防火墙虚拟系统配置实验

最新推荐文章于 2025-03-12 18:58:02 发布
原创 最新推荐文章于 2025-03-12 18:58:02 发布 · 437 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #运维

一、实验拓扑:

二、实验需求:

安全策略要求:

1、只存在一个公网IP地址,公司内网所有部门都需要借用同一个接口访问外网

2、财务部禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门全部可以访问互联网

3、为三个部门的虚拟系统分配相同的资源类

三、配置思路:

1、由根系统管理员创建虚拟系统abc并且为其分配资源以及配置管理员
2、根系统管理员为内网用户创建安全策略和NAT策略
3、由abc三个虚拟系统各自完成IP、路由、安全策略配置 

四、配置步骤:

 1.先进行基础配置

[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip add 10.3.0.254 24
[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip add 10.3.1.254 24
[FW]interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3]ip add 10.3.2.254 24
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add 11.1.1.1 24

[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip add 11.1.1.2 24
[R1]int LoopBack  0
[R1-LoopBack0]ip add 100.1.1.1 24

2.开启虚拟系统 

[FW1]vsys enable

3.配置资源类

[FW1]resource-class r1 --创建资源类r1
[FW1-resource-class-r1]resource-item-limit session reserved-number 500 maximum 
1000
[FW1]display resource global-resource   ---查看剩余公共资源

 4.创建虚拟系统

[FW1]vsys name vsysa ---创建虚拟系统,名称为vsysa
[FW1-vsys-vsysa]assign resource-class r1 ---设定使用的资源类
[FW1-vsys-vsysa]assign interface GigabitEthernet 1/0/1 ---将接口划入虚拟系统

 

5.管理员配置 

[FW1]switch vsys vsysa ---切换到vsysa系统中
[FW1-vsysa]aaa [FW-vsysa-aaa]manager-user admin@@vsysa ---创建vsysa虚拟系统管理员,@@为固定,前为用户
名,后为虚拟系统名称
[FW1-vsysa-aaa-manager-user-admin@@vsysa]password   --配置密码,需要输入两遍,密码没有回显
Enter Password:admin@123
Confirm Password:admin@123
[FW1-vsysa-aaa-manager-user-admin@@vsysa]level 15 --设定权限
[FW1-vsysa-aaa-manager-user-admin@@vsysa]service-type web telnet ssh ---设定登录服务,一般选择ssh和web即可
[FW1-vsysa-aaa-manager-user-admin@@vsysa]quit 
[FW1-vsysa-aaa]bind manager-user admin@@vsysa role system-admin   ---定义admin@@vsysa用户为系统管理员

6.配置安全策略和NAT策略

安全策略:

[FW1]security-policy
[FW1-policy-security]rule name to_internet
[FW1-policy-security-rule-to_internet]source-zone trust 
[FW1-policy-security-rule-to_internet]destination-zone trust 
[FW1-policy-security-rule-to_internet]action permit
 
NAT策略:

[FW1]nat-policy
[FW1-policy-nat]rule name nat1
[FW1-policy-nat-rule-nat1]source-zone trust 
[FW1-policy-nat-rule-nat1]egress-interface GigabitEthernet 1/0/0
[FW1-policy-nat-rule-nat1]source-zone	
[FW1-policy-nat-rule-nat1]source-address 10.3.0.0 16	
[FW1-policy-nat-rule-nat1]action source-nat easy-ip

 7.配置虚拟系统

[FW1]switch vsys vsysa
<FW1-vsysa>sys
[FW1-vsysa]int g 1/0/1
[FW1-vsysa-GigabitEthernet1/0/1]ip address 10.3.0.254 24
[FW1-vsysa-GigabitEthernet1/0/1]q
[FW1-vsysa]int Virtual-if 1
[FW1-vsysa-Virtual-if1]ip address 172.16.1.1 24

[FW1-vsysa]firewall zone trust 
[FW1-vsysa-zone-trust]add	
[FW1-vsysa-zone-trust]add int g 1/0/1
[FW1-vsysa-zone-trust]q
[FW1-vsysa]firewall zone untrust 
[FW1-vsysa-zone-untrust]add int Virtual-if 1

[FW1-vsysa]ip route-static 0.0.0.0 0 public 

[FW1-vsysa]ip address-set ip_add01 type object 
[FW1-vsysa-object-address-set-ip_add01]address range 10.3.0.1 10.3.0.10  
                            
