2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统

这篇具有很好参考价值的文章主要介绍了2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

概述

在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。 防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有SPU(Service Processing Unit),用于实现防火墙的安全功能。

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

基本概念

安全区域

安全区域(Security Zone),简称为区域(Zone),是防火墙的重要概念。防火墙大部分的安全策略都基于安全区域实施。

一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性。

默认安全区域

华为防火墙确认已创建四个区域,untrustdmztrustlocal区域。安全区域有以下特性:

1 默认的安全区域不能删除,也不允许修改安全优先级。

2 每个Zone都必须设置一个安全优先级(Priority),值越大,则Zone的安全优先级越高

3 用户可根据自己的需求创建自定义的Zone。

区域名称

默认安全优先级

非受信区域(untrust)

低安全级别区域,优先级为5。

非军事化区域(dmz)

中等安全级别区域,优先级为50。

受信区域(trust)

较高安全级别区域,优先级为85。

本地区域(local)

Local区域定义的是设备本身,例如设备的接口。Local区域是最高安全级别区域,优先级为100。

相关命令

创建并进入安全区域视图

[FW1]firewall zone ?
  dmz      Specify dmz security zone
  local    Specify local security zone
  name     Indicate a security zone name to be created or deleted
  trust    Specify trust security zone
  untrust  Specify untrust security zone

将接口加入到安全区域

[FW1-zone-trust]add interface GigabitEthernet 1/0/1

配置自定义安全区域的优先级

[FW1-zone-qyt]set priority 20

查看安全区域信息

<FW1>display zone 
2023-03-24 08:32:56.260 
local
 priority is 100
 interface of the zone is (0):
#
trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet0/0/0
    GigabitEthernet1/0/1
#
untrust
 priority is 5
 interface of the zone is (1):
    GigabitEthernet1/0/6
#
dmz
 priority is 50
 interface of the zone is (1):
    GigabitEthernet1/0/0
#

安全策略

安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。

当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。如果条件匹配,则此流量被执行对应的动作。

安全策略组成

安全策略的组成有匹配条件、动作和安全配置文件(可选)。安全配置文件实现内容安全。

安全策略动作如果为“允许”则可配置安全配置文件,如果为“禁止”则可配置反馈报文。

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

动作说明

允许:如果动作为“允许”,则对流量进行如下处理:

如果没有配置内容安全检测,则允许流量通过。

如果配置内容安全检测,最终根据内容安全检测的结论来判断是否对流量进行放行。内容安全检测包括反病毒、入侵防御等,它是通过在安全策略中引用安全配置文件实现的。如果其中一个安全配置文件阻断该流量,则防火墙阻断该流量。如果所有的安全配置文件都允许该流量转发,则防火墙允许该流量转发。

禁止:表示拒绝符合条件的流量通过。

如果动作为“禁止”,防火墙不仅可以将报文丢弃,还可以针对不同的报文类型选择发送对应的反馈报文。发起连接请求的客户端/服务器收到防火墙发送的阻断报文后,可以快速结束会话并让用户感知到请求被阻断。

Reset客户端:防火墙向TCP客户端发送TCP reset报文。

Reset服务器:防火墙向TCP服务器发送TCP reset报文。

ICMP不可达:FW向报文客户端发送ICMP不可达报文。

安全策略的匹配过程

当配置多条安全策略规则时,安全策略的匹配按照策略列表的顺序执行,即从策略列表顶端开始逐条向下匹配。如果流量匹配了某个安全策略,将不再进行下一个策略的匹配。

安全策略的配置顺序很重要,需要先配置条件精确的策略,再配置宽泛的策略。

系统默认存在一条缺省安全策略default。缺省安全策略位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作默认为禁止。如果所有配置的策略都未匹配,则将匹配缺省安全策略default。

相关命令

允许管理员通过ping访问设备

​[FW1-GigabitEthernet1/0/1]service-manage ping permit

进入安全策略视图

[FW1]security-policy

配置缺省安全策略default的动作

[FW1-policy-security]default action ?
  deny    Indicate the rule action deny
  permit  Indicate the rule action permit

