  113.   source-address 172.22.136.0 mask 255.255.255.0
  114.   action permit
  115. #
  116. ip route-static 0.0.0.0 0.0.0.0 public  \\nat所需要的出口路由,指向了主墙
  117. ip route-static 172.22.136.0 255.255.255.0 public  \\到虚拟墙b的路由,指向了主墙
  118. #
  119.  
  120. 虚拟系统b与a类似
  121. switch vsys vsys136b 
  122. #
  123. interface GigabitEthernet1/0/5
  124.  undo shutdown
  125.  ip binding vpn-instance vsys136b
  126.  ip address 172.21.136.254 255.255.255.0
  127. #
  128. firewall zone trust
  129.  set priority 85
  130.  add interface GigabitEthernet1/0/5
  131. #
  132. firewall zone untrust
  133.  set priority 5
  134. #
  135. firewall zone dmz
  136.  set priority 50
  137.  add interface Virtual-if2
  138. #
  139. security-policy
  140.  rule name vb-va
  141.   source-zone trust
  142.   destination-zone dmz
  143.   source-address 172.21.136.0 mask 255.255.255.0
  144.   destination-address 172.22.136.0 mask 255.255.255.0
  145.   action permit
  146.  rule name va-vb
  147.   source-zone dmz
  148.   destination-zone trust
  149.   source-address 172.22.136.0 mask 255.255.255.0
  150.   destination-address 172.21.136.0 mask 255.255.255.0
  151.   action permit
  152.  rule name t-dmz-nat
  153.   source-zone trust
  154.   destination-zone dmz
  155.   source-address 172.21.136.0 mask 255.255.255.0
  156.   action permit
  157. #
  158. ip route-static 0.0.0.0 0.0.0.0 public
  159. ip route-static 172.22.136.0 255.255.255.0 public

虚拟墙a用户访问外网

虚拟墙b用户访问外网

虚拟墙a用户访问虚拟墙b用户

总结:防火墙的虚拟系统给我的感觉就像是单臂路由的思路,每个虚拟墙有一个虚拟接口连接着主墙的虚拟接口,所有访问的流量是虚拟墙首先到达主墙,再到其他虚拟墙,就是hub&spoke的感觉,然后就是防火墙自己的内容,每个墙都需要配置自己的路由和策略,首先虚拟墙的方向由虚拟墙内的路由来控制,其次再匹配虚拟墙内的安全策略。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Monodyee/article/detail/448249
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号