华为ensp防火墙虚拟系统在网络中的部署

首先我们要知道虚拟系统是啥,干什么用的,解决什么问题的,说白话就是,我没钱,买不起两台墙,我买一台墙通过虚拟系统的方式逻辑变成两台墙,学过高级路由的都知道vpn,vpn是将路由器器逻辑分成多个,每个vpn下有自己的路由表,其实原理都是类似的,都是换汤不换药!

虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。

您可以从逻辑上将一台FW设备划分为多个虚拟系统。每个虚拟系统相当于一台真实的设备,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟系统管理员进行配置和管理。

虚拟系统具有以下特点:

  • 每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。
  • 每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。
  • 可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。
  • 虚拟系统之间的流量相互隔离,更加安全。在需要的时候,虚拟系统之间也可以进行安全互访。
  • 虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。

以华为ensp实验为例

fw3是企业边界,内网通过防火墙nat访问互联网,但内网中pc50和pc40模拟了两个不同的部分(不同的业务、不同的楼都可以),因为成本问题,买不起双墙,通过虚拟系统,将两个业务隔离开。

在初次接触虚拟系统的伙伴们要分清一个事情,就是公共墙、虚拟墙(若干)

如上图,在公共墙中G1/0/2是外网口划入un区域,G1/0/1 G1/0/6是dmz区域,但G1/0/5是虚拟系统b的接口,G1/0/4是虚拟系统a的接口,那么这里有一个虚接口的概念,就是公共墙的虚拟口连接着虚拟墙的虚拟口,如下图,物理是一个墙但逻辑被分成了两个墙,各配各的,相互隔离


#
sysname fw3
#
undo info-center enable
#
vsys enable   \\开启虚拟系统
resource-class r1  \\设置资源类
 resource-item-limit session reserved-number 1000 maximum 3000 
 resource-item-limit policy reserved-number 100 
#
创建虚拟系统,分别加入对应的接口和资源类
vsys name vsys136a 1
 assign interface GigabitEthernet1/0/4
 assign resource-class r1
#
vsys name vsys136b 2
 assign interface GigabitEthernet1/0/5
 assign resource-class r1
#
将下联虚拟系统的接口绑定到vpn中(vpn就是虚拟系统)
interface GigabitEthernet1/0/1
 undo shutdown
 ip binding vpn-instance vsys136c
 ip address 172.23.136.254 255.255.255.0
#
interface GigabitEthernet1/0/4
 undo shutdown
 ip binding vpn-instance vsys136a
 ip address 172.22.136.254 255.255.255.0
#
下面就是普通的主墙接口
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 5.5.136.254 255.255.255.0
#
interface GigabitEthernet1/0/5
 undo shutdown
 ip address 172.21.136.254 255.255.255.0
#
interface GigabitEthernet1/0/6
 undo shutdown
 ip address 172.17.136.254 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface Virtual-if0  \\把主墙的虚拟接口加入到信任区域中
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 5.5.136.1  \\去外网的路由
ip route-static 172.21.136.0 255.255.255.0 vpn-instance vsys136b  \\到虚拟系统的vpn路由
ip route-static 172.22.136.0 255.255.255.0 vpn-instance vsys136a
#
写策略,虚拟墙的访问外网的流量最终都会从主墙出去
security-policy
 rule name to_internet
  source-zone trust
  destination-zone untrust
  action permit
#
写nat策略
nat-policy
 rule name nat1
  source-zone trust
  egress-interface GigabitEthernet1/0/2
  source-address 172.21.136.0 mask 255.255.255.0
  source-address 172.22.136.0 mask 255.255.255.0
  action source-nat easy-ip
#

虚拟墙a的配置
#
switch vsys vsys136a  \\进入虚拟墙a
#
这个接口就是刚才主墙配置过的
interface GigabitEthernet1/0/4
 undo shutdown
 ip binding vpn-instance vsys136a
 ip address 172.22.136.254 255.255.255.0
#
interface Virtual-if1
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/4  \\把分墙的物理口接入到对应虚拟系统的信任区中,
#
firewall zone dmz
 set priority 50
 add interface Virtual-if1  \\虚拟墙的逻辑接口加入到dmz
#
security-policy
这里的策略是从虚拟墙的接口流量到主墙的虚拟接口,放来回策略,所以是信任到dmz的流量
 rule name va-vb
  source-zone trust
  destination-zone dmz
  source-address 172.22.136.0 mask 255.255.255.0
  destination-address 172.21.136.0 mask 255.255.255.0
  action permit
 rule name vb-va
  source-zone dmz
  destination-zone trust
  source-address 172.21.136.0 mask 255.255.255.0
  destination-address 172.22.136.0 mask 255.255.255.0
  action permit
这条是需要nat的流量
 rule name t-dmz-nat
  source-zone trust
  destination-zone dmz
  source-address 172.22.136.0 mask 255.255.255.0
  action permit
#
ip route-static 0.0.0.0 0.0.0.0 public  \\nat所需要的出口路由,指向了主墙
ip route-static 172.22.136.0 255.255.255.0 public  \\到虚拟墙b的路由,指向了主墙
#

