防火墙虚拟系统实验

最新推荐文章于 2025-03-11 23:16:34 发布
最新推荐文章于 2025-03-11 23:16:34 发布
阅读量651 收藏 25
点赞数 22
CC 4.0 BY-SA版权
分类专栏: 网络 网络安全 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aihua002/article/details/146182939

拓扑图

安全策略要求:
1 、只存在一个公网 IP 地址,公司内网所有部门都需要借用同一个接口访问外网
2 、财务部禁止访问 Internet ,研发部门只有部分员工可以访问 Internet ,行政部门全部可以访问互联网
3 、为三个部门的虚拟系统分配相同的资源

需求分析
1 、由根系统管理员创建虚拟系统 abc 并且为其分配资源以及配置管理员
2 、根系统管理员为内网用户创建安全策略和 NAT 策略
3 、由 abc 三个虚拟系统各自完成 IP 、路由、安全策略配置

配置信息

1、启动虚拟系统

2、配置资源类

[FW]resource-class r1 
[FW-resource-class-r1]resource-item-limit session reserved-number 500 maximum 1000
[FW-resource-class-r1]resource-item-limit bandwidth 2 outbound
[FW-resource-class-r1]resource-item-limit user reserved-number 100
[FW-resource-class-r1]resource-item-limit policy reserved-number 200

3、创建虚拟系统
[FW]vsys name vsysa
[FW-vsys-vsysa]assign resource-class r1 
[FW-vsys-vsysa]assign interface GigabitEthernet 1/0/1

4、管理员配置
[FW]switch vsys vsysa 
[FW-vsysa]aaa[FW-vsysa-aaa]manager-user admin@@vsysa
[FW-vsysa-aaa-manager-user-admin@@vsysa]password
[FW-vsysa-aaa-manager-user-admin@@vsysa]level 15
[FW-vsysa-aaa-manager-user-admin@@vsysa]service-type web telnet ssh
[FW-vsysa-aaa-manager-user-admin@@vsysa]quit
[FW-vsysa-aaa]bind manager-user admin@@vsysa role system-admin

5、根系统配置

[FW]ip route-static 10.3.1.0 24 vpn-instance vsysb

[FW]ip route-static vpn-instance vsysa 10.3.1.0 24 vpn-instance vsysb

6、vsysa配置
[FW-vsysa]interface GigabitEthernet 1/0/1 
[FW-vsysa-GigabitEthernet1/0/1]ip address 10.3.0.254 24

[FW-vsysa]interface Virtual-if 1    
[FW-vsysa-Virtual-if1]ip address 172.16.1.1 24

[FW-vsysa]firewall zone trust 
[FW-vsysa-zone-trust]add interface GigabitEthernet 1/0/1    
[FW-vsysa]firewall zone untrust    
[FW-vsysa-zone-untrust]add interface Virtual-if 1

[FW-vsysa]ip route-static 0.0.0.0 0 public

[FW-vsysa]ip address-set ip_add01 type object    
[FW-vsysa-object-address-set-ip_add01]address range 10.3.0.1 10.3.0.10

[FW-vsysa]security-policy 
[FW-vsysa-policy-security]rule name to_internet
[FW-vsysa-policy-security-rule-to_internet]source-zone trust  
[FW-vsysa-policy-security-rule-to_internet]destination-zone untrust   
[FW-vsysa-policy-security-rule-to_internet]source-zone         
[FW-vsysa-policy-security-rule-to_internet]source-address address-set ip_add01 
[FW-vsysa-policy-security-rule-to_internet]action permit 

[FW-vsysa]sec    
[FW-vsysa-policy-security]rule name to_vsysb
[FW-vsysa-policy-security-rule-to_vsysb]source-zone trust    
[FW-vsysa-policy-security-rule-to_vsysb]destination-zone untrust    
[FW-vsysa-policy-security-rule-to_vsysb]source-address 10.3.0.0 24 
[FW-vsysa-policy-security-rule-to_vsysb]destination-address 10.3.1.0 24
[FW-vsysa-policy-security-rule-to_vsysb]action permit 

