防火墙虚拟化技术介绍第二篇

虚拟系统基本配置

启动虚拟系统

执行vsys enable(系统视图下)命令启用虚拟系统功能
vsys enable   ----------------虚拟系统开启



规划资源

? 由于NGFW上所创建的虚拟系统会共同使用NGFW的资源,为避免因某个虚拟系统占用大量资源,导致其他虚拟系统无法获取资源、业务无法正常运行的情况,需要对单个虚拟系统允许使用的资源进行约束
? 虚拟系统的资源分配是通过在资源类中规划资源数,再将资源类绑定虚拟系统来实现的。一个资源类可以同时被多个虚拟系统绑定
? 当多个虚拟系统的资源需求相同时,根系统管理员只需要为这些虚拟系统配置一个资源类即可。资源类ro默认与根系统绑定,不能删除、不能修改名称
? 参数中所示的“策略数”是指所有策略的总数,包括安全策略、NAT策略、带宽策略、认证策略、审计策略和策略路由

创建资源类

resource-class vsysa -------------默认的资源是R0
 resource-item-limit session reserved-number 0 maximum 10000
 resource-item-limit policy reserved-number 1000
 resource-item-limit online-user reserved-number 0 maximum 1000

新建虚拟系统

<NGFW> system-view
[NGFW] vsys name vsysa        //创建名为vsysa的虚拟系统
[NGFW-vsysa] assign resource-class r0         //绑定资源类


? 分配接口或VLAN
? 根据实际组网规划,为虚拟系统分配接口或VLAN。 在“接口分配”中,可分配的接口包括未被其他虚拟系统使用的三层以太网接口、子接口。在“VLAN分配”中,可分配的VLAN中包含的二层接口或VLANIF会随VLAN分配给相应的虚拟系统

虚拟系统绑定资源

vsys name vsysa 1
 assign resource-class vsysa

虚拟系统分配接口

vsys name vsysa 1
 assign interface GigabitEthernet0/0/2

虚拟接口注意:可以不配置IP地址,但一定要划ZONE
配置虚拟防火墙命令:

switch vsys vsysa --------------进入虚拟系统防火墙

interface GigabitEthernet0/0/2
 ip address 10.1.1.10 255.255.255.0

firewall zone trust
 add interface GigabitEthernet0/0/2 

firewall zone untrust
 set priority 5
 add interface Virtualif1  ------------虚拟接口一定加入ZONE,可以不配置IP地址。

接口和VLAN分配原则

? 三层基于接口分流,根据接口与虚拟系统的绑定关系来确定流量进入哪个虚拟系统处理
? 二层基于VLAN分流,根据VLAN与虚拟系统的绑定关系来确定流量进入哪个虚拟系统处理

创建管理员

? 如果虚拟系统要有专门的管理员来管理,进入虚拟系统创建虚拟系统管理员
? 虚拟系统管理员用户名必须带后缀“@虚拟系统名称”。如果使用第三方认证服务器对虚拟系统管理员进行认证,认证服务器上配置的用户名不需要带后缀“@虚拟系统名称”。例如,认证服务器需要对虚拟系统VSYSA的管理员[email protected]进行认证时,认证服务器上配置的用户名应该是admin
? 在命令行界面下,除了上述所示的基本配置,信任主机的配置通过绑定ACL来实现,同时,还可以为管理员绑定系统管理员角色。配置举例如下

[NGFW] switch vsys vsysa
[NGFW-vsysa] aaa
[NGFW-vsysa-aaa] manager-user [email protected]
[[email protected]] password cipher [email protected]
[[email protected]] level 3
[[email protected]] service-type telnet
[NGFW-vsysa] acl 2001
[NGFW-vsysa-acl-basic-2001] rule permit source 10.3.0.99 0.0.0.0
[NGFW-vsysa-acl-basic-2001] quit
[NGFW-vsysa] aaa
[NGFW-vsysa-aaa] manager-user [email protected]
[[email protected]] acl-number 2001  //绑定信任主机
[NGFW-vsysa-aaa] bind manager-user [email protected] role system-admin  //将虚拟系统管理员绑定为系统管理员角色

