防火墙虚拟系统实验

拓扑图

安全策略要求:
1 、只存在一个公网 IP 地址,公司内网所有部门都需要借用同一个接口访问外网
2 、财务部禁止访问 Internet ,研发部门只有部分员工可以访问 Internet ,行政部门全部可以访问互联网
3 、为三个部门的虚拟系统分配相同的资源

需求分析
1 、由根系统管理员创建虚拟系统 abc 并且为其分配资源以及配置管理员
2 、根系统管理员为内网用户创建安全策略和 NAT 策略
3 、由 abc 三个虚拟系统各自完成 IP 、路由、安全策略配置

配置信息

1、启动虚拟系统

2、配置资源类

[FW]resource-class r1 
[FW-resource-class-r1]resource-item-limit session reserved-number 500 maximum 1000
[FW-resource-class-r1]resource-item-limit bandwidth 2 outbound
[FW-resource-class-r1]resource-item-limit user reserved-number 100
[FW-resource-class-r1]resource-item-limit policy reserved-number 200

3、创建虚拟系统
[FW]vsys name vsysa
[FW-vsys-vsysa]assign resource-class r1 
[FW-vsys-vsysa]assign interface GigabitEthernet 1/0/1

4、管理员配置
[FW]switch vsys vsysa 
[FW-vsysa]aaa[FW-vsysa-aaa]manager-user admin@@vsysa
[FW-vsysa-aaa-manager-user-admin@@vsysa]password
[FW-vsysa-aaa-manager-user-admin@@vsysa]level 15
[FW-vsysa-aaa-manager-user-admin@@vsysa]service-type web telnet ssh
[FW-vsysa-aaa-manager-user-admin@@vsysa]quit
[FW-vsysa-aaa]bind manager-user admin@@vsysa role system-admin

5、根系统配置

[FW]ip route-static 10.3.1.0 24 vpn-instance vsysb

[FW]ip route-static vpn-instance vsysa 10.3.1.0 24 vpn-instance vsysb

6、vsysa配置
[FW-vsysa]interface GigabitEthernet 1/0/1 
[FW-vsysa-GigabitEthernet1/0/1]ip address 10.3.0.254 24

[FW-vsysa]interface Virtual-if 1    
[FW-vsysa-Virtual-if1]ip address 172.16.1.1 24

[FW-vsysa]firewall zone trust 
[FW-vsysa-zone-trust]add interface GigabitEthernet 1/0/1    
[FW-vsysa]firewall zone untrust    
[FW-vsysa-zone-untrust]add interface Virtual-if 1

[FW-vsysa]ip route-static 0.0.0.0 0 public

[FW-vsysa]ip address-set ip_add01 type object    
[FW-vsysa-object-address-set-ip_add01]address range 10.3.0.1 10.3.0.10

[FW-vsysa]security-policy 
[FW-vsysa-policy-security]rule name to_internet
[FW-vsysa-policy-security-rule-to_internet]source-zone trust  
[FW-vsysa-policy-security-rule-to_internet]destination-zone untrust   
[FW-vsysa-policy-security-rule-to_internet]source-zone         
[FW-vsysa-policy-security-rule-to_internet]source-address address-set ip_add01 
[FW-vsysa-policy-security-rule-to_internet]action permit 

[FW-vsysa]sec    
[FW-vsysa-policy-security]rule name to_vsysb
[FW-vsysa-policy-security-rule-to_vsysb]source-zone trust    
[FW-vsysa-policy-security-rule-to_vsysb]destination-zone untrust    
[FW-vsysa-policy-security-rule-to_vsysb]source-address 10.3.0.0 24 
[FW-vsysa-policy-security-rule-to_vsysb]destination-address 10.3.1.0 24
[FW-vsysa-policy-security-rule-to_vsysb]action permit 

[FW-vsysa-policy-security]rule move to_vsysb before to_internet

7、vsysb配置
[FW]switch vsys vsysb

[FW-vsysb]interface Virtual-if2
[FW-vsysb-Virtual-if2]ip address 172.16.2.1 24
[FW-vsysb]interface GigabitEthernet 1/0/2   
[FW-vsysb-GigabitEthernet1/0/2]ip address 10.3.1.254

