VSYS虚拟防火墙

本文涉及的产品
云防火墙,500元 1000GB
简介: VSYS虚拟防火墙


  1. 拓扑设计

  1. 拓扑介绍

LY集团 山东分公司网络拓扑如上。现有财务部,研发部与服务器区域。为了保证内网安全需要为每个区域布置不同的流量检测或杀毒模块。所有到达区域的流量都需要经过杀毒检测区域检测流量是否安全合法才可进入区域,又因资金有限所以杀毒检测区域只有一台服务器,现需要合理配置FW实现为3个区域的流量进行检测。

  1. 数据配置

SW配置

vlan batch 10 20 30 40 50
#
ip vpn-instance vlan10    //创建实例
 ipv4-family
#
ip vpn-instance vlan20
 ipv4-family
#
interface Vlanif1
#
interface Vlanif10
 ip binding vpn-instance vlan10
 ip address 192.168.10.1 255.255.255.0
 ospf enable 1 area 0.0.0.0
#
interface Vlanif20
 ip binding vpn-instance vlan20
 ip address 192.168.20.1 255.255.255.0
 ospf enable 2 area 0.0.0.0
#
interface Vlanif30
 ip address 192.168.30.1 255.255.255.0
 ospf enable 3 area 0.0.0.0
#
interface Vlanif40
 ip address 192.168.40.1 255.255.255.0
 ospf enable 3 area 0.0.0.0
#
interface Vlanif50
 ip address 192.168.50.1 255.255.255.0
 ospf enable 3 area 0.0.0.0
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 50
#
ospf 1 vpn-instance vlan10
 area 0.0.0.0
#
ospf 2 vpn-instance vlan20
 area 0.0.0.0
#
ospf 3
 area 0.0.0.0

FW配置

vlan batch 10 20 30 40
int vlan 10
int vlan 20
int vlan 30
int vlan 40
#
vsys name vlan10    //创建虚拟防火墙并分配资源
 assign vlan 10
 assign vlan 30
#
vsys name vlan20
 assign vlan 20
 assign vlan 40
#
switch  vsys  vlan10
firewall zone trust
 set priority 85
 add interface Vlanif10
 add interface Vlanif30
#
security-policy
 rule name 1t2
  action permit
#
switch  vsys  vlan20
firewall zone trust
 set priority 85
 add interface Vlanif20
 add interface Vlanif40
#
security-policy
 rule name 1t2
  action permit
#
ospf 1 vpn-instance vlan10
area 0
#
ospf 1 vpn-instance vlan20
area 0
#
interface Vlanif10
 ip binding vpn-instance vlan10
 ip address 192.168.10.2 255.255.255.0
 ospf enable 1 area 0.0.0.0
service-manage all permit
#
interface Vlanif20
 ip binding vpn-instance vlan20
 ip address 192.168.20.2 255.255.255.0
 ospf enable 2 area 0.0.0.0
service-manage all permit
#
interface Vlanif30
 ip binding vpn-instance vlan10
 ip address 192.168.30.2 255.255.255.0
 ospf enable 1 area 0.0.0.0
service-manage all permit
#
interface Vlanif40
 ip binding vpn-instance vlan20
 ip address 192.168.40.2 255.255.255.0
 ospf enable 2 area 0.0.0.0
service-manage all permit
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage telnet permit
  1. 查看现象
  • 财务部Tracert研发部

查看上图,可以看到财务部门访问研发部时,流量会经过杀毒区域进行检测。符合预期

  • 研发部Tracert财务部

查看上图,可以看到财务部门访问研发部时,流量会经过杀毒区域进行检测。符合预期

  • 研发部or财务部Tracert服务器区域

流量转发时,经过防火墙检测是否合法再进入区域

可以看到三个区域之间互访流量都会经过杀毒检测区域进行杀毒后进入区域,符合预期效果

  1. 控制平面与转发平面
  • 控制平面

从控制平面来看

  1. 交换机将研发部路由通过实例B传递给FW的实例B
  2. FW的实例B继续将路由传递于交换机的全局
  3. 交换机的全局收到路由后通过路由协议将路由传递给FW的实例A
  4. FW实例A继续将路由传递于交换机的实例A
  5. 交换机的实例A收到了B的路由
  • 转发平面

从转发平面来看,财务部访问研发部

  1. 流量进入交换机后,会进入A实例
  2. A实例通过OSPF将流量转发到FW的A实例
  3. FW的A实例将流量继续转发到交换机的全局
  4. 交换机全局将流量转发到FW的实例B
  5. FW实例B将流量转发到交换机的实例B
  6. 交换机现在可以把流量正常转发到研发部
  7. 配置细节

如果需要流量先经过防火墙再回到交换机,那么就需要将交换机的路由表通过vpn-instance隔离开。交换机的实例B与FW的实例B通过OSPF建立邻居,FW的实例B又与交换机的全局建立邻居关系,现在就可以实现交换机实例A发往全局的流量需要经过FW。

SW的全局与FW的B实例建立邻居关系,FW的B实例与SW的B实例建立邻居关系,这样就相当于SW的B实例与全局也建立了邻居,流量在B实例访问全局时,也会实现经过FW。

这样,SW需要运行3个OSPF进程,FW需要运行2个OSPF进程分别建立邻居来实现效果。

  1. 注意事项
  • 防火墙的三层端口要加入service-manage all permit命令
  • 防火墙的端口要配置trunk要先portswitch


目录
相关文章
|
4月前
|
SQL 网络协议 安全
【Azure API 管理】APIM集成内网虚拟网络后,启用自定义路由管理外出流量经过防火墙(Firewall),遇见APIs加载不出来问题
【Azure API 管理】APIM集成内网虚拟网络后,启用自定义路由管理外出流量经过防火墙(Firewall),遇见APIs加载不出来问题
|
网络协议 测试技术 Linux
vFW虚拟防火墙部署实战
vFW虚拟防火墙部署实战
vFW虚拟防火墙部署实战
|
存储 Linux 网络安全
VMware环境部署vFW虚拟防火墙
VMware环境部署vFW虚拟防火墙
VMware环境部署vFW虚拟防火墙
|
网络安全 网络虚拟化 安全
虚拟防火墙实验
1:虚拟防火墙 1.4 虚拟防火墙实验 1)实验拓扑 2)实验需求 2.1)首先完成交换网络的VLAN 和TRUNK 设置,保证连通性 2.2)ASA1 要求是HR 部分的主防火墙,ASA2 是备份 ASA2 要求是ENG 部分的主防火墙,ASA1 是备份 2.
1498 0
|
4月前
|
安全 Linux 应用服务中间件
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?