疫情还没结束,远程办公仍在继续,这个时间想做个实验都变得很困难,毕竟很少有人单独买设备放家里准备做实验的。远程登录实验室,又没人在现场配合做网线拔插等操作,怎么办呢?搞一台虚拟防火墙vFW吧!
以比较常用的VMware安装H3C的vFW为例,只需要下载vFW的系统镜像,然后在VMware上创建虚拟机,挂载系统镜像进行安装部署就可以了。操作十分简单,可以参考如下链接进行安装部署,需要特别提醒的是根据实际需求调整硬件配置,不要太低。
http://www.h3c.com/cn/d_201807/1089578_30005_0.htm
在物理环境中,防火墙的产品形态一般分为盒式(框式)防火墙和防火墙插卡,部署方式一般为在线部署和旁路部署。
盒式防火墙一般采用在线部署方式,即将设备串联进网络中,这样所有流量都会从一个口进、另一个口出,防火墙可以通过灵活调整访问策略及检测规则对经设备的流量进行控制;
在旁路部署方式中,一般通过引流的方式进行控制,使得互访的流量流经防火墙,因为此时有可能只是将部分流量引流到防火墙,检测和控制力度会有所下降,但是可以调整流量大小来改变对设备性能的消耗;而如果是通过流量镜像的方式仅仅将流量发送到防火墙设备进行检测,那防火墙实际上相当于一台IDS设备,只能分析发现网络风险,而不能做任何控制操作。
虚拟防火墙安装在服务器上,在资金或者资源充足的情况下,可以将一台物理服务器全部用于安装虚拟防火墙,此时除形态和普通防火墙有差异之外,功能和操作方式等基本无差。物理网卡和系统中对应的接口信息一致,配置、操作方式等可参考在线部署。
而对于大多数用户而言,会选择将vFW部署在虚拟化环境中。此时vFW作为一台虚拟机存在,网卡是接在虚拟交换机上面的,一般一台虚拟交换机配置一个网卡到上行网络。如果虚拟机一个网卡独占一个虚拟交换机上行到服务器网卡,则和在线部署类似;如果是vFW和其他主机共享一个虚拟交换机的情况,则更类似于旁路部署的模式,架构上更接近于框式设备的防火墙插卡。
本案中,因为只有一台虚拟化服务器,测试环境只能是2台虚拟机和1台vFW,测试方法就是使虚拟机互访的流量经过vFW 并进行验证。
我想到了如下两种实现方案:
1、vFW通过两个三层地址分别和两台VM三层互通
配置vFW网卡2地址为20.1.1.1/24,网卡3地址为30.1.1.1/24;
配置VM1地址为20.1.1.2,网关为20.1.1.1;
配置VM2地址为30.1.1.2,网关为30.1.1.1。
这样,可以不用改变vSwitch的接口VLAN配置,当VM1访问VM2时,因为跨网段通信,VM1会将请求发送到网关,由vFW转发到30.1.1.0网段;反向访问流量同理经过网关进行转发,实现互通。
2、通过二层方式,修改接口VLAN实现
如果将VM1和VM2配置在同一网段,默认情况下互访流量能直接互通,不会上到vFW进行转发;在普通可网管交换机上,可以通过策略等方法将流量引流到vFW,但是vSwitch不可网管,此时需要通过修改vSwitch接口VLAN或划分端口组来实现流量上送到vFW。具体操作为将vSwitch的1口和2口划分到VLAN 2(划分到一个端口组),3口和4口划分到VLAN 3(划分到一个端口组),在vFW上将2口和3口修改为二层口,通过转换VLAN标签的方式来实现VM1和VM2的同网段跨VLAN通信。
综合对比,本次实验先使用方案1进行测试。
vSwitch拓扑信息如下:
为了充分利用资源,VM2使用Linux操作系统,部署了之前提到的宝塔+LNMP+WordPress环境,能提供日常网站中常见的数据库、FTP、WEB页面等资源或服务,能为后续的实验准备环境。
实际配置中,VM1、VM2和vFW三台虚机均使用多网卡,此时就涉及到调整主机路由。主要是在VM1和VM2上增加互访路由,将互访流量均指向vFW。
首先查看VM2当前路由信息:
然后配置两个网卡的路由信息:
VM1使用Windows操作系统,在CMD控制台添加路由信息如下:
route add 30.1.1.1/24 20.1.1.1 metric 100
然后测试连通性,互访OK。
在vFW上配置域间策略放通的相关配置如下:
# security-zone name Untrust import interface GigabitEthernet2/0 import interface GigabitEthernet3/0 # acl advanced 3000 rule 0 permit ip # zone-pair security source Untrust destination Local packet-filter 3000 # security-zone intra-zone default permit
在设备上查看两台设备互访的会话信息:
可以看到共有3个会话信息,1个ICMP会话和2个TCP会话;其中ICMP会话为主机VM1长PING主机VM2,TCP会话为访问主机VM2上的网站。可以通过带verbose选项查看详细会话信息:
除了普通设备的接口信息之外,可以看到防火墙特有的安全域信息,和配置的规则相匹配。至此,vFW部署上线成功!
