温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

华为防火墙虚拟化配置

发布时间:2020-07-25 12:02:22 来源:网络 阅读:11099 作者:周小玉 栏目:安全技术

Root Firewall配置如下

system-view
sysname root-firewall #防火墙命名
vlan batch 41 71 73 100 to 200 1000 to 2000 3001 to 3100 #创建vlan
interface eth-trunk 0 #创建聚合组0 (为HRP所使用)
 trunkport GigabitEthernet1/0/0 #添加聚合组成员
 trunkport GigabitEthernet1/0/1 #添加聚合组成员
 ip address 1.1.1.1 255.255.255.0 #配置聚合组地址
quit #退出聚合组模式

interface eth-trunk 1 #创建聚合组1(出口链路聚合)
 portswitch #切换至二层聚合模式
 trunkport 10GE 1/0/8 #添加聚合组成员
 trunkport 10GE 1/0/9 #添加聚合组成员
 port link-type trunk #端口类型trunk
 undo port trunk allow-pass vlan 1 #拒绝vlan1通过
 port trunk allow-pass vlan 41 71 73 100 to 200 1000 3000 to 3100 #允许vlan 41 71 73 100 to 200 1000 3000到3100
 alias eth-trunk1 #聚合组命名eth-trunk1
quit

将聚合组加入不同区域
firewall zone dmz
 add interface Eth-Trunk0 #HRP聚合组加入到DMZ区域

firewall zone trust
 add interface Eth-Trunk1 #出口链路聚合加入到Trust区域
 add interface Virtual-if0
备注:建议Eth-Trunk1和 Virtual-if接口属于不同区域(因为华为防火墙只存在区域间策略)------默认同一个zone的流量是可以通信的,可以基于源目的地址做安全策略

vsys enable #开启虚拟系统

resource-class r1 # 配置资源类
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit policy reserved-number 300
resource-item-limit user reserved-number 300
resource-item-limit user-group reserved-number 10
resource-item-limit bandwidth-ingress maximum 100000

vsys name vsysA #创建虚拟子墙A
vsys name vsysB #创建虚拟子墙B
quit #退出
quit #退出

为外联、业务创建虚拟子接口
interface Eth-Trunk1.109 #创建电信子接口
 description link-to-gateway-DianXin#该接口描述
 ip address 123.126.109.166 255.255.255.128 #设置接口公网地址
 arp-proxy enable #开启ARP代理功能
 vlan-type dot1q 109 #本接口属于vlan109
 alias Eth-Trunk1.109 #别名为Eth-Trunk1.109
 service-manage ping permit #允许ping

interface Eth-Trunk1.73 创建专网子接口
 description link-to-gateway-ZhuanXian #该接口描述
 ip address  172.16.1.1 255.255.255.0 #设置接口公网地址
 vlan-type dot1q 73#本接口属于vlan73
 alias Eth-Trunk1.73#别名为Eth-Trunk73
 service-manage ping permit #允许ping

interface Eth-Trunk1.128 创建业务子接口
 description link-to-ZhuHu1 #该接口描述
 ip address  192.168.1.254 255.255.255.0 #设置接口公网地址
 vlan-type dot1q 128#本接口属于vlan128
 alias Eth-Trunk1.128#别名为Eth-Trunk128
 service-manage ping permit #允许ping

interface Eth-Trunk1.129 创建业务子接口
 description link-to-ZhuHu2 #该接口描述
 ip address  192.168.2.254 255.255.255.0 #设置接口公网地址
 vlan-type dot1q 129#本接口属于vlan129
 alias Eth-Trunk1.129#别名为Eth-Trunk129
 service-manage ping permit #允许ping

将虚拟子接口加入到不同接口
firewall zone trust
 add interface Eth-Trunk1.73 ##添加子接口
 add interface Virtual-if0 #虚拟逻辑根接口用于和虚拟墙通信

firewall zone name DianXin #创建 DianXin区域
  set priority 4
  add interface Eth-Trunk1.109 #添加子接口


firewall zone trust
 add interface Virtualif 0


security-policy  #安全策略
 default action permit #默认动作允许

ip route-static 0.0.0.0 0.0.0.0 123.126.109.129 #缺省路由到电信运营商
ip route-static 123.126.109.182 255.255.255.255 ***-instance vsysA #将vsysA内员工访问Internet的回程流量引入VSYSA

ip route-static 123.126.109.164 255.255.255.255 ***-instance vsysB #公网地址下放到子墙B
ip route-static 192.168.1.0 255.255.255.0 ***-instance vsysA #专线地址下放到子墙A
ip route-static 192.168.2.0 255.255.255.0 ***-instance vsysB #专线地址下放到子墙B
ip route-static 172.21.125.0 255.255.255.0 172.20.1.1 description Mangement