创建并进入安全策略规则

[FW1-policy-security]rule name td

配置安全策略规则的源安全区域

[FW1-policy-security-rule-td]source-zone trust

配置安全策略规则的目的安全区域

[FW1-policy-security-rule-td]destination-zone dmz

配置安全策略规则的源地址

[FW1-policy-security-rule-td]source-address 192.168.1.0 mask 255.255.255.0

配置安全策略规则的目的地址

[FW1-policy-security-rule-td]destination-address 10.1.1.0 mask 255.255.255.0

配置安全策略规则的服务

[FW1-policy-security-rule-td]service icmp

配置安全策略规则的动作

[FW1-policy-security-rule-td]action permit

查看安全策略规则的配置信息

<FW1>display security-policy rule all
2023-03-26 12:48:54.580  
Total:4 
RULE ID  RULE NAME                         STATE      ACTION       HITS        
------------------------------------------------------------------------------- 
1        td                                enable     permit       44           
2        dt                                enable     permit       2            
5        tu                                enable     permit       30          
0        default                           enable     deny         5           
-------------------------------------------------------------------------------

创建自定义服务并进入视图添加成员

[FW1]ip service-set qyt type object 16
[FW1-object-service-set-qyt]service protocol tcp destination-port 3389

会话表

会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据。

防火墙采用了基于“状态”的报文控制机制:只对首包或者少量报文进行检测就确定一条连接的状态,大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表,来判断该报文所属的连接并采取相应的处理措施。

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

相关命令

查看会话表

<FW1>display firewall session table 
2023-03-26 10:11:38.820 
 Current Total Sessions : 5
 icmp  VPN: public --> public  192.168.1.1:26906 --> 10.1.1.1:2048
 icmp  VPN: public --> public  192.168.1.1:27162 --> 10.1.1.1:2048
 icmp  VPN: public --> public  192.168.1.1:27674 --> 10.1.1.1:2048
 icmp  VPN: public --> public  192.168.1.1:26650 --> 10.1.1.1:2048
 icmp  VPN: public --> public  192.168.1.1:27418 --> 10.1.1.1:2048

查看会话表的详细信息

<FW1>display firewall session table verbose
2023-03-26 10:18:18.250 
 Current Total Sessions : 5
 icmp  VPN: public --> public  ID: c387f03ffe9a48847164201be5
 Zone: trust --> dmz  TTL: 00:00:20  Left: 00:00:14
 Recv Interface: GigabitEthernet1/0/1
 Interface: GigabitEthernet1/0/0  NextHop: 10.1.1.1  MAC: 5489-98ae-7983
 <--packets: 1 bytes: 60 --> packets: 1 bytes: 60
 192.168.1.1:63515 --> 10.1.1.1:2048 PolicyName: td

会话表的创建和包处理过程

防火墙状态检测开启情况下,流量的首包会创建会话表项,后续包即可直接匹配会话表项。

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

会话表的老化时间与长连接

防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。

但是对于某些特殊业务中,一条会话的两个连续报文可能间隔时间很长。例如: 

1 用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文。

2 用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间。

此时如果其会话表项被删除,则该业务会中断。长连接(Long Link)机制可以给部分连接设定超长的老化时间,有效解决这个问题。

多通道协议在防火墙上的问题

如果在防火墙上配置严格的单向安全策略,那么防火墙将只允许业务单方向发起访问。这会导致一些特殊的协议无法工作,例如FTP。

FTP主动模式传输文件时,首先需要客户端主动向服务器端发起控制连接,然后需要服务器端向客户端发起数据连接。如果设备上配置的安全策略仅允许客户端报文单方向通过,则FTP文件传输不能成功。

同FTP,通信过程中需占用两个或两个以上端口的协议被称为多通道协议。多通道协议都需要考虑此类问题。

ASPF与Server-map

为了解决多通道协议的问题,防火墙需要识别协议在应用层协商的地址和端口。这需要开启ASPF (Application Specific Packet Filter,针对应用层的包过滤)功能。

ASPF也称作基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,即生成Server-map表。

Server-map表也记录了类似会话表中连接的状态。Server-map表中的信息相对简单,是简化的会话表,在真实流量到达前生成。在流量真实到达防火墙时,防火墙会基于Server-map表生成会话表,然后执行转发。

开启ASPF解决多通道协议问题,是生成Server-map表的一种方式。

注意:ASPF和ALG功能使用的是同一个配置,只是不同场景下FW对报文的处理不同,因而叫法不同。非NAT场景下叫ASPF,NAT场景下叫ALG。 

Server-map表与简化的包转发过程

当防火墙接收到一个报文且没有命中会话表时,防火墙进入首包处理流程,查询是否有命中的Server-map表。如果有,则会生成会话表转发报文;如果没有,则执行其他包处理过程。