虚拟系统b与a类似
switch vsys vsys136b 
#
interface GigabitEthernet1/0/5
 undo shutdown
 ip binding vpn-instance vsys136b
 ip address 172.21.136.254 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/5
#
firewall zone untrust
 set priority 5
#
firewall zone dmz
 set priority 50
 add interface Virtual-if2
#
security-policy
 rule name vb-va
  source-zone trust
  destination-zone dmz
  source-address 172.21.136.0 mask 255.255.255.0
  destination-address 172.22.136.0 mask 255.255.255.0
  action permit
 rule name va-vb
  source-zone dmz
  destination-zone trust
  source-address 172.22.136.0 mask 255.255.255.0
  destination-address 172.21.136.0 mask 255.255.255.0
  action permit
 rule name t-dmz-nat
  source-zone trust
  destination-zone dmz
  source-address 172.21.136.0 mask 255.255.255.0
  action permit
#
ip route-static 0.0.0.0 0.0.0.0 public
ip route-static 172.22.136.0 255.255.255.0 public

虚拟墙a用户访问外网

虚拟墙b用户访问外网

虚拟墙a用户访问虚拟墙b用户

总结:防火墙的虚拟系统给我的感觉就像是单臂路由的思路,每个虚拟墙有一个虚拟接口连接着主墙的虚拟接口,所有访问的流量是虚拟墙首先到达主墙,再到其他虚拟墙,就是hub&spoke的感觉,然后就是防火墙自己的内容,每个墙都需要配置自己的路由和策略,首先虚拟墙的方向由虚拟墙内的路由来控制,其次再匹配虚拟墙内的安全策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/151013.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Spring6(六):提前编译AOT

文章目录 提前编译:AOT1. AOT概述1.1 JIT与AOT的区别1.2 Graalvm1.3 Native Image 2. 演示Native Image构建过程2.1 GraalVM安装(1)下载GraalVM(2)配置环境变量(3)安装native-image插件 2.2 安装…

内存泄漏、new、delete

1. 内存泄漏 内存泄漏&#xff1a;指针被销毁&#xff0c;指针指向的空间依旧存在 2. new过程 与内存分配、构造函数有关 1&#xff09;分配空间&#xff1a;void* mem operator new( sizeof( ) )&#xff0c;内部调用malloc 2&#xff09;static_cast<目标类型>(mem) …

uniapp 实现微信小程序手机号一键登录

app 和 h5 手机号一键登录&#xff0c;参考文档&#xff1a;uni-app官网 以下是uniapp 实现微信小程序手机号一键登录 1、布局 <template><view class"mainContent"><image class"closeImg" click"onCloseClick"src"quic…

2023年【安全员-C证】考试题库及安全员-C证考试总结

题库来源&#xff1a;安全生产模拟考试一点通公众号小程序 安全员-C证考试题库根据新安全员-C证考试大纲要求&#xff0c;安全生产模拟考试一点通将安全员-C证模拟考试试题进行汇编&#xff0c;组成一套安全员-C证全真模拟考试试题&#xff0c;学员可通过安全员-C证考试总结全…

Pytorch数据集读出到transform全过程

最近写代码又遇见了这个问题&#xff0c;又忘记了&#xff0c;于是写一篇博客记录一下。 一般我们使用pytorch获取CIFAR10数据集&#xff0c;一般这样写&#xff1a; mean [0.4914, 0.4822, 0.4465] std [0.2023, 0.1994, 0.2010] transform transforms.Compose([transform…

传统游戏难产 育碧瞄向Web3

出品过《刺客信条》的游戏大厂育碧&#xff08;Ubisoft&#xff09;又在Web3游戏领域有了新动作。 首次试水NFT无功而返后&#xff0c;育碧&#xff08;Ubisoft&#xff09;战略创新实验室与Web3游戏网络Immutable达成合作&#xff0c;将利用Immutable 开发游戏的经验和及生态…

春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)

文章目录 前言一、CVE-2022-25578靶场概述二、CVE-2022-25578复现需要知道的知识点1、什么是htaccess文件2、上传htaccess文件的条件是什么&#xff1f;3、htaccess文件的作用是什么&#xff1f; 三、CVE-2022-32991漏洞复现1、信息收集2、找上传点3、上传后蚁剑连接getshell 总…

基于模拟退火算法的TSP问题建模求解(Python)