                                                  -----创建地址组,确定可以访问互联网的用户地址


[FW1-vsysa]security-policy
[FW1-vsysa-policy-security]rule name to_internet
[FW1-vsysa-policy-security-rule-to_internet]source-zone trust 
[FW1-vsysa-policy-security-rule-to_internet]destination-zone untrust 
[FW1-vsysa-policy-security-rule-to_internet]source-address address-set ip_add01
[FW1-vsysa-policy-security-rule-to_internet]action permit

FW-vsysa-policy-security]rule move to_vsysb before to_internet  

[FW]switch vsys vsysb
[FW-vsysb]int g 1/0/2
[FW-vsysb-GigabitEthernet1/0/2]ip add 10.3.1.254 24	
[FW-vsysb]int Virtual-if 2
[FW-vsysb-Virtual-if2]ip add 172.16.2.1 24

[FW-vsysb]firewall zone untrust 
[FW-vsysb-zone-untrust]add interface Virtual-if 2
[FW-vsysb]firewall zone trust 
[FW-vsysb-zone-trust]add int g 1/0/2

[FW-vsysb]ip route-static 0.0.0.0 0 public 


[FW]switch vsys vsysb
[FW-vsysc]int g 1/0/3
[FW-vsysc-GigabitEthernet1/0/3]ip add 10.3.2.254 24	
[FW-vsysc]int Virtual-if 3
[FW-vsysc-Virtual-if3]ip add 172.16.3.1 24

[FW-vsysc]firewall zone untrust 
[FW-vsysc-zone-untrust]add interface Virtual-if 3
[FW-vsysc]firewall zone trust 
[FW-vsysc-zone-trust]add int g 1/0/3

[FW-vsysc]ip route-static 0.0.0.0 0 public 

[FW1-vsysc]security-policy
[FW1-vsysc-policy-security]rule name to_internet
[FW1-vsysc-policy-security-rule-to_internet]source-zone trust 
[FW1-vsysc-policy-security-rule-to_internet]destination-zone untrust 
[FW1-vsysc-policy-security-rule-to_internet]source-address 10.3.2.0 24
[FW1-vsysc-policy-security-rule-to_internet]action permit

 

[FW1]ip route-static vpn-instance vsysa 10.3.1.0 24 vpn-instance vsysb ---在根系统上,为vsysa系统配置静态路由,指向vsysb

 五、实验验证:

1.研发部访问Internet

2.财务部不能访问Internet;行政部能访问Internet

 

