防火墙虚拟系统

最新推荐文章于 2025-06-05 16:43:45 发布
最新推荐文章于 2025-06-05 16:43:45 发布
阅读量218 收藏 4
点赞数 6
文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2201_76045651/article/details/146025219
版权

一.实验拓扑

二.实验需求

1 、只存在一个公网 IP 地址,公司内网所有部门都需要借用同一个接口访问外网
2 、财务部禁止访问 Internet ,研发部门只有部分员工可以访问 Internet ,行政部门全部可以访问互联网
3 、为三个部门的虚拟系统分配相同的资源类
4、内部研发部能够访问财务部
5、由根系统管理员创建虚拟系统 abc 并且为其分配资源以及配置管理员
6、根系统管理员为内网用户创建安全策略和 NAT 策略
7、由 abc 三个虚拟系统各自完成 IP 、路由、安全策略配置

三.实验配置

开启虚拟系统并创建资源类

 其中r1,r2,r3内容一致

创建虚拟系统

 vsysb和vsysc创建方式与vsysa一致

创建管理员

[FW]switch vsys vsysa
[FW-vsysa]aaa
[FW-vsysa-aaa]manager-user admin@@vsysa 
[FW-vsysa-aaa-manager-user-admin@@vsysa]password 
Enter Password:admin@123
Confirm Password:admin@123
[FW-vsysa-aaa-manager-user-admin@@vsysa]level 15 
[FW-vsysa-aaa-manager-user-admin@@vsysa]service-type web telnet ssh 
[FW-vsysa-aaa-manager-user-admin@@vsysa]quit
[FW-vsysa-aaa]bind manager-user admin@@vsysa role system-admin

vsysb和vsysc管理员创建方式与a相同

配置FW路由器基本配置

[FW1]dis current-configuration interface
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 11.0.0.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip binding vpn-instance vsysa
 ip address 10.3.0.254 255.255.255.0
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip binding vpn-instance vsysb
 ip address 10.3.1.254 255.255.255.0
#
interface GigabitEthernet1/0/3
 undo shutdown
 ip binding vpn-instance vsysc
 ip address 10.3.2.254 255.255.255.0
#
interface Virtual-if0
 ip address 172.16.0.1 255.255.255.0
#
interface Virtual-if1
 ip address 172.16.1.1 255.255.255.0
#
interface Virtual-if2
 ip address 172.16.2.1 255.255.255.0
#
interface Virtual-if3
 ip address 172.16.3.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip binding vpn-instance vsysa
 ip address 10.3.0.254 255.255.255.0
#
interface Virtual-if1
 ip address 172.16.1.1 255.255.255.0
#
return
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip binding vpn-instance vsysb
 ip address 10.3.1.254 255.255.255.0
#
interface Virtual-if2
 ip address 172.16.2.1 255.255.255.0
#
return
#
interface GigabitEthernet1/0/3
 undo shutdown
 ip binding vpn-instance vsysc
 ip address 10.3.2.254 255.255.255.0
#
interface Virtual-if3
 ip address 172.16.3.1 255.255.255.0
#
return

[r1]dis current-configuration interface
interface GigabitEthernet0/0/0
 ip address 11.0.0.2 255.255.255.0
interface LoopBack0
 ip address 100.1.1.1 255.255.255.0

public区域安全策略及nat策略

[FW1-policy-security-rule-to_internet]dis this
2025-03-04 12:29:40.900 
#
 rule name to_internet
  source-zone trust
  destination-zone untrust
  action permit
#
return
[FW1]nat-policy
[FW1-policy-nat]
[FW1-policy-nat]
[FW1-policy-nat]dis this
2025-03-04 12:30:09.980 
#
nat-policy
 rule name a
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 mask 255.255.0.0
  action source-nat easy-ip
#
return
[FW1]ip route-static 0.0.0.0 0 11.0.0.2 
[FW1]dis zone 
2025-03-04 12:37:35.800 
local
 priority is 100
 interface of the zone is (0):
#
trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet0/0/0
    Virtual-if0
#
untrust
 priority is 5
 interface of the zone is (1):
    GigabitEthernet1/0/0
#
dmz
 priority is 50
 interface of the zone is (0):
#
vpn-instance vsysa local
 priority is 100
 interface of the zone is (0):
#
vpn-instance vsysa trust
 priority is 85
 interface of the zone is (1):
    GigabitEthernet1/0/1
#
vpn-instance vsysa untrust
 priority is 5
 interface of the zone is (1):
    Virtual-if1
#
vpn-instance vsysa dmz
 priority is 50
 interface of the zone is (0):
#
vpn-instance vsysb local
 priority is 100
 interface of the zone is (0):
#
vpn-instance vsysb trust
 priority is 85
 interface of the zone is (1):
    GigabitEthernet1/0/2
#
vpn-instance vsysb untrust
 priority is 5
 interface of the zone is (1):
    Virtual-if2
#
vpn-instance vsysb dmz
 priority is 50
 interface of the zone is (0):
#
vpn-instance vsysc local
 priority is 100
 interface of the zone is (0):
#
vpn-instance vsysc trust
 priority is 85
 interface of the zone is (1):
    GigabitEthernet1/0/3
#
vpn-instance vsysc untrust
 priority is 5
 interface of the zone is (1):
    Virtual-if3
#
vpn-instance vsysc dmz
 priority is 50
 interface of the zone is (0):
#

