华为防火墙虚拟系统间互访

华为防火墙配置指南:虚拟系统间互访与安全策略
原创 已于 2022-10-21 21:15:32 修改 · 3.4k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#华为

于 2022-10-21 20:26:30 首次发布

华为防火墙虚拟系统间互访

组网需求

如下图所示,某企业园区部署了一台FW作为接入网关。根据部门不同,网络划分为研发部门和销售部门,且为这两个部门单独划分一个防火墙虚拟系统,具体需求如下:

研发部门和销售部门都可以访问Internet。

研发部门和非研发部门之间相互隔离,但是两个部门之间特定的员工可以互访。

研发部门和销售部门的业务量差不多,所以为它们分配相同的虚拟系统资源。

虚拟系统间互访组网图

数据规划

项目

数据规划

根系统

虚拟接口:virtual-if 0

虚拟接口IP地址:172.16.0.1/24

虚拟接口所属安全区域:trust

外网接口:GE1/0/1

外网接口IP地址:10.1.1.8/24

外网接口所属安全区域:untrust

vsys_a

虚拟系统名:vsys_a

虚拟接口:virtual-if 1

虚拟接口IP地址:172.16.1.1/24

虚拟接口所属安全区域:untrust

私网接口:GE1/0/3

私网接口IP地址:10.3.0.1/24

私网地址范围:10.3.0.0/24

私网接口所属安全区域:trust

允许访问Internet的地址范围:10.3.0.0/24

允许vsys_b访问vsys_a的地址范围:

vsys_b:10.3.1.101--254

vsys_a:10.3.0.101--254

vsys_b

虚拟系统名:vsys_b

虚拟接口:virtual-if 2

虚拟接口IP地址:172.16.2.1/24

虚拟接口所属安全区域:untrust

私网接口:GE1/0/4

私网接口IP地址:10.3.1.1/24

私网地址范围:10.3.1.0/24

私网接口所属安全区域:trust

允许访问Internet的地址范围:10.3.1.0/24

允许vsys_a访问vsys_b的地址范围:

vsys_a:10.3.1.101—254

vsys_b:10.3.1.101--254

资源类

名称:r1

会话保证值:500

会话最大值:1000

用户数:100

用户组:10

策略数:100

最大带宽:5M

配置思路

根系统管理员在根系统下开启vsys能力并创建资源类

根系统管理员在根系统下分别创建虚拟系统vsysa、vsysb并为每个虚拟系统分配资源。

根系统管理员在根系统下为vsys间互访的员工配置路由。

根系统管理员在根系统下配置访问外网的路由和安全策略和NAT策略

根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略。

根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略。

操作步骤 1 在根系统下

1、根系统管理员分别创建虚拟系统vsysa和vsysb,并为其分配资源。

#开启虚拟系统功能。

<FW> system-view

[FW] vsys enable

# 配置资源类。

[FW] resource-class r1

[FW-resource-class-r1] resource-item-limit session reserved-number 500 maximum 1000