虚拟系统与根系统之间通信

? 虚拟系统通过根系统访问外网
? 路由
A. 考虑虚拟防火墙去往根墙的路由

 ip route-static X.XX.X   X.X.X.X    public

B. 考虑回包,防火墙回到虚拟系统

 ip route-static X.X.X.X  X.X.X.X  ***-instance  虚拟系统的名字

? 安全策略

  1. 虚拟系统独立放行安全,根防火墙独立放行安全策略
  2. 不行需要虚拟系统到根防火墙之间的安全策略 (不需要考虑虚拟接口之间的安全策略)

    ? 报文的转发流程
    ? 用户发送的访问请求首先查找VSYSA系统中的路由表,将报文转发给根系统,由根系统查找自身路由表再转发至Internet

    ? 路由的配置
    a) 在VSYSA中配置一条静态路由,目的地址是3.3.3.3,目的虚拟系统选择root
    b) 在根系统中配置一条静态路由,目的地址是3.3.3.3,出接口是GE1/0/1,下一跳是运营商所提供的网关地址。完成正向路由的配置
    c) 在根系统中配置一条静态路由,目的地址是10.3.0.0/24,目的虚拟系统选择VSYSA
    d) 在VSYSA中配置一条静态路由,目的地址是10.3.0.0/24,出接口是GE1/0/2。完成反向路由的配置
    进入虚拟系统,配置到达外网的路由以及到达虚拟系统用户资源的路由 
    [NGFW] switch vsys vsysa
[NGFW-vsysa] ip route-static 3.3.3.3 32 public
[NGFW-vsysa] ip route-static 10.3.0.0 24 GigabitEthernet 1/0/2

    在根系统中配置到达服务器和到达虚拟系统的路由

    [NGFW] ip route-static 3.3.3.3 32 1.1.1.254
[NGFW] ip route-static 10.3.0.0 24 ***-instance vsysa

    ? 安全策略的配置方法如下
    a) 在VSYSA中,将接口GE1/0/2加入Trust区域、Virtualif1加入Untrust区域,配置允许Trust区域访问Untrust区域的安全策略
    b) 在根系统中,将接口GE1/0/1加入Untrust区域、Virtualif0加入Trust区域,配置允许Trust区域访问Untrust区域的安全策略
    c) 完成上述路由和安全策略的配置就可以实现报文的正常转发,但是内网的主机使用的是私网地址10.3.0.0/24,所以内网的主机如果想要正常访问Internet,还必须在VSYSA或root中配置NAT策略,进行公网地址和私网地址的转换。在哪个虚拟系统中配置NAT策略,取决于哪个虚拟系统的管理员管理和使用公网地址

    虚拟系统与虚拟系统之间访问

    ? 两个虚拟系统之间存在业务访问的需求时,需要通过根系统的中转来完成互访。在理解了虚拟系统和根系统互访的配置之后,虚拟系统间互访就很容易理解了。只需要将两个虚拟系统和根系统间互访配置完成就可以了

    ? 报文的转发流程
    ? VSYSA中的用户要访问VSYSB中的Server,需要通过VSYSA访问根系统,再通过根系统访问VSYSB来实现。根系统就相当于一台路由器,负责连接两个虚拟系统,中转虚拟系统之间互访的报文。报文在转发过程中需要查找的路由表依次为VSYSA路由表、根系统路由表、VSYSB路由表

    ? 路由的配置方法如下
    a) 在VSYSA中配置一条静态路由,目的地址是10.3.1.3,目的虚拟系统选择root
    b) 在根系统中配置一条静态路由,目的地址是10.3.1.3,目的虚拟系统选择VSYSB
    c) 在VSYSB中配置一条静态路由,目的地址是10.3.1.3,出接口是GE1/0/3。完成正向路由的配置
    d) 在VSYSB中配置一条静态路由,目的地址是10.3.0.0/24,目的虚拟系统选择root
    e) 在根系统中配置一条静态路由,目的地址是10.3.0.0/24,目的虚拟系统选择VSYSA
    f) 在VSYSA中配置一条静态路由,目的地址是10.3.0.0/24,出接口是GE1/0/2。完成反向路由的配置
    配置vsysa到达外网的路由以及到达虚拟系统用户资源的路由

    [NGFW-vsysa] ip route-static 10.3.1.0 24 public
[NGFW-vsysa] ip route-static 10.3.0.0 24 GigabitEthernet 1/0/2