vsysa区域安全策略及缺省路由

[FW1-vsysa-policy-security]dis this
2025-03-04 12:31:46.930 
#
security-policy
 rule name to_vsysb
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 mask 255.255.255.0
  destination-address 10.3.1.0 mask 255.255.255.0
  action permit
 rule name to_internet
  source-zone trust
  destination-zone untrust
  source-address address-set aa
  action permit
#
return
[FW1-vsysa]ip route-static 0.0.0.0 0 public

vsysb区域安全策略及缺省路由

[FW1-vsysb]security-policy 
[FW1-vsysb-policy-security]dis this
2025-03-04 12:34:14.740 
#
security-policy
 rule name to_vsysa
  source-zone untrust
  destination-zone trust
  source-address 10.3.0.0 mask 255.255.255.0
  destination-address 10.3.1.0 mask 255.255.255.0
  action permit
#
return
[FW1-vsysb]ip route-static 0.0.0.0 0 public

vsysc区域安全策略及缺省路由

[FW1-vsysc]security-policy 
[FW1-vsysc-policy-security]dis this
2025-03-04 12:35:21.580 
#
security-policy
 rule name to_internet
  source-zone trust
  destination-zone untrust
  source-address 10.3.2.0 mask 255.255.255.0
  action permit
#
return
[FW1-vsysc]ip route-static 0.0.0.0 0 public

