华为ensp防火墙虚拟系统在网络中的部署

news2024/11/24 23:12:45

首先我们要知道虚拟系统是啥,干什么用的,解决什么问题的,说白话就是,我没钱,买不起两台墙,我买一台墙通过虚拟系统的方式逻辑变成两台墙,学过高级路由的都知道vpn,vpn是将路由器器逻辑分成多个,每个vpn下有自己的路由表,其实原理都是类似的,都是换汤不换药!

虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。

您可以从逻辑上将一台FW设备划分为多个虚拟系统。每个虚拟系统相当于一台真实的设备,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟系统管理员进行配置和管理。

虚拟系统具有以下特点:

  • 每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。
  • 每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。
  • 可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。
  • 虚拟系统之间的流量相互隔离,更加安全。在需要的时候,虚拟系统之间也可以进行安全互访。
  • 虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。

以华为ensp实验为例

fw3是企业边界,内网通过防火墙nat访问互联网,但内网中pc50和pc40模拟了两个不同的部分(不同的业务、不同的楼都可以),因为成本问题,买不起双墙,通过虚拟系统,将两个业务隔离开。

在初次接触虚拟系统的伙伴们要分清一个事情,就是公共墙、虚拟墙(若干)

如上图,在公共墙中G1/0/2是外网口划入un区域,G1/0/1 G1/0/6是dmz区域,但G1/0/5是虚拟系统b的接口,G1/0/4是虚拟系统a的接口,那么这里有一个虚接口的概念,就是公共墙的虚拟口连接着虚拟墙的虚拟口,如下图,物理是一个墙但逻辑被分成了两个墙,各配各的,相互隔离


#
sysname fw3
#
undo info-center enable
#
vsys enable   \\开启虚拟系统
resource-class r1  \\设置资源类
 resource-item-limit session reserved-number 1000 maximum 3000 
 resource-item-limit policy reserved-number 100 
#
创建虚拟系统,分别加入对应的接口和资源类
vsys name vsys136a 1
 assign interface GigabitEthernet1/0/4
 assign resource-class r1
#
vsys name vsys136b 2
 assign interface GigabitEthernet1/0/5
 assign resource-class r1
#
将下联虚拟系统的接口绑定到vpn中(vpn就是虚拟系统)
interface GigabitEthernet1/0/1
 undo shutdown
 ip binding vpn-instance vsys136c
 ip address 172.23.136.254 255.255.255.0
#
interface GigabitEthernet1/0/4
 undo shutdown
 ip binding vpn-instance vsys136a
 ip address 172.22.136.254 255.255.255.0
#
下面就是普通的主墙接口
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 5.5.136.254 255.255.255.0
#
interface GigabitEthernet1/0/5
 undo shutdown
 ip address 172.21.136.254 255.255.255.0
#
interface GigabitEthernet1/0/6
 undo shutdown
 ip address 172.17.136.254 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface Virtual-if0  \\把主墙的虚拟接口加入到信任区域中
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 5.5.136.1  \\去外网的路由
ip route-static 172.21.136.0 255.255.255.0 vpn-instance vsys136b  \\到虚拟系统的vpn路由
ip route-static 172.22.136.0 255.255.255.0 vpn-instance vsys136a
#
写策略,虚拟墙的访问外网的流量最终都会从主墙出去
security-policy
 rule name to_internet
  source-zone trust
  destination-zone untrust
  action permit
#
写nat策略
nat-policy
 rule name nat1
  source-zone trust
  egress-interface GigabitEthernet1/0/2
  source-address 172.21.136.0 mask 255.255.255.0
  source-address 172.22.136.0 mask 255.255.255.0
  action source-nat easy-ip
#

虚拟墙a的配置
#
switch vsys vsys136a  \\进入虚拟墙a
#
这个接口就是刚才主墙配置过的
interface GigabitEthernet1/0/4
 undo shutdown
 ip binding vpn-instance vsys136a
 ip address 172.22.136.254 255.255.255.0
#
interface Virtual-if1
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/4  \\把分墙的物理口接入到对应虚拟系统的信任区中,
#
firewall zone dmz
 set priority 50
 add interface Virtual-if1  \\虚拟墙的逻辑接口加入到dmz
#
security-policy
这里的策略是从虚拟墙的接口流量到主墙的虚拟接口,放来回策略,所以是信任到dmz的流量
 rule name va-vb
  source-zone trust
  destination-zone dmz
  source-address 172.22.136.0 mask 255.255.255.0
  destination-address 172.21.136.0 mask 255.255.255.0
  action permit
 rule name vb-va
  source-zone dmz
  destination-zone trust
  source-address 172.21.136.0 mask 255.255.255.0
  destination-address 172.22.136.0 mask 255.255.255.0
  action permit
这条是需要nat的流量
 rule name t-dmz-nat
  source-zone trust
  destination-zone dmz
  source-address 172.22.136.0 mask 255.255.255.0
  action permit
#
ip route-static 0.0.0.0 0.0.0.0 public  \\nat所需要的出口路由,指向了主墙
ip route-static 172.22.136.0 255.255.255.0 public  \\到虚拟墙b的路由,指向了主墙
#