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

相关命令

创建并进入安全域间视图

[FW]firewall interzone trust dmz 

配置域间ASPF/ALG功能

[FW-interzone-trust-dmz]detect ftp 

查看server-map表信息

[FW]display firewall server-map 

配置举例:基本防火墙组网

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

需求

1 总部员工通过防火墙访问FTP服务器、ISP运营商
2 总部管理员通过防火墙管理SW1接入交换机、SW2接入交换机
3 分部管理员通过防火墙管理SW2接入交换机

配置步骤

1 配置交换机vlan、各设备接口ip、默认路由(FW、SW1、SW2、R1、R2)
2 配置交换机远程管理,允许总部管理员访问SW1和SW2,允许分部管理员访问SW2
2 在防火墙上将接口划分到安全区域
3 在防火墙上配置NAT策略:总部员工-Untrust,允许服务ICMP
4 在防火墙上配置安全策略:总部员工-Untrust,允许服务ICMP
5 在防火墙上配置安全策略:总部员工-FTP服务器,允许服务ICMP、FTP
6 在防火墙上配置安全策略:qyt-DMZ、qyt-Trust、Untrust-Trust,允许服务telnet 

主要配置

FW主要配置

#
sysname FW
#
interface GigabitEthernet1/0/0               //配置防火墙各接口IP
 undo shutdown
 ip address 10.1.1.1 255.255.255.252
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 20.2.2.1 255.255.255.252
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 202.100.1.1 255.255.255.252
#
interface GigabitEthernet1/0/6
 undo shutdown
 ip address 192.168.3.1 255.255.255.252
#
firewall zone trust                        //将各接口划分到安全区域
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/0
#
firewall zone name qyt id 4
 set priority 20
 add interface GigabitEthernet1/0/6
#
firewall interzone trust dmz             //配置trust与DMZ区域间的ASPF
 detect ftp
#
ip route-static 0.0.0.0 0.0.0.0 202.100.1.2     //配置默认路由、静态路由
ip route-static 192.168.1.0 255.255.255.252 GigabitEthernet1/0/0 10.1.1.2
ip route-static 192.168.2.0 255.255.255.0 GigabitEthernet1/0/1 20.2.2.2
#
 nat server 0 protocol tcp global 202.100.1.1 1234 inside 20.2.2.2 telnet //开启映射
#
security-policy                         //配置安全策略
 rule name td                           //总部员工-FTP服务器,允许服务ICMP、FTP
  source-zone trust
  destination-zone dmz
  source-address 192.168.2.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.252
  service ftp
  service icmp
  action permit
 rule name qd                           //qyt-dmz,允许服务telnet
  source-zone qyt
  destination-zone dmz
  service telnet
  action permit
 rule name qt                           //qyt-trust,允许服务telnet
  source-zone qyt
  destination-zone trust
  service telnet
  action permit
 rule name tu                           //总部员工-Untrust,允许服务ICMP
  source-zone trust
  destination-zone untrust
  source-address 192.168.2.0 mask 255.255.255.0
  service icmp
  action permit
 rule name ut                           //Untrust-Trust,允许服务telnet
  source-zone untrust
  destination-zone trust
  service telnet
  action permit
#
nat-policy                              //配置NAT策略
 rule name qyt                          //总部员工-Untrust,允许服务ICMP
  source-zone trust
  destination-zone untrust
  source-address 192.168.2.0 mask 255.255.255.0
  service icmp
  action source-nat easy-ip
#

SW1配置

#
sysname SW1
#
vlan batch 10 to 11
#
acl number 3000               //配置高级ACL,允许总部管理员访问
 rule 5 permit ip source 192.168.3.2 0 destination 10.1.1.2 0
#
interface Vlanif10
 ip address 10.1.1.2 255.255.255.252
#
interface Vlanif11
 ip address 192.168.1.2 255.255.255.252
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 11
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1    //配置默认路由
#
user-interface con 0
user-interface vty 0 4
 acl 3000 inbound                    //在入方向应用ACL
 user privilege level 15
 set authentication password cipher 7,51LkW5^M/(]>4l=GBP$Ec# //配置认证方式
#