    配置vsysa到达外网的路由以及到达虚拟系统用户资源的路由

    [NGFW-vsysb] ip route-static 10.3.0.0 24 public
[NGFW-vsysb] ip route-static 10.3.1.0 24 GigabitEthernet 1/0/3

    在根系统中配置VSYSA和VSYSB互访的路由

    [NGFW] ip route-static 10.3.0.0 24 ***-instance vsysa
[NGFW] ip route-static 10.3.1.0 24 ***-instance vsysb

    ? 安全策略的配置方法如下:
    a) 在VSYSA中,将接口GE1/0/2加入Trust区域、Virtualif1加入Untrust区域,配置允许Trust区域访问Untrust区域的安全策略
    b) 在VSYSB中,将接口GE1/0/3加入Trust区域、Virtualif2加入Untrust区域,配置允许Untrust区域访问Trust区域的安全策略
    c) 在理解了VSYSA和root互访的基础上,再配置root到VSYSB的安全策略和路由就可以完成VSYSA和VSYSB的互访
    d) 需要注意的是:根系统只根据路由表对虚拟系统之间的访问报文进行转发,不进行其他安全功能的处理,因此不需要在根系统下针对这些报文配置安全策略

    配置案例

    ? 创建虚拟墙vsysa、vsysb、虚拟墙内部网络能够互访
    ? 配置vsysb资源 会话数保证值为10000 最大值为50000 新建虚拟管理员userb
    ? 在根墙配置NAT 让虚拟墙以及内部网络能够访问internet

    第一步:基本配置(IP ZONE 路由 NAT)
    第二步: 配置虚拟系统
    A. 开启虚拟系统功能

    vsys enable

    B. 创建资源类,默认为R0

    resource-class vsysa
resource-item-limit session reserved-number 0 maximum 10000
resource-item-limit policy reserved-number 1000
resource-item-limit online-user reserved-number 0 maximum 1000
#
resource-class vsysb
resource-item-limit session reserved-number 10000 maximum 50000

    检查:

    [FW1]display resource  resource-usage
16:14:03  2019/07/27
Resource usage information table:root (r0)
----------------------------------------------------------------------------
                  Reserved-Number   Maximum   Actual-Usage   Global-Number
session               0                 500000    14             500000
policy                0                 3000      2              3000
online-user           0                 2000      0              2000
user                  0                 2000      1              2000
user-group            0                 256       1              256
security-group        0                 5000      17             5000
bandwidth-ingress     0                 10000000  0              10000000
ssl-***-concurrent    0                 100       0              100
session-rate          0                 30000     0              30000
dhcps-dynamic-lease   0                 15000     1              15000
dhcps-static-lease    0                 5000      0              5000
----------------------------------------------------------------------------
Resource usage information table:vsysa (vsysa)
----------------------------------------------------------------------------
                  Reserved-Number   Maximum   Actual-Usage   Global-Number
session               0                 200000    11             500000
policy                0                 3000      2              3000
online-user           0                 1000      0              2000
user                  0                 2000      0              2000
user-group            0                 256       0              256
security-group        0                 5000      0              5000
bandwidth-ingress     0                 10000000  0              10000000
ssl-***-concurrent    0                 100       0              100
session-rate          0                 30000     0              30000
dhcps-dynamic-lease   0                 15000     0              15000
dhcps-static-lease    0                 5000      0              5000
----------------------------------------------------------------------------
Resource usage information table:vsysb (vsysb)
----------------------------------------------------------------------------
                  Reserved-Number   Maximum   Actual-Usage   Global-Number
session               10000             50000     17             500000
policy                0                 3000      3              3000
online-user           0                 2000      0              2000
user                  0                 2000      0              2000
user-group            0                 256       0              256
security-group        0                 5000      0              5000
bandwidth-ingress     0                 10000000  96             10000000
ssl-***-concurrent    0                 100       0              100
session-rate          0                 30000     0              30000
dhcps-dynamic-lease   0                 15000     0              15000
dhcps-static-lease    0                 5000      0              5000
------------------------------------------------------------------------

    C. 创建虚拟系统,并绑定资源,接口分配

    vsys name vsysa 1   -------------------------------取名,对应自动生成***-instance
assign resource-class vsysa  ----------------------绑定资源
assign interface GigabitEthernet0/0/2  -------------接口分配,在根墙会自动绑定***-instance
#
vsys name vsysb 2
assign resource-class vsysb
assign interface GigabitEthernet0/0/3