[FW-vsysa-policy-security]rule move to_vsysb before to_internet

7、vsysb配置
[FW]switch vsys vsysb

[FW-vsysb]interface Virtual-if2
[FW-vsysb-Virtual-if2]ip address 172.16.2.1 24
[FW-vsysb]interface GigabitEthernet 1/0/2   
[FW-vsysb-GigabitEthernet1/0/2]ip address 10.3.1.254

[FW-vsysb]firewall zone trust   
[FW-vsysb-zone-trust]add interface GigabitEthernet 1/0/2
[FW-vsysb]firewall zone untrust   
[FW-vsysb-zone-untrust]add interface Virtual-if 2

[FW-vsysb]ip route-static 0.0.0.0 0 public 

[FW-vsysb]security-policy  
[FW-vsysb-policy-security]rule name vsysa_to   
[FW-vsysb-policy-security-rule-vsysa_to]source-zone untrust 
[FW-vsysb-policy-security-rule-vsysa_to]destination-zone trust   
[FW-vsysb-policy-security-rule-vsysa_to]source-address 10.3.0.0 24 
[FW-vsysb-policy-security-rule-vsysa_to]destination-address 10.3.1.0 24    
[FW-vsysb-policy-security-rule-vsysa_to]action permit 

8、vsysc配置
[FW]switch vsys vsysc
[FW-vsysc]interface GigabitEthernet 1/0/3
[FW-vsysc-GigabitEthernet1/0/3]ip address 10.3.2.254 24
[FW-vsysc]interface Virtual-if 3  
[FW-vsysc-Virtual-if3]ip address 172.16.3.1 24
[FW-vsysc]firewall zone trust    
[FW-vsysc-zone-trust]add interface GigabitEthernet 1/0/3  
[FW-vsysc]firewall zone untrust 
[FW-vsysc-zone-untrust]add interface Virtual-if 3

[FW-vsysc]ip route-static 0.0.0.0 0 public

[FW-vsysc]security-policy   
[FW-vsysc-policy-security]rule name to_internet
[FW-vsysc-policy-security-rule-to_internet]source-zone trust 
[FW-vsysc-policy-security-rule-to_internet]destination-zone untrust 
[FW-vsysc-policy-security-rule-to_internet]source-address 10.3.2.0 24
[FW-vsysc-policy-security-rule-to_internet]action permit