SW2配置

#
sysname SW2
#
vlan batch 20 to 21
#
acl number 3000                  //配置高级ACL,允许总部管理员和分部管理员访问
 rule 5 permit ip source 192.168.3.2 0 destination 20.2.2.2 0
 rule 10 permit ip source 202.100.1.6 0 destination 20.2.2.2 0
#
aaa                             
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password cipher ]X@2F`P=.LEI>,Z,88J\:Q!!   //配置认证密码
 local-user admin service-type telnet                        //配置支持服务
#  
interface Vlanif20
 ip address 20.2.2.2 255.255.255.252
#
interface Vlanif21
 ip address 192.168.2.2 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 21
#
ip route-static 0.0.0.0 0.0.0.0 20.2.2.1
#
user-interface con 0
user-interface vty 0 4
 acl 3000 inbound                    //在入方向应用ACL
 authentication-mode aaa             //配置认证方式
 user privilege level 15
#

R1配置

#
 sysname R1
#
interface GigabitEthernet0/0/0
 ip address 192.168.3.2 255.255.255.252 
#
ip route-static 0.0.0.0 0.0.0.0 192.168.3.1    //配置默认路由
#

R2配置

#
 sysname R2
#
interface GigabitEthernet0/0/0
 ip address 202.100.1.6 255.255.255.252 
#
ip route-static 0.0.0.0 0.0.0.0 202.100.1.5     //配置默认路由
#

ISP配置

#
 sysname ISP
#
interface GigabitEthernet0/0/0
 ip address 202.100.1.2 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 202.100.1.5 255.255.255.252 
#
interface LoopBack0
 ip address 3.3.3.3 255.255.255.255 
#

FTP服务器配置

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

测试成果

测试:总部员工通过防火墙访问FTP服务器(ICMP、FTP)

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

测试:总部员工通过防火墙访问ISP运营商 (ICMP) 

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

测试:总部管理员通过防火墙管理SW1接入交换机 (Telnet)

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

测试:总部管理员通过防火墙管理SW2接入交换机 (Telnet)

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

测试:分部管理员通过防火墙管理SW2接入交换机 (Telnet)

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

虚拟系统

虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。

可以从逻辑上将一台FW设备划分为多个虚拟系统。每个虚拟系统相当于一台真实的设备,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟系统管理员进行配置和管理。

虚拟系统特点

每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境

每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。

可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。

虚拟系统之间的流量相互隔离,更加安全。在需要的时候,虚拟系统之间也可以进行安全互访

虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本
 

虚拟系统原理

FW上存在两种类型的虚拟系统

根系统(public)

根系统是FW上缺省存在的一个特殊的虚拟系统。即使虚拟系统功能未启用,根系统也依然存在。此时,管理员对FW进行配置等同于对根系统进行配置。启用虚拟系统功能后,根系统会继承先前FW上的配置。

在虚拟系统这个特性中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务。


虚拟系统(VSYS)

虚拟系统是在FW上划分出来的、独立运行的逻辑设备。


华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

虚拟系统与VPN实例

除了虚拟系统之外,FW还支持VPN实例(VPN Instance),两者都有隔离的作用,虚拟系统的主要作用是业务隔离和路由隔离(静态路由),VPN实例的主要作用是路由隔离。没有实现虚拟化的功能需要使用VPN实例来配置多实例功能,如动态路由、组播等。

FW上的VPN实例包括如下两种形态:

创建虚拟系统时自动生成的VPN实例

创建虚拟系统时,会自动生成相同名字的VPN实例


管理员手动创建的VPN实例

管理员使用ip vpn-instance命令手动创建的VPN实例,该VPN实例主要用于MPLS场景中,作用是路由隔离。我们所说的用来进行路由隔离的VPN实例,指的就是管理员手动创建的VPN实例。


目前FW上这两种形态的VPN实例并存,配置时请根据实际场景来确定具体使用哪种形态的VPN实例。
 

管理员

根据虚拟系统的类型,管理员分为根系统管理员和虚拟系统管理员。两类管理员的作用范围和功能都不相同。

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

虚拟系统的资源分配

合理地分配资源可以对单个虚拟系统的资源进行约束,避免因某个虚拟系统占用过多的资源,导致其他虚拟系统无法获取资源、业务无法正常运行的情况。

安全区域、策略、会话等实现虚拟系统业务的基础资源支持定额分配或手工分配。

定额分配:此类资源直接按照系统规格自动分配固定的资源数,不支持用户手动分配。

手工分配:此类资源支持用户通过命令行或Web界面中的资源类界面手动分配。

此外,其他的资源项则是各个虚拟系统一起共享抢占整机资源,同样不支持用户手动分配。

接口资源

支持分配给虚拟系统的接口类型包括:三层以太网接口,三层以太网子接口,三层Eth-Trunk接口,三层Eth-Trunk子接口,POS接口,IP-Trunk接口,Tunnel接口,Virtual-Template接口。