LOXOI
关注
防火墙虚拟系统综合实验1
earthtoearth的博客
08-13 1211
1、接口地址配置防火墙接口地址外网为.12,内网虚拟墙侧均为.254,内网PC1和server均为.10,外网PC为.105,如图所示配置相应接口地址及终端地址。在根系统上配置路由使外网能够访问内网服务器端、使内网客户端访问内网服务器端,使内网能够访问外网。在两个虚拟系统设置路由使其能够访问根系统。3、nat server配置虚拟系统连接服务器端。
防火墙虚拟系统与交换机虚拟系统防火墙旁挂)
earthtoearth的博客
06-22 1722
3、路由规划:采用OSPF路由,交换机对应不同用户的虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的两个虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的根系统和路由器接口对应区域0。2、交换机与防火墙之间使用链路聚合,分别设置4个逻辑接口,这四个接口分别两两对应两个防火墙虚拟系统实例VRF_A和VRF_B,其中交换机侧使用VLANIF接口,防火墙侧使用子接口。在虚拟系统VRF_B中与在VRF_A总相同,此处省略............在虚拟系统中设置接口等内容。
配置华为防火墙虚拟系统
2301_76769137的博客
12-29 1416
步骤3:配置静态路由和策略,就能实现,实现路由可达,不同的虚拟系统通信,需要通过virtual-if接口通信,因此静态路由的下一跳,写虚拟系统的vpn实例即可。如图所示,在防火墙上创建两个虚拟系统,分别命名为vsysa、vsysb,PC1属于vsysa、PC2属于vsysb,最终实现PC1和PC2能够互相访问。步骤1:创建虚拟系统,并且将虚拟系统、根系统都视为独立的设备,将虚拟接口视为设备之间通信对应的接口,通过划分到对应的虚拟系统。3)配置一般设备间互访vsysb的思路ip地址(配置前注意退出到根系统)
防火墙虚拟系统资源分配配置实例
永远是少年
07-28 3702
今天继续给大家介绍华为USG6000系列防火墙。本文主要使用华为eNSP模拟器,实现了防火墙虚拟系统的资源配置及管理功能。 阅读本文,您需要有一定的防火墙基础知识,如果您对此存在困惑,欢迎查阅我博客的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 一、实验拓扑及目的 实验拓扑如上所示,现在要求给部门1和部门2分别配置虚拟系统,并命名为VSYSA和VSYSB,并给虚拟系统分配资源并创建管理用户。 二、实验相关配置命令 (一)创建虚拟系统相关命令 在防火墙
虚拟系统配置实验
2302_81055059的博客
03-04 365
FW1]ip route-static vpn-instance vsysa 10.3.1.0 24 vpn-instance vsysb ---在根系统上,为vsysa系统配置静态路由,指向vsysb。2、财务部禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门全部可以访问互联网。1、由根系统管理员创建虚拟系统abc并且为其分配资源以及配置管理员。3、由abc三个虚拟系统各自完成IP、路由、安全策略配置。3、为三个部门的虚拟系统分配相同的资源类。
华为防火墙vsys之虚拟防火墙配置
IT技术
01-11 5371
华为防火墙vsys之虚拟防火墙配置
防火墙虚拟系统配置
Mario_Ti的博客
03-02 1043
本文介绍防火墙虚拟系统基础配置虚拟系统互访、虚拟系统通过根系统访问互联网、引流表。
防火墙虚拟系统实验操作
2302_81651427的博客
03-12 1201
在最上面选择系统,最左边选择虚拟系统下的子功能资源类,然后点击新建,就可以配置资源类,在按照要求创建资源类2和3,如下两图所示。在最上面选择系统,最左边选择虚拟系统下的子功能虚拟系统,然后点击新建,就可以新建一个虚拟系统,r2,r3。创建虚拟系统管理员,在切换虚拟系统后,点击最上面的系统,在在左边的管理员那,点击新建就可以创建管理员了。在根系统上,为vsysa系统配置静态路由,指向vsysb,算是从虚拟系统虚拟系统的访问l。创建vsysa虚拟系统管理员,@@为固定,前为用户名,后为虚拟系统名称。
华为防火墙虚拟系统实验
Ddfgxfgg的博客
10-26 2952
华为防火墙配置虚拟系统
防火墙虚拟系统实验
lkjh1112的博客
03-07 995
1、只存在一个公网IP地址,公司内网所有部门都需要借用同一个接口访问外网2、财务部禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门全部可以访 问互联网3、为三个部门的虚拟系统分配相同的资源类。
防火墙虚拟系统
C13136398183的博客
03-07 243
防火墙虚拟系统
eNSP:防火墙设置模拟公司配置(二)
qq_73704466的博客
07-12 1340
找到NAT 勾选NAT,选择办公到电信,填写公网电信的IP范围,并且配置上路由黑洞。办公设备可以通过电信连接和移动上网(多对多NAT,并且需要保留一个公网IP)这里选电信和移动,不用快速建立安全策略,因为我们之前已经建立了。分公司通过公网移动电信,访问DMZ的http服务器。点击下方高级,配置转换的个数范围和保留的IP地址。接下来给ISP设备配置静态路由,方便公司间的通讯。成功,现在我们来配置分公司的NAT和安全策略。并点击下方的安全策略,配置上安全策略(电信。除此之外,还要配置上我们的NAT,
防火墙虚拟系统(基础)
SSR_ZZ的博客
12-25 1432
【代码】防火墙虚拟系统(基础)
防火墙虚拟系统互访配置实例
永远是少年
07-29 3351