四.实验验证

pc1研发部能够访问外网 

pc2财务部不能访问

 pc3行政部可以访问

pc1研发部可以访问pc2财务部 

.Eric.
关注
防火墙虚拟系统与交换机虚拟系统防火墙旁挂)
earthtoearth的博客
06-22 1494
3、路由规划:采用OSPF路由,交换机对应不同用户的虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的两个虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的根系统和路由器接口对应区域0。2、交换机与防火墙之间使用链路聚合,分别设置4个逻辑接口,这四个接口分别两两对应两个防火墙虚拟系统实例VRF_A和VRF_B,其中交换机侧使用VLANIF接口,防火墙侧使用子接口。在虚拟系统VRF_B中与在VRF_A总相同,此处省略............在虚拟系统中设置接口等内容。
华为防火墙虚拟系统+IPsec VPN案例
qq_45024159的博客
11-05 1482
总部:部署了一台防火墙,想要通过一台防火墙即能在保证内网的数据安全的情况下与分部的内部通信,还要求外网的业务也经过防火墙进行转发(通过防火墙虚拟系统+IPsec VPN方式),分部:对安全性没有要求,使得内网设备不仅可以访问总部,还可以访问互联网络。小智公司有上海总部与广州分部两个办公地点。1.总部内网设备与分部可以实现互访。2.总部外网设备可以访问外网服务器。3.分部设备可以访问外网服务器网络规划:拓扑图已标注。
防火墙学习4---虚拟系统相关概念介绍
weixin_48030849的博客
05-14 2517
防火墙虚拟系统Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。每个虚拟系统相当于一台真实的设备。有自己的接口、地址集、用户/组、路由表项以及策略。每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统
防火墙——虚拟系统理论讲解
m0_49864110的博客
04-23 6105
当根系统去访问虚拟系统时,如果目的地址匹配到引流表“Destination Address”字段,正向命中引流表,根系统就按照引流表转发报文,将报文送到对应虚拟系统。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。当虚拟系统未开启时,管理员对FW的配置就是对根系统的配置,FW的管理员就是根系统的管理员。当虚拟系统开启时,根系统会继承先前FW的配置,FW上已有的管理员将成为根系统的管理员。
防火墙虚拟系统简介
2301_76769041的博客
04-18 967
虚拟系统是在一台物理设备上划分出的多台相互独立的逻辑设备,通过虚拟系统特性可以将一台物理设备从逻辑上划分为两个或多个虚拟系统。每个虚拟系统相当于一台真实的设备,拥有自己的接口、地址集、路由表项以及策略等资源,管理员可以对虚拟系统内部的业务和资源进行单独的配置和管理。
防火墙虚拟系统概述及实现原理
Mario_Ti的博客
02-07 2392
本文介绍防火墙虚拟系统实现原理。
防火墙虚拟系统互访配置实例
永远是少年
07-29 3132
今天继续给大家介绍华为USG6000系列防火墙。本文主要是以华为eNSP模拟器,介绍了华为下一代防火墙虚拟系统之间互访的配置实例。 阅读本文,您需要有一定的华为防火墙基础知识,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 防火墙虚拟系统资源分配配置实例 一、实验要求及拓扑 实验拓扑如上所示,要求为公司两个部门之间配置虚拟系统,并把相应接口划分为相应的虚拟系统。最后配置实现防火墙虚拟系统之间的互访,实现公司的两
防火墙虚拟系统NAT以及NAT server
谢谢爱放鸽子的博客
08-03 1596
防火墙虚拟系统NAT以及NAT server 实验topo: 实验目的: 熟悉虚拟系统原理 实验需求: 某云计算数据中心采用NGFW用于网关出口的安全防护,实际的要求如下: NGFW虽然只有一个公网接口,但是公网IP地址数量比较充足。通过在NGFW上配置服务器映射(NAT Server),客户可以通过独立的公网IP地址访问属于自己的服务器资源。企业A使用公网IP 200.1.1.11;企业...
巧用防火墙让虚拟机上网
携手凡生的博客
01-28 2098
1、通过firewall-cmd中的masquerade进行伪装 1)前提:真机的防火墙要开启 [root@foundation8 kiosk]# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd
华为防火墙虚拟系统的案例分析(个人总结向)
qq_47529104的博客
03-28 4555
案例一 如图整个拓扑的架构如图所示,上面蓝色的是子虚拟系统1,它分配了一个物理接口g1/0/0,在虚拟子系统1上面利用实现NAPT使得内网用户可以访问外网,同时在子虚拟系统1上面实现nat server使得192.168.0.1的服务器可以对外提供服务。 下面紫色的是子虚拟系统2,它也分配了一个物理接口g1/0/1,在虚拟子系统2上面同样利用NAPT使得内网的主机可以访问外网,同时在虚拟子系统使用no-reverse的nat server,使得内网主机可以被外部主机访问。 根系统的出口接口是g1.
AI问答-vue3+ts+vite:http://www.abc.com:3022/m-abc-pc/#/snow 这样的项目 在服务器怎么部署
最新发布
snow的博客
06-05 528
为什么记录有子路径项目的部署,因为,通过子路径可以区分项目,那么也就可以实现微前端架构,并且具有独特优势,每个项目都是绝对隔离的。 要将 Vue3 项目(如路径为 http://localhost:3022/m-saas-pc/#/snow)部署到服务器,需确保静态资源正确托管并配置路由回退,
Device-initiated I/O
mounter625的专栏
06-05 937
摘要 在2025年Linux存储、文件系统、内存管理与BPF峰会上,Stephen Bates主持了关于设备发起I/O的讨论,重点关注点对点DMA(P2PDMA)技术的演进。P2PDMA自2018年Linux 4.20内核版本引入,允许PCIe设备间直接传输数据而无需经过系统内存。当前该技术已支持Arm64架构,并解决了早期与IOMMU兼容的问题。 会议探讨了设备发起I/O作为P2PDMA的下一步发展方向,目标是减少CPU在高速I/O操作中的负载。随着NVMe SSD的IOPS突破千万级,传统CPU处理方式
服务器租用:高防CDN和加速CDN的区别
wanhengidc的博客
06-03 292
加速CDN的主要功能则是实现内容的快速分发和高效加速,通过构建庞大且广泛分布的服务器节点网络,将网站或者是应用的静态内容缓存到离用户最近的节点服务器当中,以此缩短数据传输的距离和时间,让用户能够快速访问到所需的数据信息,极大的提高了用户的体验感。CDN全称为内容分发网络,其主要的作用原理能够加快网站的数据传输的速度,随着技术的快速发展,CDN也分为高防CDN和加速CDN两种不同的类型,本文将为大家介绍一下高防CDN和加速CDN两者之间的区别有哪些?
华为防火墙虚拟系统
03-12
好的,我现在需要帮助用户了解华为防火墙虚拟系统的配置方法、使用指南或技术文档。首先,我需要回顾用户提供的引用内容,看看是否有相关的信息。用户引用了五个华为相关的文档,其中引用[2]提到了关闭防火墙和配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值