备案控制台
探索云世界
开发者社区 开发与运维 文章 正文

vFW虚拟防火墙部署实战

2023-02-23 296
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: vFW虚拟防火墙部署实战

疫情还没结束,远程办公仍在继续,这个时间想做个实验都变得很困难,毕竟很少有人单独买设备放家里准备做实验的。远程登录实验室,又没人在现场配合做网线拔插等操作,怎么办呢?搞一台虚拟防火墙vFW吧!


以比较常用的VMware安装H3C的vFW为例,只需要下载vFW的系统镜像,然后在VMware上创建虚拟机,挂载系统镜像进行安装部署就可以了。操作十分简单,可以参考如下链接进行安装部署,需要特别提醒的是根据实际需求调整硬件配置,不要太低。


http://www.h3c.com/cn/d_201807/1089578_30005_0.htm


在物理环境中,防火墙的产品形态一般分为盒式(框式)防火墙和防火墙插卡,部署方式一般为在线部署和旁路部署。

盒式防火墙一般采用在线部署方式,即将设备串联进网络中,这样所有流量都会从一个口进、另一个口出,防火墙可以通过灵活调整访问策略及检测规则对经设备的流量进行控制;


在旁路部署方式中,一般通过引流的方式进行控制,使得互访的流量流经防火墙,因为此时有可能只是将部分流量引流到防火墙,检测和控制力度会有所下降,但是可以调整流量大小来改变对设备性能的消耗;而如果是通过流量镜像的方式仅仅将流量发送到防火墙设备进行检测,那防火墙实际上相当于一台IDS设备,只能分析发现网络风险,而不能做任何控制操作。


虚拟防火墙安装在服务器上,在资金或者资源充足的情况下,可以将一台物理服务器全部用于安装虚拟防火墙,此时除形态和普通防火墙有差异之外,功能和操作方式等基本无差。物理网卡和系统中对应的接口信息一致,配置、操作方式等可参考在线部署。


而对于大多数用户而言,会选择将vFW部署在虚拟化环境中。此时vFW作为一台虚拟机存在,网卡是接在虚拟交换机上面的,一般一台虚拟交换机配置一个网卡到上行网络。如果虚拟机一个网卡独占一个虚拟交换机上行到服务器网卡,则和在线部署类似;如果是vFW和其他主机共享一个虚拟交换机的情况,则更类似于旁路部署的模式,架构上更接近于框式设备的防火墙插卡。


本案中,因为只有一台虚拟化服务器,测试环境只能是2台虚拟机和1台vFW,测试方法就是使虚拟机互访的流量经过vFW 并进行验证。


1677130898315.jpg

我想到了如下两种实现方案:


1、vFW通过两个三层地址分别和两台VM三层互通


配置vFW网卡2地址为20.1.1.1/24,网卡3地址为30.1.1.1/24;


配置VM1地址为20.1.1.2,网关为20.1.1.1;


配置VM2地址为30.1.1.2,网关为30.1.1.1。


这样,可以不用改变vSwitch的接口VLAN配置,当VM1访问VM2时,因为跨网段通信,VM1会将请求发送到网关,由vFW转发到30.1.1.0网段;反向访问流量同理经过网关进行转发,实现互通。


2、通过二层方式,修改接口VLAN实现


如果将VM1和VM2配置在同一网段,默认情况下互访流量能直接互通,不会上到vFW进行转发;在普通可网管交换机上,可以通过策略等方法将流量引流到vFW,但是vSwitch不可网管,此时需要通过修改vSwitch接口VLAN或划分端口组来实现流量上送到vFW。具体操作为将vSwitch的1口和2口划分到VLAN 2(划分到一个端口组),3口和4口划分到VLAN 3(划分到一个端口组),在vFW上将2口和3口修改为二层口,通过转换VLAN标签的方式来实现VM1和VM2的同网段跨VLAN通信。


综合对比,本次实验先使用方案1进行测试。


vSwitch拓扑信息如下:

1677130916912.jpg

为了充分利用资源,VM2使用Linux操作系统,部署了之前提到的宝塔+LNMP+WordPress环境,能提供日常网站中常见的数据库、FTP、WEB页面等资源或服务,能为后续的实验准备环境。


实际配置中,VM1、VM2和vFW三台虚机均使用多网卡,此时就涉及到调整主机路由。主要是在VM1和VM2上增加互访路由,将互访流量均指向vFW。


首先查看VM2当前路由信息:

1677130933178.jpg

然后配置两个网卡的路由信息:

1677130947397.jpg

VM1使用Windows操作系统,在CMD控制台添加路由信息如下:

route add 30.1.1.1/24 20.1.1.1 metric 100

然后测试连通性,互访OK。

1677130966935.jpg

在vFW上配置域间策略放通的相关配置如下:

1677130972090.jpg

#
security-zone name Untrust
 import interface GigabitEthernet2/0
 import interface GigabitEthernet3/0
#
acl advanced 3000
 rule 0 permit ip
#
zone-pair security source Untrust destination Local
 packet-filter 3000
#
 security-zone intra-zone default permit

在设备上查看两台设备互访的会话信息:

1677131011351.jpg

可以看到共有3个会话信息,1个ICMP会话和2个TCP会话;其中ICMP会话为主机VM1长PING主机VM2,TCP会话为访问主机VM2上的网站。可以通过带verbose选项查看详细会话信息:

1677131016897.jpg

除了普通设备的接口信息之外,可以看到防火墙特有的安全域信息,和配置的规则相匹配。至此,vFW部署上线成功!