今天继续给大家介绍华为USG6000系列防火墙。本文主要是以华为eNSP模拟器,介绍了华为下一代防火墙虚拟系统之间互访的配置实例。 阅读本文,您需要有一定的华为防火墙基础知识,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 防火墙虚拟系统资源分配配置实例 一、实验要求及拓扑 实验拓扑如上所示,要求为公司两个部门之间配置虚拟系统,并把相应接口划分为相应的虚拟系统。最后配置实现防火墙虚拟系统之间的互访,实现公司的两
山石防火墙安装使用
qq_48257021的博客
01-31 3307
山石虚拟防火墙,可以安装在workstation上。
华为模拟器防火墙配置实验(二)--安全策略配置部分以及NAT服务
m0_64402992的博客
01-26 2224
1,在上我们已经完成了可以点击链接查看相关配置2,现在我们只需要对进行实验配置即可剩下需要配置的需求如下:(3)生产区在工作时间内可以访问服务器区,仅可以访问HTTP服务器(4)办公区全天可以访问服务器区,其中10.0.2.10可以访问FTP服务器和HTTP服务器,10.0.2.20仅可以ping通10.0.3.10(5)办公区在访问服务器区时采用匿名认证的方式进行网上行为管理(6)办公区可以访问公网其他区域不可以。
华为防火墙NAT模拟环境配置详解(可跟做)
:Struggle.
09-09 1766
今天主要是做一个基于NAT技术的模拟环境,有关NAT工作原理及概念的大家可以参考博文请https://blog.51cto.com/14156658/2434477 环境如下: 需求如下: 内网客户端可以访问互联网服务器(ping通即可) 互联网客户端可以访问内网服务器(通过FTP访问) 内网服务器可以访问互联网服务器(ping通即可) 开始配置服务器及客户端配置如下: 防火墙配...
网御星云防火墙端口映射配置
flysnownet的博客
05-22 9100
keyword:网御星云端口映射配置 前言 服务器在内网里,网络通过防火墙pppoe拨号接入互联网,想要外网能够访问到服务器,需要配置端口映射实现 条件 有公网ip,可以打电话给运营商客服说改成公网ip,(ip不是固定的,可以通过ddns用域名访问) 只能使用非80,443等常用端口 配置 -设置服务器地址 新建需要映射的服务并确定端口 多个端口可以写多个 点击网络接口 确定公网IP地址 点击防火墙-策略-nat 新建端口映射 公开地址选 刚才查看的公网IP 内部地址就是服务
防火墙虚拟系统互访
最新发布
04-25
### 防火墙虚拟系统互访配置方法 #### 扩展模式下的间接互访配置 为了实现防火墙虚拟系统间的互访,可以通过设置共享虚拟系统(Shared-vsys)作为路由中转来完成间接互访。在此过程中,需在根系统的系统视图下启用跨虚拟系统的转发功能,并将其配置为扩展模式。具体操作是通过执行命令 `firewall forward cross-vsys extended` 来开启该功能[^1]。 #### 虚拟系统划分与接口分配 按照实际需求,将不同部门对应的物理或逻辑接口分别划分到各自的虚拟系统中。例如,在实验环境中,假设存在两个部门 A 和 B,则需要分别为这两个部门创建独立的虚拟系统 vsys-A 和 vsys-B,并将对应网络接口绑定至各自所属的虚拟系统内[^2]。 #### 安全策略配置 为了让两个虚拟系统能够正常通信,还需要定义适当的安全策略以允许数据包穿越这些虚拟边界。这通常涉及以下几个方面: - **入方向安全策略**:针对源地址来自另一个虚拟系统的流量制定放行规则; - **出方向安全策略**:对于目标地址指向其他虚拟系统的请求也应建立相应的许可机制; - **NAT转换处理**:如果涉及到公网访问或者隐藏内部IP结构的情况,则可能还需考虑源地址翻译(Source NAT) 的应用。 以下是基于上述描述的一个简化版Python脚本模拟如何自动化部分此类配置过程: ```python def configure_cross_vsys_firewall(virtual_systems, shared_vsys_name="shared"): commands = [] # Enable Cross-VSYS Extended Mode on Root System commands.append("firewall forward cross-vsys extended") for sys in virtual_systems: if sys != shared_vsys_name: # Example Security Policy Configuration between VSYSes allow_policy = f"security-policy rule permit source {sys} destination {shared_vsys_name}" commands.append(allow_policy) nat_rule = f"nat outbound interface eth0 from-zone {sys} to-zone external" commands.append(nat_rule) return "\n".join(commands) virtual_system_list = ["vsys-a", "vsys-b"] print(configure_cross_vsys_firewall(virtual_system_list)) ``` 以上代码片段展示了如何生成一系列CLI指令用于激活跨虚拟系统的高级转发特性以及设立基本的安全性和NAT规则[^1]^。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值