二层接口不支持直接分配给虚拟系统。使用assign vlan命令将VLAN分配给虚拟系统后,二层接口会随VLAN分配给相应的虚拟系统。Trunk和Hybrid类型的二层接口可以随VLAN分配给多个虚拟系统,各个虚拟系统下可配置该接口,例如接口加入安全区域。

VLANIF接口不支持直接分配给虚拟系统。使用assign vlan命令将VLAN分配给虚拟系统时,对应的VLANIF接口会同步分配给虚拟系统。 

Vbdif接口不支持直接分配给虚拟系统。使用assign vni命令将VNI分配给虚拟系统时,对应的Vbdif接口会同步分配给虚拟系统。

管理口不能分配给虚拟系统
 

虚拟系统的分流

通过分流能将进入设备的报文送入正确的虚拟系统处理。

FW上未配置虚拟系统时,报文进入FW后直接根据根系统的策略和表项(会话表、MAC地址表、路由表等)对其进行处理。FW上配置了虚拟系统时,每个虚拟系统都相当于一台独立的设备,仅依据虚拟系统内的策略和表项对报文进行处理。因此,报文进入FW后,首先要确定报文与虚拟系统的归属关系,以决定其进入哪个虚拟系统进行处理。我们将确定报文与虚拟系统归属关系的过程称为分流。

FW支持基于接口分流基于VLAN分流基于VNI分流三种分流方式。

基于接口分流:接口工作在三层时,采用基于接口的分流方式。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。

基于VLAN分流:接口工作在二层时,采用基于VLAN的分流方式。将VLAN与虚拟系统绑定后,该VLAN内的报文都将被送入与其绑定的虚拟系统进行处理。

基于VNI分流:虚拟系统和VXLAN结合使用时,采用基于VNI的分流方式。将VNI(VXLAN Network Identifier)与虚拟系统绑定后,该VXLAN内的报文都将被送入与其绑定的虚拟系统进行处理。

虚拟系统互访

FW支持虚拟系统与根系统互访两个虚拟系统间直接互访两个虚拟系统跨根系统互访及两个虚拟系统跨共享虚拟系统互访四种基本场景。通过对基本场景的认识,可以帮助您更好地理解虚拟系统互访的基本原理并正确地进行相关配置。

按照互访角色划分,虚拟系统互访可分为虚拟系统与根系统互访和两个虚拟系统间互访两类。

相关命令

将接口从三层模式切换到二层模式

[FW-GigabitEthernet1/0/0]portswitch 

开启虚拟系统功能

[FW]vsys enable

新建并进入资源类视图

[FW]resource-class r1

指定资源项的保证数量和最大数量

[FW-resource-class-r1]resource-item-limit ?
  bandwidth           Indicate bandwidth 
  ipsec-tunnel        Indicate ipsec tunnel numbers
  ipv6                Indicate IPv6
  l2tp-tunnel         Indicate the number of L2TP tunnels
  online-user         Indicate the number of online users
  policy              Indicate the number of policies
  security-group      Indicate the number of security groups
  session             Indicate the number of sessions
  session-rate        Indicate new sessions per second
  ssl-vpn-concurrent  Indicate the ssl vpn
  traffic-policy      Indicate the number of traffic policies
  user                Indicate the number of users
  user-group          Indicate the number of user groups