第三步:进入虚拟系统配置
举例:VSYSA

switch  vsys vsysa   -------------------进入虚拟系统vsysa

A. 配置IP地址,ZONE

interface GigabitEthernet0/0/2
 ip address 10.1.1.10 255.255.255.0 

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/2       

firewall zone untrust
 set priority 5
 add interface Virtualif1

注意:虚拟接口可以不需要配置IP地址,但一定要加ZONE
B. 配置路由
实现虚拟系统访问根系统

 ip route-static 0.0.0.0 0.0.0.0 public

注意:也解决去往其它虚拟系统的路由问题
C. 配置安全

security-policy
 rule name trust_untrsut
  source-zone trust
  destination-zone untrust
  action permit

注: 只能解决访问根系统
第四步:根墙配置
根墙virtualif0 也要加ZONE

firewall zone trust
 add interface Virtualif0

配置去往各自虚拟系统的路由

 ip route-static 10.1.1.0 255.255.255.0 ***-instance vsysa
 ip route-static 10.1.2.0 255.255.255.0 ***-instance vsysb

第五步:各自虚拟系统测试通过根防火墙访问internet

[FW1-vsysa]display firewall session ta
10:11:09  2019/12/08
 Current Total Sessions : 4
  udp  ***:vsysa --> vsysa 10.1.1.1:63268-->180.163.26.34:8000
  https  ***:vsysa --> vsysa 10.1.1.1:49329-->54.213.71.156:443
  udp  ***:vsysa --> vsysa 10.1.1.1:58639-->180.163.26.34:8000
  http  ***:vsysa --> vsysa 10.1.1.1:49489-->180.163.21.35:80 

[FW1-vsysb]display firewall session ta
10:14:09  2019/12/08
 Current Total Sessions : 3
  https  ***:vsysb --> vsysb 10.1.2.1:49319-->13.35.50.72:443
  netbios-name  ***:vsysb --> vsysb 169.254.232.174:137-->169.254.255.255:137
  http  ***:vsysb --> vsysb 10.1.2.1:49252-->104.85.245.85:80

第六步:虚拟之间相互访问
路由已经解决(配置默认路由)

安全策略问题
两个虚拟系统.都需要配置从外部到内容的安全策略

security-policy
 rule name untrust_trust
  source-zone untrust
  destination-zone trust
  action permit

原文地址:https://blog.51cto.com/13817711/2486448

时间: 2024-07-28 21:32:58

防火墙虚拟化技术介绍第二篇的相关文章

防火墙虚拟化技术介绍第一篇

防火墙虚拟化技术 防火墙虚拟化介绍 什么是虚拟化 一虚多:一台物理机上面逻辑划分出多个虚拟机,每个虚拟机有自己的软件和硬件资源.可以提示系统资源利用率.节省硬件成本.能耗.空间等等 多虚一:以交换机的虚拟化为例,通过物理连线,将多个交换机堆叠成一个交换机,能提升其可靠性并降低运维成本 防火墙的虚拟化 ? 防火墙的虚拟化,就是将一台物理防火墙,从逻辑上划分为多台虚拟防火墙,但是共享CPU.内存等物理资源:不同的虚拟防火墙之间,配置.转发完全隔离,从而实现功能定制.个性化管理以及资源的最大化利用 虚

虚拟化技术介绍

什么是虚拟化? 虚拟化(英语:Virtualization)是一种资源管理技术,是将计算机的各种实体资源,如服务器.网络.内存及存储等,予以抽象.转换后呈现出来,打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源.这些资源的新虚拟部份是不受现有资源的架设方式,地域或物理组态所限制.一般所指的虚拟化资源包括计算能力和资料存储. 为什么要用虚拟化? 1.基础架构的利用率,通过将基础架构资源池化并打破一个应用一台物理机的限制,虚拟化大幅提升了资源利用率.通过减少额外硬件的采