虚拟系统b与a类似
switch vsys vsys136b 
#
interface GigabitEthernet1/0/5
 undo shutdown
 ip binding vpn-instance vsys136b
 ip address 172.21.136.254 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/5
#
firewall zone untrust
 set priority 5
#
firewall zone dmz
 set priority 50
 add interface Virtual-if2
#
security-policy
 rule name vb-va
  source-zone trust
  destination-zone dmz
  source-address 172.21.136.0 mask 255.255.255.0
  destination-address 172.22.136.0 mask 255.255.255.0
  action permit
 rule name va-vb
  source-zone dmz
  destination-zone trust
  source-address 172.22.136.0 mask 255.255.255.0
  destination-address 172.21.136.0 mask 255.255.255.0
  action permit
 rule name t-dmz-nat
  source-zone trust
  destination-zone dmz
  source-address 172.21.136.0 mask 255.255.255.0
  action permit
#
ip route-static 0.0.0.0 0.0.0.0 public
ip route-static 172.22.136.0 255.255.255.0 public

虚拟墙a用户访问外网

虚拟墙b用户访问外网

虚拟墙a用户访问虚拟墙b用户

总结:防火墙的虚拟系统给我的感觉就像是单臂路由的思路,每个虚拟墙有一个虚拟接口连接着主墙的虚拟接口,所有访问的流量是虚拟墙首先到达主墙,再到其他虚拟墙,就是hub&spoke的感觉,然后就是防火墙自己的内容,每个墙都需要配置自己的路由和策略,首先虚拟墙的方向由虚拟墙内的路由来控制,其次再匹配虚拟墙内的安全策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1213073.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

算法学习打卡day45|动态规划:股票问题总结

Leetcode股票问题总结篇 动态规划的股票问题一共六道题,买卖股票最佳时机和买卖股票手续费都是一个类型的问题,维护好买入和卖出两个状态即可,方法一摸一样。而冷冻期也差不多就是状态多了点,买入、保持卖出、当日卖出、以及冷冻期…

黑马程序员微服务 第五天课程 分布式搜索引擎2

分布式搜索引擎02 在昨天的学习中,我们已经导入了大量数据到elasticsearch中,实现了elasticsearch的数据存储功能。但elasticsearch最擅长的还是搜索和数据分析。 所以今天,我们研究下elasticsearch的数据搜索功能。我们会分别使用DSL和Res…

《009.SpringBoot之汽车租赁系统》

《009.SpringBoot之汽车租赁系统》 项目简介 [1]本系统涉及到的技术主要如下: 推荐环境配置:DEA jdk1.8 Maven MySQL 前后端分离; 后台:SpringBootMybatisPlus; 前台:Layuivue; [2]功能模块展示: 前端门户 1.登录&a…

一键批量剪辑,创意黑白画面制作!

想要在视频画面上玩点新花样吗?想将你的视频制作成黑白画面风格吗?现在,我们为你带来了一款全新的批量剪辑工具,可以帮助你一键批量剪辑视频,并轻松制作出独特的黑白画面效果! 第一步,我们要进…

代码安全之代码混淆及加固(Android)

​ 目录 代码安全之代码混淆及加固(Android)🔒 摘要 引言 正文 代码混淆 代码加固 总结 参考资料 摘要 本文将介绍如何通过代码混淆和加固来保护Android应用的代码安全性。代码混淆是将代码进行加密,使其难以被反编译获得…

【LeetCode:2656. K 个元素的最大和 | 贪心+等差数列】

🚀 算法题 🚀 🌲 算法刷题专栏 | 面试必备算法 | 面试高频算法 🍀 🌲 越难的东西,越要努力坚持,因为它具有很高的价值,算法就是这样✨ 🌲 作者简介:硕风和炜,…

长安汽车基于 Apache Doris 的车联网数据分析平台建设实践

导读:随着消费者更安全、更舒适、更便捷的驾驶体验需求不断增长,汽车智能化已成必然趋势。长安汽车智能化研究院作为长安汽车集团有限责任公司旗下的研发机构,专注于汽车智能化技术的创新与研究。为满足各业务部门的数据分析需求,…