测试

研发部门只有部分员工可以访问Internet

财务部禁止访问Internet

行政部门全部可以访问互联网

内网互通

防火墙虚拟系统与交换机虚拟系统防火墙旁挂)
earthtoearth的博客
06-22 1537
3、路由规划:采用OSPF路由,交换机对应不同用户的虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的两个虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的根系统和路由器接口对应区域0。2、交换机与防火墙之间使用链路聚合,分别设置4个逻辑接口,这四个接口分别两两对应两个防火墙虚拟系统实例VRF_A和VRF_B,其中交换机侧使用VLANIF接口,防火墙侧使用子接口。在虚拟系统VRF_B中与在VRF_A总相同,此处省略............在虚拟系统中设置接口等内容。
防火墙虚拟系统综合实验1
earthtoearth的博客
08-13 1143
1、接口地址配置:防火墙接口地址外网为.12,内网虚拟墙侧均为.254,内网PC1和server均为.10,外网PC为.105,如图所示配置相应接口地址及终端地址。在根系统上配置路由使外网能够访问内网服务器端、使内网客户端访问内网服务器端,使内网能够访问外网。在两个虚拟系统设置路由使其能够访问根系统。3、nat server配置。虚拟系统连接服务器端。
防火墙期末设计大作业(ensp)
08-09
企业网可通过IPsec VPN在公网上为三个甚至三个异地私有网络提供安全通信通道,通过加密通道保证连接的安全性,此时内部的服务器仅对认可的用户开放服务,大大的提高了网络的扩展性、便捷性与安全性。 北京总部部署web服务器向外界提供web服务,使得外网用户也能访问内网中的服务器资源。 使用点到点的IPSec VPN,实现总部和各分部,分部和分部安全数据传输。
防火墙作业
weixin_30318645的博客
05-20 379
自反ACL实验配置 拓扑图 R4为外网,R2和R3为内网。 地址表 Device Interface IPaddress R1 F 0/0 10.1.17.1 F 0/1 14.1.17.1 R2 F 0/0 10.1.17.2 ...
防御保护第一次实验:安全策略配置
SLYRN9的博客
01-29 590
防火墙安全策略实验
防火墙作业1
iLoyalty的博客
07-11 422
结束.
HCIE-Datacom防火墙虚拟系统LAB实验手册
03-12
HCIE-Datacom防火墙虚拟系统LAB实验手册
防火墙虚拟系统
earthtoearth的博客
06-21 1105
1、正向引流表(目的地址匹配,服务器访问虚拟系统B,节约根系统资源)1、在防火墙上启动虚拟系统,设置相应的接口、路由,实现各系统互联;2、反向引流表(源地址匹配,虚拟系统访问服务器,节省根系统资源)(二)引流表配置(为减少防火墙上的引流表,节约防火墙资源)2、并通过引流表对虚拟系统进行优化,节省根系统资源。(一)实现PC1与服务器服务器与PC2互通。2、在VRF_A上设置静态路由。(三)实现PC1至PC2互通。3、在根系统上设置静态路由。一、实验思路和网络拓扑。
华为防火墙虚拟系统+IPsec VPN案例
qq_45024159的博客
11-05 1538
总部:部署了一台防火墙,想要通过一台防火墙即能在保证内网的数据安全的情况下与分部的内部通信,还要求外网的业务也经过防火墙进行转发(通过防火墙虚拟系统+IPsec VPN方式),分部:对安全性没有要求,使得内网设备不仅可以访问总部,还可以访问互联网络。小智公司有上海总部与广州分部两个办公地点。1.总部内网设备与分部可以实现互访。2.总部外网设备可以访问外网服务器。3.分部设备可以访问外网服务器。网络规划:拓扑图已标注。
计算机网络期末大作业:以防火墙作为出口设备的小型企业园区网络架构设计与实现
m0_74169440的博客
01-18 2599
计算机网络毕业设计(期末大作业):以防火墙作为出口设备的小型企业园区网络架构设计与实现
大作业13-防火墙设置firewall
xiaoyuerp的博客
11-14 334
    # MySQL端口: [root@localhost ~]# sh ./cmd.sh "/root/DBServerIP.txt" "root" "lri35krJF;ba" "firewall-add-port=3306/tcp --permanent" # web端口: [root@localhost ~]# sh ./cmd.sh "/root/WebServerIP.txt"...
ensp防火墙综合实验作业+实验报告
m0_73996670的博客
07-12 894
实验目的要求及拓扑图:我的拓扑:更改防火墙和交换机: 防火墙配置子接口:防火墙策略建立:nat策略可以上网的关键:用户和组的创建最终
大作业12-防火墙设置-iptables
xiaoyuerp的博客
11-12 361
1 firewalld和netfilter 1. 临时关闭selinux(防火墙) : setenforce 0 [root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce 2. 永久关闭selinux(防火墙),编辑...config配置文件 :(好多服务,受限于selinux,关闭selinux也不会有太大的安全问题...
gns3 大作业
m0_46623421的博客
06-27 700