创建并进入虚拟系统管理视图

[FW]vsys name v1

为虚拟系统分配资源类

[FW-vsys-v1]assign resource-class r1

为虚拟系统分配VLAN

[FW-vsys-v1]assign vlan 10

从根系统的系统视图切换到指定的虚拟系统的用户视图

[FW]switch vsys v1

创建并进入管理员

[FW-v1-aaa]manager-user admin@@v1

创建管理员账号的密码

[FW-v1-aaa-manager-user-admin@@v1]password

配置管理员的登录方式或服务类型

[FW-v1-aaa-manager-user-admin@@v1]service-type ssh telnet web 

为管理员账号配置权限级别

[FW-v1-aaa-manager-user-admin@@v1]level 15

为管理员账号绑定管理员角色

[FW-v1-aaa]bind manager-user admin@@v1 role system-admin

创建地址对象或地址组,并进入对应视图

[FW-v1]ip address-set addv1 type object 

配置举例:使用虚拟系统隔离不同部门(二层)

华为防火墙public与default虚拟系统,网工进阶,网络基础进阶

需求
行政部门员工192.168.1.2-192.168.1.254允许访问Internet
研发部门员工192.168.2.2-192.168.1.100允许访问Internet
研发部门其他静止访问Internet

FW步骤
1 在根系统下创建vlan、接口配置二层vlan、配置资源类、创建虚拟系统、绑定资源类和vlan
2 在虚拟下划分接口安全区域、配置管理员账户、配置地址池、配置安全策略

FW根系统配置

#
sysname FW
#
vlan batch 10 20
#
vsys enable
#
resource-class r1             //配置资源类
 resource-item-limit session reserved-number 500 maximum 1000
 resource-item-limit policy reserved-number 300
 resource-item-limit user reserved-number 200
 resource-item-limit user-group reserved-number 10
#
vsys name v1 1               //配置虚拟系统V1的资源
 assign resource-class r1
 assign vlan 10
#
vsys name v2 2               //配置虚拟系统V2的资源
 assign resource-class r1
 assign vlan 20
#
interface GigabitEthernet1/0/0
 portswitch
 undo shutdown
 port link-type trunk
 undo port trunk allow-pass vlan 1  
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet1/0/1
 portswitch
 undo shutdown
 port link-type trunk
 undo port trunk allow-pass vlan 1  
 port trunk allow-pass vlan 10 20
#

FW虚拟系统V1配置

#
switch vsys v1
#
ip address-set addv1 type object                 //配置地址池addv1
 address 0 range 192.168.1.2 192.168.1.254
aaa                                              //配置虚拟系统v1的管理员账户
 manager-user admin@@v1 
  password cipher @%@%E}8*IL)JA;A;&R0!p@COV"8h5j<*IYmi49uL9C<>6X5F"8kV@%@%
  service-type web telnet ssh
  level 15
 bind manager-user admin@@v1 role system-admin
#
firewall zone trust                             //划分接口到安全区域
 set priority 85
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
security-policy                                //配置安全策略
 rule name tu
  source-zone trust
  destination-zone untrust
  source-address address-set addv1             //调用地址池addv1
  action permit
 rule name tu2
  source-zone trust
  destination-zone untrust
  action deny
#

FW虚拟系统V2配置(同V1)

#
switch vsys v2
#
ip address-set addv2 type object               //配置地址池(不包含静止访问Internet的用户)
 address 0 range 192.168.2.2 192.168.2.100
#
aaa
 manager-user admin@@v2
  password cipher @%@%qH(hE`J}fQh_eo-mTMHKyFzgc:|76=enaIx_B`#45dg*Fzjy@%@%
  service-type web telnet ssh
  level 15
 bind manager-user admin@@v2 role system-admin
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
security-policy
 rule name tu
  source-zone trust
  destination-zone untrust
  source-address address-set addv2
  action permit
 rule name tu2
  source-zone trust
  destination-zone untrust
  action deny
#

其他设备配置参考文章来源地址https://www.toymoban.com/news/detail-594552.html

SW3配置
#
sysname SW3
#
vlan batch 20
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 20
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 20
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
#


SW2配置
#
sysname SW2
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20 
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk pvid vlan 20
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 20
#


SW1配置
#
sysname SW1
#
vlan batch 10 20
#
interface Vlanif1
 ip address 10.1.1.1 255.255.255.0
#
interface Vlanif10
 ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
 ip address 192.168.2.1 255.255.255.0
#
#
interface GigabitEthernet0/0/1
 port link-type access
#
interface GigabitEthernet0/0/2
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 20 30
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
#


R1配置
#
 sysname R1
#
acl number 2000  
 rule 5 permit 
#
interface GigabitEthernet0/0/0
 ip address 10.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 202.100.1.2 255.255.255.0 
 nat outbound 2000
#
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
ip route-static 192.168.1.0 255.255.255.0 10.1.1.1
ip route-static 192.168.2.0 255.255.255.0 10.1.1.1
#