邮件钓鱼-邮件来源伪造-SPF绕过-setoolkitgohishswaks钓鱼

0x00 SPF简介 SPF即发送方策略框架,某种邮件服务器会有自己的SPF策略设定,可以设定SPF为只允许某些主机发送邮件等,当设定后第三方就无法伪造成邮件服务器的管理员对用户下发邮件。 是否存在SPF的验证: linux下:dig…

Servlet 常见的API

文章目录 写在前面Smart Tomcat 插件Servlet 中常见的API1. HttpServletinit 方法destroy 方法service 方法Servlet 的生命周期 使用 postman 构造请求使用 ajax 构造请求2. HttpServletRequest3. 前端给后端传参1). GET, query string2). POST, form3). json 4. HttpServletRe…

文件包含学习笔记总结

文件包含概述 ​ 程序开发人员通常会把可重复使用函数或语句写到单个文件中,形成“封装”。在使用某个功能的时候,直接调用此文件,无需再次编写,提高代码重用性,减少代码量。这种调用文件的过程通常称为包含。 ​ 程…

如何挑选护眼灯?光照均匀度、色温、眩光这3点!

光照环境对我们的生活质量影响深远,尤其在孩子的成长过程中,良好的光照环境对其学习效率、视力保护都至关重要。光照中的很多因素都对视力有着或大或小的影响,本文将从光照均匀度、眩光、色温三个关键点,深入浅出地让消费者了解其…

一键帮您解决win11最新版画图工具难用问题!

🦄个人主页:修修修也 ⚙️操作环境:Windows 11 正文 自从win11更新后,新版的画图工具变得非常难用,如: 使用橡皮擦后露出背版马赛克 框住某部分拖动移动时背景露出马赛克剪贴板上图片信息无法直接插入到画图板 目前没有一个好一些的能够在软件内部解决这些问题的方…

一家公司做了两年软件测试,只会功能测试,现在已经感到危机感了,那如何摆脱困境呢?

经常听到一些行业内的朋友说 “做测试,有手就行” 但事实真的是如此嘛? 随着测试行业的发展,越来越多的测试岗位对自动化测试,性能测试都有所要求,这对于很多只会功能测试的职场老人们来说,有了一丝丝的…

一个用于操作Excel文件的.NET开源库

推荐一个高性能、跨平台的操作Excel文件的.NET开源库。 01 项目简介 ClosedXML是一个.NET第三方开源库,支持读取、操作和写入Excel 2007 (.xlsx, .xlsm)文件,是基于OpenXML封装的,让开发人员无需了解OpenXML API底层API&#xf…

神经网络常见评价指标AUROC(AUC-ROC)、AUPR(AUC-PR)

神经网络的性能可以通过多个评价指标进行衡量,具体选择哪些指标取决于任务的性质。以下是神经网络中常见的评价指标: 准确性(Accuracy): 准确性是最常见的分类任务评价指标,表示模型正确预测的样本数占总样…

从真实案例出发,全方位解读 NebulaGraph 中的执行计划

本文整理自 NebulaGraph 核心开发 Yee 在直播《聊聊执行计划这件事》中的主题分享。分享视频参见 B站:https://www.bilibili.com/video/BV1Cu4y1h7gn/ 一条 Query 的一生 在开始正式地解读执行计划之前,我们先来了解在 NebulaGraph 中,一条…

使用MathType将文献中的数学公式进行转换

mathtype将文献中的数学公式进行转换 文章目录 mathtype将文献中的数学公式进行转换一、截图识别二、MathType下载与设置2.1、MathType介绍2.2、[下载位置](http://www.51xiazai.cn/soft/5975.htm)2.3、设置 三、使用MathType: 一、截图识别 这两个在线网站都可以将…

【云栖2023】姜伟华:Hologres Serverless之路——揭秘弹性计算组

本文根据2023云栖大会演讲实录整理而成,演讲信息如下: 演讲人:姜伟华 | 阿里云计算平台事业部资深技术专家、阿里云实时数仓Hologres研发负责人 演讲主题:Hologres Serverless之路——揭秘弹性计算组 实时化成为了大数据平台的…

多种格式图片可用的二维码生成技巧,快来学习一下

将图片存入二维码是现在很常见的一种图片展现方式,有效的节省了图片占用内容空间以及获取图片内容的速度,所以现在会有很多人将不同的图片、照片生成二维码展示。如何使用图片二维码生成器来快速生成二维码呢?下面就让小编来给大家分享一下图…

入站一个月涨粉80万!B站竖屏UP主如何突出重围?

B站仍然秉持着“内容为王”的社区氛围,这也是众多UP主们一同坚持的事。不管是今年宣布的Story Mode竖屏模式开放还是14周年庆上B站董事长兼CEO陈睿宣布作品播放量改播放分钟数等等改动来看,都能感受到B站在向更多优质创作者招手,并维护着优质…