Root Firewall配置如下
system-view
sysname root-firewall #防火墙命名
vlan batch 41 71 73 100 to 200 1000 to 2000 3001 to 3100 #创建vlan
interface eth-trunk 0 #创建聚合组0 (为HRP所使用)
trunkport GigabitEthernet1/0/0 #添加聚合组成员
trunkport GigabitEthernet1/0/1 #添加聚合组成员
ip address 1.1.1.1 255.255.255.0 #配置聚合组地址
quit #退出聚合组模式
interface eth-trunk 1 #创建聚合组1(出口链路聚合)
portswitch #切换至二层聚合模式
trunkport 10GE 1/0/8 #添加聚合组成员
trunkport 10GE 1/0/9 #添加聚合组成员
port link-type trunk #端口类型trunk
undo port trunk allow-pass vlan 1 #拒绝vlan1通过
port trunk allow-pass vlan 41 71 73 100 to 200 1000 3000 to 3100 #允许vlan 41 71 73 100 to 200 1000 3000到3100
alias eth-trunk1 #聚合组命名eth-trunk1
quit
将聚合组加入不同区域
firewall zone dmz
add interface Eth-Trunk0 #HRP聚合组加入到DMZ区域
firewall zone trust
add interface Eth-Trunk1 #出口链路聚合加入到Trust区域
add interface Virtual-if0
备注:建议Eth-Trunk1和 Virtual-if接口属于不同区域(因为华为防火墙只存在区域间策略)------默认同一个zone的流量是可以通信的,可以基于源目的地址做安全策略
vsys enable #开启虚拟系统
resource-class r1 # 配置资源类
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit policy reserved-number 300
resource-item-limit user reserved-number 300
resource-item-limit user-group reserved-number 10
resource-item-limit bandwidth-ingress maximum 100000
vsys name vsysA #创建虚拟子墙A
vsys name vsysB #创建虚拟子墙B
quit #退出
quit #退出
为外联、业务创建虚拟子接口
interface Eth-Trunk1.109 #创建电信子接口
description link-to-gateway-DianXin#该接口描述
ip address 123.126.109.166 255.255.255.128 #设置接口公网地址
arp-proxy enable #开启ARP代理功能
vlan-type dot1q 109 #本接口属于vlan109
alias Eth-Trunk1.109 #别名为Eth-Trunk1.109
service-manage ping permit #允许ping
interface Eth-Trunk1.73 创建专网子接口
description link-to-gateway-ZhuanXian #该接口描述
ip address 172.16.1.1 255.255.255.0 #设置接口公网地址
vlan-type dot1q 73#本接口属于vlan73
alias Eth-Trunk1.73#别名为Eth-Trunk73
service-manage ping permit #允许ping
interface Eth-Trunk1.128 创建业务子接口
description link-to-ZhuHu1 #该接口描述
ip address 192.168.1.254 255.255.255.0 #设置接口公网地址
vlan-type dot1q 128#本接口属于vlan128
alias Eth-Trunk1.128#别名为Eth-Trunk128
service-manage ping permit #允许ping
interface Eth-Trunk1.129 创建业务子接口
description link-to-ZhuHu2 #该接口描述
ip address 192.168.2.254 255.255.255.0 #设置接口公网地址
vlan-type dot1q 129#本接口属于vlan129
alias Eth-Trunk1.129#别名为Eth-Trunk129
service-manage ping permit #允许ping
将虚拟子接口加入到不同接口
firewall zone trust
add interface Eth-Trunk1.73 ##添加子接口
add interface Virtual-if0 #虚拟逻辑根接口用于和虚拟墙通信
firewall zone name DianXin #创建 DianXin区域
set priority 4
add interface Eth-Trunk1.109 #添加子接口
firewall zone trust
add interface Virtualif 0
security-policy #安全策略
default action permit #默认动作允许
ip route-static 0.0.0.0 0.0.0.0 123.126.109.129 #缺省路由到电信运营商
ip route-static 123.126.109.182 255.255.255.255 ***-instance vsysA #将vsysA内员工访问Internet的回程流量引入VSYSA
ip route-static 123.126.109.164 255.255.255.255 ***-instance vsysB #公网地址下放到子墙B
ip route-static 192.168.1.0 255.255.255.0 ***-instance vsysA #专线地址下放到子墙A
ip route-static 192.168.2.0 255.255.255.0 ***-instance vsysB #专线地址下放到子墙B
ip route-static 172.21.125.0 255.255.255.0 172.20.1.1 description Mangement
虚拟FirewallA配置说明如下:
switch vsys vsysA #切换至虚拟子墙A
assign interface Eth-Trunk1.128 #分配虚拟子接口(业务网关)
assign resource-class r1 #分配资源类r1
assign global-ip 172.16.1.2 172.16.1.2 exclusive #分配全局地址172.16.1.2为独占型
assign global-ip 123.126.109.182 123.126.109.182 exclusive #分配全局地址123.126.109.182为独占型
assign interface GigabitEthernet 1/0/3 分配接口
firewall zone untrust
add interface Virtual-if1 #添加虚拟子接口(Virtualif的编号会根据系统中ID占用情况自动分配)
firewall zone trust
add interface Eth-Trunk1.128
aaa #为虚拟系统创建管理员
manager-user admin@@vsysa
password
Enter Password:
Confirm Password:
service-type web telnet ssh
level 15
ip route-static 0.0.0.0 0.0.0.0 public #将vsysA内员工访问Internet的流量引入根系统(public根墙)
security-policy #配置安全策略
default action permit #允许所有通过
nat address-group Zhuanxian #为专线创建NAT地址组
mode pat 模式
section 0 172.16.1.2 172.16.1.2 #地址组为172.16.1.2
nat address-group DianXin #为电信创建NAT地址组
mode pat
section 0 123.126.109.182 123.126.109.182
nat-policy #配置NAT策略
rule name no-nat #规则命名no-nat
source-zone trust #源区域trust
destination-zone untrust #目的区域untrust
source-address 192.168.1.0 mask 255.255.255.0 #定义源192.168.1.0网段
destination-address 172.16.1.0 mask 255.255.255.0 #定义目的172.16.1.0网段
destination-address 192.168.2.0 mask 255.255.255.0 #定义目的192.168.2.0网段
action no-nat #动作不转换
rule name DianXin #规则名DianXian
source-zone trust #源区域trust
destination-zone untrust #目的区域untrust
source-address 192.168.1.0 mask 255.255.255.0 #源地址段为192.168.1.0/24
action nat address-group DianXin
配置服务器端口映射
nat server 1 protocol tcp global 123.126.109.182 3389 inside 192.168.1.1 3389 #将内部私网地址192.168.1.1端口3389映射成公网地址123.126.109.182的3389
虚拟FirewallB配置说明如下:
vsys name vsysB
assign interface Eth-Trunk1.129#分配虚拟子接口(业务网关)
assign resource-class r1 #分配资源类r1
assign global-ip 172.16.1.3 172.16.1.3 exclusive #分配全局地址172.16.1.3为独占型
assign global-ip 123.126.109.164 123.126.109.164 exclusive #分配全局地址123.126.109.164为独占型
firewall zone untrust
add interface Virtual-if2
firewall zone trust
add interface Eth-Trunk1.129
ip route-static 0.0.0.0 0.0.0.0 public #缺省路由扔向public(public根墙)
security-policy
default action permit #允许所有通过
nat address-group Zhuanxian #为专线创建NAT地址组
mode pat 模式
section 0 172.16.1.2 172.16.1.2 #地址组为172.16.1.3
nat address-group DianXin #为电信创建NAT地址组
mode pat
section 0 123.126.109.164 123.126.109.164
nat-policy #进入nat策略视图(做域间策略)
rule name no-nat #规则命名no-nat
source-zone trust #源区域trust
destination-zone untrust #目的区域untrust
source-address 192.168.2.0 mask 255.255.255.0 #定义源192.168.2.0网段
destination-address 172.16.1.0 mask 255.255.255.0 #定义目的172.16.1.0网段
destination-address 192.168.1.0 mask 255.255.255.0 #定义目的192.168.1.0网段
action no-nat #动作不转换
rule name DianXin #规则名DianXian
source-zone trust #源区域trust
destination-zone untrust #目的区域untrust
source-address 192.168.2.0 mask 255.255.255.0 #源地址段为192.168.2.0/24
action nat address-group DianXin
配置服务器端口映射
nat server 1 protocol tcp global 123.126.109.164 3389 inside 192.168.1.1 3389 #将内部私网地址192.168.1.1端口3389映射成公网地址123.126.109.164的3389
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