到了这里,关于2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为防火墙 配置 SSLVPN

    需求: 公司域环境,大陆客户端居家办公室需要连到公司域,这里可以在上海防火墙上面开通SSLVPN,员工就可以透过SSLVPN连通上海公司的内网,但是由于公司域控有2个站点,一个在上海,一个在台北,所以还需要拨通VPN后,也实现跟台北的内网互通。 前提:上海,台北已实

    2024年02月04日
    浏览(44)
  • 配置华为防火墙端口映射

    如果想检测由防火墙到服务器的连通性,需放行local到dmz的流量

    2024年02月14日
    浏览(47)
  • #华为 #usg 华为防火墙安全区域的概念

    安全区域(Security Zone),或者简称为区域(Zone),是设备所引入的一个安全概念,大部分的安全策略都基于安全区域实施。 定义 一个安全区域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。 目的 在网络安全的应用中,如果网络安全设备对所有报文都

    2023年04月09日
    浏览(57)
  • 华为防火墙地址映射(NATserver)

    287、实验:NATserver映射 实验topo: 将内网DMZ安全域的http服务映射出外网,并且不让DMZ的服务器主动去访问外网: 做完策略之后点击诊断,测试服务器的存活性: 做安全策略,允许local访问dmz: tips :华为的防火墙默认拒绝local访问任何区域; 做一条安全策略,放行untrust到dm

    2024年02月16日
    浏览(49)
  • 华为防火墙的基本安全策略

    280、常见的安全策略的配置 实验topo: ①做安全策略,让trust 区域的PC1 可以ping untrust区域; 命令行配置: # security-policy  default action permit  rule name trust_untrust   source-zone trust   destination-zone untrust   source-address 192.168.1.0 24   service icmp   action permit # web界面配置: 测试实验结果

    2024年02月03日
    浏览(41)
  • 华为USG防火墙配置命令

    其实防火墙配置,只需要配置到能使用web方式管理,剩下的都在网页上配置即可,有人喜欢用命令配置,但我说下用命令配置的弊端,首先是安全策略的备注不好写,还有就是策略的顺序不方便调整,需要提前规划好,还有就是容易出错,真的完全没有必要,你又不是配置交

    2024年02月05日
    浏览(54)
  • 华为防火墙地址转换技术(NAT)

    281、NAT理论 私网地址不能再公网上路由,NAT的功能主要就是将私网地址在往外转发的过程中,将私网地址转换成为公网地址; 282、PAT:端口多路复用,可以将多个私网地址转换成为一个公网IP地址上网 283、工作原理:私网地址想要出外网,会将自己的源IP地址、目的IP地址、

    2024年02月06日
    浏览(43)
  • 华为防火墙黑白名单网址过滤设置

    项目背景:现在有一个新项目,要求设置网站黑白名单,即vlan84这个网段只允许访问*.kuaidi100. 之类的,其他的不允许;vlan85这个网段 .youku.*等视频网段不能访问外,其他的都可以访问。 要求如下: 192.168.184.0/24 白名单设置:只允许访问以下网站 .kuaidi100. .sf-express. .yto. .zto.

    2023年04月08日
    浏览(84)
  • ensp华为防火墙双机热备

    实验拓扑 实验要求 构建网络拓扑,根据拓扑图配置 IP 地址, 配置 2 台防火墙 VRRP 和心跳接口, 接口区域划分并配置访问控制策略,使 PC2 可以 ping 通 PC1, 测试 FW1 接口宕机后, PC2 是否仍然可以与 PC1 通信。 实验过程  配置IP地址 注意PC的网关为虚拟IP   FW1(这里g1/0/2ip为17

    2024年02月05日
    浏览(44)
  • 华为ensp 防火墙的基础配置

    拓扑图: [FW3-zone-isp1]set priority 12 #配置防火墙优先级 步骤一 #首先进入防火墙需要输入默认账号和密码,必须修改密码。 [USG6000V1] undo in en #关闭提示。 #先配置ip。 [USG6000V1]ip route-static 0.0.0.0 0.0.0.0 64.1.1.10 #配置去往外网的默认路由(缺省路由)。 #查看去往百度的路由表。 步

    2023年04月09日
    浏览(68)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包