[FW-resource-class-r1] resource-item-limit policy reserved-number 100

[FW-resource-class-r1] resource-item-limit user reserved-number 100

[FW-resource-class-r1] resource-item-limit user-group reserved-number 10

最低0.47元/天 解锁文章
老大雷军
关注
华为防火墙虚拟系统实验
Ddfgxfgg的博客
10-26 2946
华为防火墙配置虚拟系统
华为防火墙vsys之虚拟防火墙配置
IT技术
01-11 5356
华为防火墙vsys之虚拟防火墙配置
防火墙虚拟系统资源分配配置实例
永远是少年
07-28 3698
今天继续给大家介绍华为USG6000系列防火墙。本文主要使用华为eNSP模拟器,实现了防火墙虚拟系统的资源配置及管理功能。 阅读本文,您需要有一定的防火墙基础知识,如果您对此存在困惑,欢迎查阅我博客的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 一、实验拓扑及目的 实验拓扑如上所示,现在要求给部门1和部门2分别配置虚拟系统,并命名为VSYSA和VSYSB,并给虚拟系统分配资源并创建管理用户。 二、实验相关配置命令 (一)创建虚拟系统相关命令 在防火墙
防火墙学习7---虚拟系统互访
weixin_48030849的博客
05-17 1173
虚拟系统互访分为直接互访互访。1.直接互访:报文先进入虚拟系统vsysa,虚拟系统vsysa按照防火墙转发流程对报文进行处理。然后报文进入虚拟系统vsysb,虚拟系统vsysb再次按照防火墙转发流程对报文进行处理。具体过程如下。(1)客户端向服务器发起连接;(2)首包到达FW后,基于接口分流,被送入虚拟系统vsysa。vsysa按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果vsysa不允许转发报文,则丢弃报文,流程结束;
华为虚拟防火墙互通和访问外网
baidu_41701694的博客
09-06 2758
可以使用resource-item-limit 设置 bandwidth、 ipsec-tunnel、l2tp-tunnel、 online-user 、security-group、 policy、session-rate 、session、 ssl-vpn-concurren、traffic-policy、user 、 user-group
防火墙学习5---虚拟系统和跟系统通过路由表互访
weixin_48030849的博客
05-14 925
虚拟系统与跟系统互访可分为虚拟系统访问根系统和跟系统访问虚拟系统
华为虚拟墙之访问,虚拟墙和root墙之的访问
weixin_44548030的博客
03-31 630
1。
华为防火墙虚拟系统+IPsec VPN案例
qq_45024159的博客
11-05 1795
总部:部署了一台防火墙,想要通过一台防火墙即能在保证内网的数据安全的情况下与分部的内部通信,还要求外网的业务也经过防火墙进行转发(通过防火墙虚拟系统+IPsec VPN方式),分部:对安全性没有要求,使得内网设备不仅可以访问总部,还可以访问互联网络。小智公司有上海总部与广州分部两个办公地点。1.总部内网设备与分部可以实现互访。2.总部外网设备可以访问外网服务器。3.分部设备可以访问外网服务器。网络规划:拓扑图已标注。
华为防火墙配置虚拟防火墙举例(路由模式)
11-19
本文详细描述了华为防火墙路由模式下配置虚拟防火墙的用途和配置命令及命令的用途
防火墙典型配置案例
10-29
华为防火墙配置案例 包括路由模式、透明模式、旁路模式配置
华为防火墙实验——通过虚拟系统隔离企业部门(三层接入,虚拟系统共用根系统公网接口)
专研计算机网络,数据通信,网络安全,系统集成
10-25 1277
财经部门和行政部门的管理员分别使用管理员账号“admin@@vsysb”和“admin@@vsysc”登录设备,为虚拟系统vsysb、vsysc配置IP地址、安全区域及策略。从研发部门的内网选择一台允许访问Internet的主机,和一台不允许访问Internet的主机,如果访问结果符合预期,说明IP地址和vsysa的安全策略的配置正确。需要分别配置不同的安全策略。从行政部门的内网主动访问Internet,如果能够访问成功,说明IP地址、vsysc的安全策略以及根系统NAT策略配置正确。
防火墙虚拟系统互访配置实例
永远是少年
07-29 3343
今天继续给大家介绍华为USG6000系列防火墙。本文主要是以华为eNSP模拟器,介绍了华为下一代防火墙虚拟系统互访的配置实例。 阅读本文,您需要有一定的华为防火墙基础知识,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 防火墙虚拟系统资源分配配置实例 一、实验要求及拓扑 实验拓扑如上所示,要求为公司两个部门之配置虚拟系统,并把相应接口划分为相应的虚拟系统。最后配置实现防火墙虚拟系统互访,实现公司的两