gns3 pix防火墙大作业 目录gns3 pix防火墙大作业实验要求实验拓扑图实验配置虚拟pc(服务器)inside部分主机C1C2C3C4C5路由器R1R2R3PIXadmincon1最后进行限速 实验要求 作为一个大型企业信息中心部门的安全管理员,公司对现有网络进行安全加固,要求对本公司内部增加边界防火墙,公司内部有多个部门,包括技术部、财务部和售后部等。由安全管理员实施防火墙的网络拓扑结构设计,通过为公司添加网络设备防火墙、路由器等设备,从而实现可分离可监控可追溯的网络流量管理,公司各个部门之间可以
第十一章,防火墙虚拟系统
firshman_start的博客
03-11 685
可以把每一个虚拟系统当做一个真实的设备,虚拟系统是存在自己的接口、地址集、用户组、路由表、会话表、安全策略等等一系列内容。,资源类就是待分配资源的集合,或者说是某一个系统的资源。是把可以分配的资源项做了一个最大值和最小值的分配,并将该资源类与虚拟系统进行绑定。因为虚拟系统和根系统都需要按照防火墙转发流程对报文进行处理,所以虚拟系统和根系统中分别要完成策略、路由等配置。虚拟系统管理员只能够进入到所属的虚拟系统中,进行配置和管理,并且查看的业务也仅仅属。物理设备的资源,可以被分配给其他的虚拟系统
HCIE-防火墙高级特性
qq_33794290的博客
06-09 1325
双机热备需要两台硬件和软件配置均相同的防火墙组成双机热备系统。防火墙之间通过独立的链路连接(心跳线),通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPsec SA等)。当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。部署要求目前只支持两台设备进行双机热备。主备设备的产品型号和版本必须相同。主备设备业务板和接口卡的位置、类型和数目都须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题。
如何解决防火墙阻止了虚拟机与主机之间互相ping通的问题
Sun's Blog
08-28 1815
1.打开WIN10防火墙,选择高级设置 2.入站规则 3.找到配置文件类型为“公用”的“文件和打印共享(回显请求–ICMPv4-In)”规则,设置为允许。 如果上面步骤没有问题还ping不通,可能是这个原因,我们一般都是自动获取ip地址和网关,设置为手动就可以了。打开cmd查看你的IP地址,ipconfig,记住IP地址和默认网关,然后打开网络...
防火墙虚拟系统互访
最新发布
04-25
### 防火墙虚拟系统互访配置方法 #### 扩展模式下的间接互访配置 为了实现防火墙虚拟系统间的互访,可以通过设置共享虚拟系统(Shared-vsys)作为路由中转来完成间接互访。在此过程中,需在根系统的系统视图下启用跨虚拟系统的转发功能,并将其配置为扩展模式。具体操作是通过执行命令 `firewall forward cross-vsys extended` 来开启该功能[^1]。 #### 虚拟系统划分与接口分配 按照实际需求,将不同部门对应的物理或逻辑接口分别划分到各自的虚拟系统中。例如,在实验环境中,假设存在两个部门 A 和 B,则需要分别为这两个部门创建独立的虚拟系统 vsys-A 和 vsys-B,并将对应网络接口绑定至各自所属的虚拟系统内[^2]。 #### 安全策略配置 为了让两个虚拟系统能够正常通信,还需要定义适当的安全策略以允许数据包穿越这些虚拟边界。这通常涉及以下几个方面: - **入方向安全策略**:针对源地址来自另一个虚拟系统的流量制定放行规则; - **出方向安全策略**:对于目标地址指向其他虚拟系统的请求也应建立相应的许可机制; - **NAT转换处理**:如果涉及到公网访问或者隐藏内部IP结构的情况,则可能还需考虑源地址翻译(Source NAT) 的应用。 以下是基于上述描述的一个简化版Python脚本模拟如何自动化部分此类配置过程: ```python def configure_cross_vsys_firewall(virtual_systems, shared_vsys_name="shared"): commands = [] # Enable Cross-VSYS Extended Mode on Root System commands.append("firewall forward cross-vsys extended") for sys in virtual_systems: if sys != shared_vsys_name: # Example Security Policy Configuration between VSYSes allow_policy = f"security-policy rule permit source {sys} destination {shared_vsys_name}" commands.append(allow_policy) nat_rule = f"nat outbound interface eth0 from-zone {sys} to-zone external" commands.append(nat_rule) return "\n".join(commands) virtual_system_list = ["vsys-a", "vsys-b"] print(configure_cross_vsys_firewall(virtual_system_list)) ``` 以上代码片段展示了如何生成一系列CLI指令用于激活跨虚拟系统的高级转发特性以及设立基本的安全性和NAT规则[^1]^。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值