[FW-vsysb]firewall zone trust   
[FW-vsysb-zone-trust]add interface GigabitEthernet 1/0/2
[FW-vsysb]firewall zone untrust   
[FW-vsysb-zone-untrust]add interface Virtual-if 2

[FW-vsysb]ip route-static 0.0.0.0 0 public 

[FW-vsysb]security-policy  
[FW-vsysb-policy-security]rule name vsysa_to   
[FW-vsysb-policy-security-rule-vsysa_to]source-zone untrust 
[FW-vsysb-policy-security-rule-vsysa_to]destination-zone trust   
[FW-vsysb-policy-security-rule-vsysa_to]source-address 10.3.0.0 24 
[FW-vsysb-policy-security-rule-vsysa_to]destination-address 10.3.1.0 24    
[FW-vsysb-policy-security-rule-vsysa_to]action permit 

8、vsysc配置
[FW]switch vsys vsysc
[FW-vsysc]interface GigabitEthernet 1/0/3
[FW-vsysc-GigabitEthernet1/0/3]ip address 10.3.2.254 24
[FW-vsysc]interface Virtual-if 3  
[FW-vsysc-Virtual-if3]ip address 172.16.3.1 24
[FW-vsysc]firewall zone trust    
[FW-vsysc-zone-trust]add interface GigabitEthernet 1/0/3  
[FW-vsysc]firewall zone untrust 
[FW-vsysc-zone-untrust]add interface Virtual-if 3

[FW-vsysc]ip route-static 0.0.0.0 0 public

[FW-vsysc]security-policy   
[FW-vsysc-policy-security]rule name to_internet
[FW-vsysc-policy-security-rule-to_internet]source-zone trust 
[FW-vsysc-policy-security-rule-to_internet]destination-zone untrust 
[FW-vsysc-policy-security-rule-to_internet]source-address 10.3.2.0 24
[FW-vsysc-policy-security-rule-to_internet]action permit

测试

研发部门只有部分员工可以访问Internet

财务部禁止访问Internet

行政部门全部可以访问互联网

内网互通

### 防火墙虚拟系统互访配置方法 #### 扩展模式下的间接互访配置 为了实现防火墙虚拟系统间的互访,可以通过设置共享虚拟系统(Shared-vsys)作为路由中转来完成间接互访。在此过程中,需在根系统的系统视图下启用跨虚拟系统的转发功能,并将其配置为扩展模式。具体操作是通过执行命令 `firewall forward cross-vsys extended` 来开启该功能[^1]。 #### 虚拟系统划分与接口分配 按照实际需求,将不同部门对应的物理或逻辑接口分别划分到各自的虚拟系统中。例如,在实验环境中,假设存在两个部门 A 和 B,则需要分别为这两个部门创建独立的虚拟系统 vsys-A 和 vsys-B,并将对应网络接口绑定至各自所属的虚拟系统内[^2]。 #### 安全策略配置 为了让两个虚拟系统能够正常通信,还需要定义适当的安全策略以允许数据包穿越这些虚拟边界。这通常涉及以下几个方面: - **入方向安全策略**:针对源地址来自另一个虚拟系统的流量制定放行规则; - **出方向安全策略**:对于目标地址指向其他虚拟系统的请求也应建立相应的许可机制; - **NAT转换处理**:如果涉及到公网访问或者隐藏内部IP结构的情况,则可能还需考虑源地址翻译(Source NAT) 的应用。 以下是基于上述描述的一个简化版Python脚本模拟如何自动化部分此类配置过程: ```python def configure_cross_vsys_firewall(virtual_systems, shared_vsys_name="shared"): commands = [] # Enable Cross-VSYS Extended Mode on Root System commands.append("firewall forward cross-vsys extended") for sys in virtual_systems: if sys != shared_vsys_name: # Example Security Policy Configuration between VSYSes allow_policy = f"security-policy rule permit source {sys} destination {shared_vsys_name}" commands.append(allow_policy) nat_rule = f"nat outbound interface eth0 from-zone {sys} to-zone external" commands.append(nat_rule) return "\n".join(commands) virtual_system_list = ["vsys-a", "vsys-b"] print(configure_cross_vsys_firewall(virtual_system_list)) ``` 以上代码片段展示了如何生成一系列CLI指令用于激活跨虚拟系统的高级转发特性以及设立基本的安全性和NAT规则[^1]^。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值