虚拟化技术介绍、Xen的简单实现

虚拟化是什么? 虚拟化是一种资源管理技术, 是将计算机的各实体资源, 如服务.网络.内存及存储等, 予以抽象.转换后呈现出来, 打破实体之间的不可切割的障碍, 使用户可以比原本的配置更好的方式来应用这些资源.这些资源的新虚拟部分是不受现有资源的架设方式, 地域或物理配置所限制.一般情况下, 虚拟化资源包括计算能力和数据存储 -<转自维基百科> 为什么需要虚拟化? 虚拟化技术在近几年来非常的火热, 实际上在上个世纪60年代, 就已经有了虚拟化的实现.由于计算机的发展遵循了摩尔定律数十年之久. 在

openstack成长之旅 - 2 虚拟化技术介绍及KVM安装

openstack作为一个开源的云计算平台,利用虚拟化和底层的存储服务,提供了可扩展.灵活.适应性强的云计算服务,因此学好虚拟化技术就是掌握openstack开源云计算平台的关键,今天就说说虚拟化技术. 相信只要是现在做IT行业的人,多多少少的应该都会知道些虚拟化,若是你知道,那么我很郑重的告诉你 "你OUT了",对于现在来说虚拟化已经相对于成熟了,出现了很多开源的虚拟化软件,就像我们平时自己做实验的vmware workstation,virtualbox等等,都是可以虚拟出主机来帮

虚拟化技术之虚拟化技术介绍及Xen的应用实现

虚拟化技术是什么: 在计算机中,虚拟化(英语:Virtualization)是一种资源管理技术,是将计算机的各种实体资源,如服务器.网络.内存及存储等,予以抽象.转换后呈现出来,打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源.这些资源的新虚拟部份是不受现有资源的架设方式,地域或物理组态所限制.一般所指的虚拟化资源包括计算能力和资料存储.--转自百度百科 为什么需要虚拟化:  虚拟化技术在近几年来非常的火热, 实际上在上个世纪60年代, 就已经有了虚拟化的实现.由于

Xen、OpenVZ、KVM、Hyper-V、VMWare虚拟化技术介绍

国内外vps主机提供商所提供的主机大多是基于Xen.OpenVZ.KVM.Hyper-V.VMWare五种虚拟化技术. 一.Xen 官网:http://xen.org/ Xen 由剑桥大学开发,它是基于硬件的完全分割,物理上有多少的资源就只能分配多少资源,因此很难超售.可分为Xen-PV(半虚拟化),和Xen-HVM(全虚拟化). Xen是不能超售内存和硬盘的,当母服务器只有16G内存以及100G硬盘时,当开Xen架构(任意一个虚拟化)的1G内存.25G硬盘的子机时,会直接占用服务器1G内存,以

Microsoft桌面虚拟化技术介绍(六)虚拟镜像管理

6.1 工作区类型 MED-V 支持两种管理和更新虚拟镜像的方法: 域管理的虚拟机 ─ MED-V 允许管理员按照管理标准企业设备的方式管理虚拟机:使用现有工具(组策略.电子软件分发等)修补.管理和更新.在初次设置期间,虚拟机将成为企业域的一部分. 自我清理("可还原")的虚拟机 ─ MED-V 提供了一种独特的方法,可交付管理良好.易于支持的桌面环境.它利用虚拟化的硬件独立性,为多名用户维护相同的镜像.用户对应用程序或 OS 做出的所有更改都将在 Virtual PC 会话结束时被放

Microsoft桌面虚拟化技术介绍(一)MED-V简介

Microsoft Enterprise Desktop Virtualization:MED-V Microsoft Enterprise Desktop Virtualization(MED-V)增强了 Virtual PC 镜像在 Windows 桌面上的部署和管理,还提供了 Virtual PC 环境的无缝用户体验,独立于本地桌面配置和操作系统(OS). MED-V 利用 Microsoft Virtual PC 提供桌面虚拟化企业解决方案.利用 MED-V,您可在任何 Windows

Microsoft桌面虚拟化技术介绍(二)高级体系结构

基于收购的 Kidaro 技术开发出来的 MED-V 解决方案包括: 管理员定义的虚拟机(1),封装企业桌面环境:在标准桌面上常用的 OS.企业应用程序和可选的管理工具. 镜像存储库(2),在标准 Web 服务器上存储所有虚拟镜像,支持虚拟镜像版本管理.客户端认证的镜像检索,并通过 TrimTransfer 技术提供高效下载和更新. 管理服务器(3),根据 Microsoft Active Directory 用户和组将镜像存储库中的虚拟镜像关联到通过身份验证的用户,并分配使用策略和数据传输控制