防火墙虚拟系统
2301_76769041的博客
06-26 490
为了实现每个虚拟系统的业务都能够做到正确转发、独立管理、相互隔离,FW主要实现了几个方面的虚拟化:资源虚拟化、配置虚拟化、安全功能虚拟化及路由虚拟化。通过配置虚拟系统,可让部署在云计算中心出口的FW具备云计算网关的能力,对不同租户流量进行隔离的同时提供安全防护能力。通过以上几个方面的虚拟化,当创建虚拟系统之后,每个虚拟系统的管理员都像在使用一台独占的设备。在虚拟系统这个特性中,根系统的作用是管理其他虚拟系统,并为虚拟系统的通信提供服务。虚拟系统是在防火墙上划分出来的、独立运行的逻辑设备。
HuaWei ❀ Virtual Firewalld 虚拟防火墙
无糖可乐没有灵魂
05-13 839
文章目录1、VPN实例2、安全实例 近年来小型私有网络不断增加,这些网络一般对应小型企业,此类用户无法从经济上支持拥有安全设备并有较强的安全防范意识,设备支持从逻辑上划分为多台虚拟防火墙,分别为多个小型私有网络提供独立的安全保障; 每台虚拟防火墙都是VPN实例、安全实例的综合体,它能够为虚拟防火墙用户提供私有的路由转发平面、安全服务; 1、VPN实例 VPN实例为虚拟防火墙用户提供相互隔离的VPN路由,与虚拟防护墙一一对应,这些VPN路由将为各虚拟防火墙接收的报文提供路由支持; 2、安全实例 安全实例为虚拟
虚拟防火墙配置不清晰?这个实验案例很典型
07-23 1313
本次实验涉及到流量路径来回切换转发且控制系统比较多,因此需对控制层面进行加深掌握。实验的每一个步骤都应慎重思考;“我的流量现在可以到哪?我的流量下一步应该发往哪?我的流量是应该发往虚拟系统还是全局系统?我应该如何进行测试?
防火墙——虚拟系统理论讲解
m0_49864110的博客
04-23 6340
当根系统去访问虚拟系统时,如果目的地址匹配到引流表“Destination Address”字段,正向命中引流表,根系统就按照引流表转发报文,将报文送到对应虚拟系统。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。当虚拟系统未开启时,管理员对FW的配置就是对根系统的配置,FW的管理员就是根系统的管理员。当虚拟系统开启时,根系统会继承先前FW的配置,FW上已有的管理员将成为根系统的管理员。
防火墙入侵与检测 day06 防火墙虚拟系统
果子哥丶的博客
05-28 1683
虚拟系统简介、 虚拟系统实现原理( 虚拟系统分流方式、 虚拟系统互访原理)、 虚拟系统配置部署、 *额外知识:GRE隧道传输
华为防火墙策略中VLAN
最新发布
03-15
### 华为防火墙中 VLAN 策略配置教程 #### 1. VLAN 的基本概念与作用 虚拟局域网 (VLAN) 是一种逻辑划分网络的技术,可以将物理上的同一台交换机划分为多个独立的广播域。在华为防火墙上,可以通过配置 VLAN 来实现不同子网的隔离和互访控制[^1]。 #### 2. 防火墙中的 VLAN 接口配置 为了使防火墙能够识别并处理来自不同 VLAN 的流量,需要创建对应的 VLAN 接口,并为其分配 IP 地址。以下是具体步骤: - **进入系统视图** ```bash system-view ``` - **创建 VLAN 接口** ```bash interface Vlanif vlan-id ``` 其中 `vlan-id` 表示要关联的 VLAN 编号。 - **设置接口 IP 地址** ```bash ip address ip-address subnet-mask ``` 例如,在 VLAN 5 上配置 IP 地址: ```bash ip address 192.168.5.3 255.255.255.0 ``` 完成上述操作后,保存配置以确保其生效。 #### 3. 安全策略配置 为了让不同的 VLAN 能够互相访问或者限制某些特定类型的流量,需要定义安全策略。以下是一个简单的例子,允许 VLAN 4 和 VLAN 5 之进行 HTTP 流量通信: - **进入安全策略视图** ```bash firewall policy name allow-http ``` - **指定源和目标区域** ```bash source-zone trust destination-zone untrust ``` - **匹配条件** ```bash rule permit tcp destination-port eq www ``` 最后应用此策略至相应的接口上[^2]。 #### 4. 解决常见问题方案 当遇到因 VLAN 导致的连接失败等问题时,可以从以下几个方面排查: - **确认端口归属关系** 确保各设备端口已被正确加入到预期的 VLAN 中。 - **检查地址冲突情况** 如果发现有重复使用的 IP 地址,则按照建议方法将其绑定到具体的 MAC 地址上来规避此类错误[^3]。 - **验证路由可达性** 利用 ping 工具测试两段连通状况;同时查看是否有合适的静态路由条目存在支持跨网段通讯需求。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值