基于模拟退火算法的TSP问题建模求解&#xff08;Python&#xff09; 一、模拟退火算法&#xff08;Simulated Annealing Algorithm&#xff0c;SAA&#xff09;工程背景模拟退火算法用于优化问题求解原理 二、旅行商问题&#xff08;Travelling salesman problem&#xff0c;TS…

计算机毕业设计选题推荐-二手交易跳蚤市场微信小程序/安卓APP-项目实战

✨作者主页&#xff1a;IT毕设梦工厂✨ 个人简介&#xff1a;曾从事计算机专业培训教学&#xff0c;擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Py…

EMNLP 2023 | DeepMind提出大模型In-Context Learning的可解释理论框架

论文题目&#xff1a;In-Context Learning Creates Task Vectors 论文链接&#xff1a;https://arxiv.org/abs/2310.15916 01. 引言 此外&#xff0c;作者也提到本文的方法与软提示&#xff08;soft-prompt&#xff09;[1]方法类似&#xff0c;soft-prompt也是通过调整大模型内…

Nginx配置开启HTTPS

获取证书文件 Nginx 开启SSL server {listen 443 default ssl;server_name localhost;#charset koi8-r;#access_log logs/host.access.log main;proxy_set_header Host $host;ssl_certificate /usr/local/nginx/cert/server.pem;ssl_certificate_key /usr/local/ngin…

java时间类

一、java时间类为什么这么复杂? java的时间类非常复杂&#xff0c;这是由于jdk1.0到jdk1.1的时间类设计存在缺陷&#xff0c;导致使用不方便&#xff0c;线程不安全等问题&#xff0c;所以在jdk1.8&#xff0c;java又重新加入了一些时间类替换之前的时间类&#xff0c;但是jd…

ExoPlayer架构详解与源码分析(8)——Loader

系列文章目录 ExoPlayer架构详解与源码分析&#xff08;1&#xff09;——前言 ExoPlayer架构详解与源码分析&#xff08;2&#xff09;——Player ExoPlayer架构详解与源码分析&#xff08;3&#xff09;——Timeline ExoPlayer架构详解与源码分析&#xff08;4&#xff09;—…

DNS服务器典型配置

文章目录 安装主程序bind和安全插件bind-root修改主配置文件/etc/named.conf正向解析 安装主程序bind和安全插件bind-root yum install bind-chroot修改主配置文件/etc/named.conf vim /etc/named.conf将listen-on和allow-query的ip或域名换成any 表示为服务器所有的IP地址启…

多svn仓库一键更新脚本分享

之前分享过多git仓库一键更新脚本&#xff0c;本期就分享下svn仓库的一键更新脚本 1、首先需要设置svn为可执行命令行 打开SVN安装程序&#xff0c;选择modify&#xff0c;然后点击 command client tools&#xff0c;安装命令行工具 2、update脚本 echo 开始更新SVN目录&…

【Android 标题文字居中 快速实现】

背景&#xff1a; Android App系统默认setTitle左起展示(图左)&#xff0c;IOS App默认居中展示(图右)。现在美工设计 在Android中标题同样居中显示。 解决&#xff1a; 方案一&#xff1a;(传统方式,比较繁琐) 设置ToolBar样式&#xff0c;内嵌TextView来展示&#xff0c;具…

网络安全准入技术之MAC VLAN

网络准入控制作为主要保障企业网络基础设施的安全的措施&#xff0c;特别是对于中大型企业来说&#xff0c;终端类型多样数量激增、终端管理任务重难度大、成本高。 在这样的一个大背景下&#xff0c;拥有更灵活的动态识别、认证、访问控制等成为了企业网络安全的最核心诉求之…

保姆级教程——pytest【入门篇】

&#x1f4e2;专注于分享软件测试干货内容&#xff0c;欢迎点赞 &#x1f44d; 收藏 ⭐留言 &#x1f4dd; 如有错误敬请指正&#xff01;&#x1f4e2;交流讨论&#xff1a;欢迎加入我们一起学习&#xff01;&#x1f4e2;资源分享&#xff1a;耗时200小时精选的「软件测试」资…

【libGDX】初识libGDX

1 前言 libGDX 是一个开源且跨平台的 Java 游戏开发框架&#xff0c;于 2010 年 3 月 11 日推出 0.1 版本&#xff0c;它通过 OpenGL ES 2.0/3.0 渲染图像&#xff0c;支持 Windows、Linux、macOS、Android、iOS、Web 等平台&#xff0c;提供了统一的 API&#xff0c;用户只需要…

数据结构—LinkedList与链表

目录 一、链表 1. 链表的概念及结构 1. 单向或者双向 2. 带头或者不带头 3. 循环或者非循环 二.LinkedList的使用 1.LinkedList概念及结构 2. LinkedList的构造 3. LinkedList的方法 三. ArrayList和LinkedList的区别 一、链表 1. 链表的概念及结构 链表是一种 物理…