防火墙虚拟系统（基础）

【代码】防火墙虚拟系统（基础）

SSR_ZZ

1249人浏览 · 2023-12-25 10:38:08

SSR_ZZ · 2023-12-25 10:38:08 发布

拓扑图

配置

开启虚拟系统

虚拟系统创建

虚拟系统分配接口及资源类限制

根系统及虚拟系统接口IP配置、接口加入安全区域

路由

安全策略放行

1）创建2个虚拟系统，1个根系统

PC1连接到虚拟系统C1， PC2连接到虚拟系统C2，Server1连接到根系统Public

开启虚拟系统，并创建虚拟系统，将接口分配到虚墙

配置资源类限制虚墙会话数（保证会话数，最大会话数），限制虚墙整体带宽

配置接口IP地址并加入相应安全区域，配置放行local to any的流量

交换机上创建VLAN，并将接口加入相应VLAN

FW1：

sysname FW1
#
vsys enable
#
resource-class res
 resource-item-limit session reserved-number 100 maximum 500
 resource-item-limit bandwidth 5 entire
#
vsys name C1 1
 assign interface GigabitEthernet1/0/1
 assign resource-class res
#
vsys name C2 2
 assign interface GigabitEthernet1/0/2
 assign resource-class res
#
interface GigabitEthernet1/0/0
 ip address 10.1.100.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface Virtual-if0
#
security-policy
 rule name local_to_any
  source-zone local
  action permit
#
switch vsys C1
#
interface GigabitEthernet1/0/1
 ip address 10.1.10.254 255.255.255.0
 service-manage ping permit
#
firewall zone trust
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 add interface Virtual-if1
#
security-policy
 rule name local_to_any
  source-zone local
  action permit
#
switch vsys C2
#
interface GigabitEthernet1/0/2
 ip address 10.1.20.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/2
#
firewall zone untrust
 add interface Virtual-if2
#
security-policy
 rule name local_to_any
  source-zone local
  action permit
#

SW1：

sysname SW1
#
vlan batch 10 20
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/23
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 20
#

测试FW1到直连是否互通，FW ping PC1、PC2、Server1

2）配置虚拟系统与根系统通信

配置路由，安全策略

FW1：

ip route-static 10.1.10.0 255.255.255.0 vpn-instance C1
ip route-static 10.1.20.0 255.255.255.0 vpn-instance C2
#
 rule name untrust_to_trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.10.0 mask 255.255.255.0
  source-address 10.1.20.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
#
switch vsys C1
#
ip route-static 10.1.100.0 255.255.255.0 public
#
rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
#
switch vsys C2
#
ip route-static 10.1.100.0 255.255.255.0 public
#
security-policy
 rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.20.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
#

查看根墙及虚墙的路由表

在PC1和PC2 ping Server1，可以ping通

FW上查看会话表

3）配置虚拟系统C1能访问虚拟C2

两个虚墙之间互访需要在根墙上配置路由，虚墙上配置安全策略

两个虚拟系统间互访

- FW支持两种模式的两个虚拟系统间互访，分别为标准模式和扩展模式。

在标准模式下：

- 可以通过在两个虚拟系统间配置相关策略、路由等实现两个虚拟系统间直接互访
- 同一报文最多只能进行两次转发流程处理，报文经过超过两个虚拟系统即会被丢弃。
- 还可以将根系统作为路由中转，实现两个虚拟系统跨根系统互访，报文同样只进行了两次转发流程处理，报文经过根系统时不走转发流程。此种方式需要分别配置各虚拟系统与根系统之间的策略、路由等信息。

在扩展模式下：

- 设备引入了共享虚拟系统（Shared-vsys）的概念，通过在FW中创建一个配置为扩展模式的共享虚拟系统作为路由中转，实现两个虚拟系统跨共享虚拟系统互访
- 由于将FW配置为扩展模式，同一报文最多可以进行三次转发流程处理，报文从vsysa发出经过Shared-vsys转发到vsysb时不会被丢弃。
- 在扩展模式下，若将根系统（public）选定为Shared-vsys，则报文经过根系统时不会进行一次转发流程处理，这与标准模式下根系统作为路由中转实现两个虚拟系统跨根系统互访时相同。
- 此外，还有可能存在虚拟系统和根系统跨另一虚拟系统互访的场景，如图5所示。此时需要分两种情况讨论，若虚拟系统的互访模式处于标准模式下，由于报文最多只能走两次转发流程，因此在第二个虚拟系统（vsysb）转发到根系统时会被vsysb丢弃，因此无法实现上述场景；若虚拟系统的互访模式处于扩展模式下，报文最多可以走三次转发流程，因此报文可以从vsysb转发到根系统，并在根系统中进行一次转发流程处理，实现上述场景。

ip route-static vpn-instance C1 10.1.20.0 255.255.255.0 vpn-instance C2
ip route-static vpn-instance C2 10.1.10.0 255.255.255.0 vpn-instance C1
#
switch vsys C1
#
rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.20.0 mask 255.255.255.0
  action permit
#
switch vsys C2
#
rule name untrust_to_trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.20.0 mask 255.255.255.0
  service icmp
  action permit
#

查看路由信息

PC1 ping PC2，可以ping通

查看会话表

如需PC2 ping PC1，虚墙下配置相应安全策略放行即可

在此场景中，通过配置路由和安全策略实现虚拟系统与根系统互通，虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务，虚拟系统和根系统都要配置策略、都会建立会话。这样，一方面增加了配置的复杂性，另一方面，每条连接都需要两条会话，业务量大时，会造成整机的会话资源紧张。通过配置引流表，可以解决上述问题。

点击阅读全文