文章标签:
云防火墙
云虚拟主机
测试技术
Linux
Windows
网络安全
网络协议
网络虚拟化
虚拟化
数据库
关键词:
云防火墙部署
云防火墙实战
虚拟云防火墙
云防火墙虚拟
vfw虚拟云防火墙
学校暗杀-11881
目录
相关文章
周周的奇妙编程
|
7月前
|
安全 Linux 网络安全
Linux一些防火墙实战知识
本文介绍了如何在Linux中设置防火墙和开放端口,以提高服务器的安全性。首先,使用firewalld作为防火墙软件包,并确保firewalld服务正在运行。然后,通过添加服务来定义允许的服务端口,可以使用firewall-cmd命令查看当前已定义的服务,并使用firewall-cmd命令添加服务。添加规则后,需要重新加载firewalld配置以使更改生效。在某些情况下,需要打开特定的端口,例如HTTP端口80和HTTPS端口443。可以使用firewall-cmd命令打开端口,并将规则添加到相应的区域。。。确实都是工作中日常中会用到的一些命令
周周的奇妙编程
7946 1
墨渊04
|
7月前
|
网络协议 安全 网络安全
VSYS虚拟防火墙
VSYS虚拟防火墙
墨渊04
67 0
北惜
|
7月前
|
开发框架 网络协议 Ubuntu
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
北惜
1387 0
对你痴情
|
2月前
|
监控 安全 数据可视化
防火墙是什么?谈谈部署Web防火墙重要性
防火墙是什么?谈谈部署Web防火墙重要性
对你痴情
19 0
学校暗杀-11881
|
存储 Linux 网络安全
VMware环境部署vFW虚拟防火墙
VMware环境部署vFW虚拟防火墙
学校暗杀-11881
427 0
VMware环境部署vFW虚拟防火墙
最佳实践小文
|
网络安全
云速搭部署云防火墙
本实践通过云速搭实现云防火墙的示例架构,开通一个典型的网络服务。
最佳实践小文
133 0
云速搭部署云防火墙
最佳实践小文
|
网络安全
云速搭部署 Web 应用防火墙 WAF
本实践通过云速搭实现最简单架构,部署一个 WAF 服务。
最佳实践小文
219 0
云速搭部署 Web 应用防火墙 WAF
anxin
|
云安全 存储 弹性计算
云上等保部署要点——云防火墙和云安全中心
被“黑”其实也是灰度渐变的,云安全中心和云防火墙可以及时发现并阻断攻击进程。
anxin
2425 0
云上等保部署要点——云防火墙和云安全中心
anxin
|
缓存 运维 网络协议
云上等保部署要点——WEB应用防火墙和DDOS高防IP
DDOS高防IP和WEB应用防火墙的部署要点。
anxin
966 0
云上等保部署要点——WEB应用防火墙和DDOS高防IP
技术小能手
|
网络安全
SD-WAN全球部署的三大挑战:ISP、Peering和中国防火墙的管理
技术小能手
6406 0

热门文章

最新文章

  • 1
    阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
  • 2
    Centos 防火墙端口控制命令
  • 3
    F5防火墙如何应对恶意攻击?一文搞懂
  • 4
    centos7如何关闭防火墙
  • 5
    linux如何关闭防火墙
  • 6
    二层交换机与防火墙对接上网配置示例
  • 7
    firewall防火墙详解
  • 8
    Linux 如何关闭防火墙(开启管理员权限)
  • 9
    网络技术基础(14)——ACL访问控制列表
  • 10
    网络安全产品之认识入侵防御系统
  • 1
    网络技术基础(14)——ACL访问控制列表
    386
  • 2
    运维思考:F5防火墙如何应对潜在威胁?
    19
  • 3
    网络安全产品之认识入侵防御系统
    75
  • 4
    网络安全产品之认识入侵检测系统
    43
  • 5
    网络安全产品之认识WEB应用防火墙
    49
  • 6
    网络安全知识入门:Web应用防火墙是什么?
    22
  • 7
    使用 firewall-cmd 管理 Linux 防火墙端口
    140
  • 8
    浅谈下一代防火墙与Web应用防火墙的区别
    42
  • 9
    第二轮学习笔记: 扫描工具 -- nmap躲避防火墙
    19
  • 10
    网络安全产品之认识防火墙
    69

    • 相关课程

    更多
  • Linux高级网络应用 - 网络管理与配置实战
  • 云端专有网络构建与管理
  • 服务器硬件基础
  • 动态网站搭建及负载均衡对外服务

    • 相关电子书

    更多
  • 《云防火墙实现多账号统一管控》
  • 又快又稳:阿里云下一代虚拟交换机解析
  • 企业级弹性公网IP发布

    • 相关实验场景

    更多
  • ECS操作系统无法登录诊断能力
  • 部署Linux主机管理系统WDCP
  • 通过会话管理端口转发功能访问ECS内部服务
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考