虚拟FirewallA配置说明如下:
switch vsys vsysA #切换至虚拟子墙A
 assign interface Eth-Trunk1.128 #分配虚拟子接口(业务网关)
 assign resource-class r1 #分配资源类r1
 assign global-ip 172.16.1.2 172.16.1.2 exclusive #分配全局地址172.16.1.2为独占型
 assign global-ip 123.126.109.182 123.126.109.182 exclusive #分配全局地址123.126.109.182为独占型
 assign interface GigabitEthernet 1/0/3 分配接口


firewall zone untrust
 add interface Virtual-if1 #添加虚拟子接口(Virtualif的编号会根据系统中ID占用情况自动分配)
firewall zone trust
 add interface Eth-Trunk1.128


aaa #为虚拟系统创建管理员

 manager-user admin@@vsysa
 password
Enter Password:                                                                 
Confirm Password:                                                               
 service-type web telnet ssh
 level 15

ip route-static 0.0.0.0 0.0.0.0 public #将vsysA内员工访问Internet的流量引入根系统(public根墙)

security-policy #配置安全策略  
 default action permit #允许所有通过

nat address-group Zhuanxian #为专线创建NAT地址组
 mode pat 模式
 section 0 172.16.1.2 172.16.1.2 #地址组为172.16.1.2

nat address-group DianXin #为电信创建NAT地址组
 mode pat
 section 0 123.126.109.182 123.126.109.182

nat-policy #配置NAT策略

 rule name no-nat #规则命名no-nat
  source-zone trust #源区域trust
  destination-zone untrust #目的区域untrust
  source-address 192.168.1.0 mask 255.255.255.0 #定义源192.168.1.0网段
  destination-address 172.16.1.0 mask 255.255.255.0 #定义目的172.16.1.0网段
  destination-address 192.168.2.0 mask 255.255.255.0 #定义目的192.168.2.0网段
  action no-nat #动作不转换
 rule name DianXin #规则名DianXian
  source-zone trust #源区域trust
  destination-zone untrust #目的区域untrust
  source-address 192.168.1.0 mask 255.255.255.0 #源地址段为192.168.1.0/24
  action nat address-group DianXin

配置服务器端口映射
 nat server 1 protocol tcp global 123.126.109.182 3389 inside 192.168.1.1 3389 #将内部私网地址192.168.1.1端口3389映射成公网地址123.126.109.182的3389


虚拟FirewallB配置说明如下:
vsys name vsysB
 assign interface Eth-Trunk1.129#分配虚拟子接口(业务网关)
 assign resource-class r1 #分配资源类r1
 assign global-ip 172.16.1.3 172.16.1.3 exclusive  #分配全局地址172.16.1.3为独占型
 assign global-ip 123.126.109.164 123.126.109.164 exclusive  #分配全局地址123.126.109.164为独占型

firewall zone untrust
 add interface Virtual-if2
firewall zone trust
 add interface Eth-Trunk1.129

ip route-static 0.0.0.0 0.0.0.0 public #缺省路由扔向public(public根墙)

security-policy
 default action permit #允许所有通过

nat address-group Zhuanxian #为专线创建NAT地址组
 mode pat 模式
 section 0 172.16.1.2 172.16.1.2 #地址组为172.16.1.3

nat address-group DianXin #为电信创建NAT地址组
 mode pat
 section 0 123.126.109.164 123.126.109.164

nat-policy #进入nat策略视图(做域间策略)
 rule name no-nat #规则命名no-nat
  source-zone trust #源区域trust
  destination-zone untrust #目的区域untrust
  source-address 192.168.2.0 mask 255.255.255.0 #定义源192.168.2.0网段
  destination-address 172.16.1.0 mask 255.255.255.0 #定义目的172.16.1.0网段
  destination-address 192.168.1.0 mask 255.255.255.0 #定义目的192.168.1.0网段
  action no-nat #动作不转换
 rule name DianXin #规则名DianXian
  source-zone trust #源区域trust
  destination-zone untrust #目的区域untrust
  source-address 192.168.2.0 mask 255.255.255.0 #源地址段为192.168.2.0/24
  action nat address-group DianXin

配置服务器端口映射
 nat server 1 protocol tcp global 123.126.109.164 3389 inside 192.168.1.1 3389 #将内部私网地址192.168.1.1端口3389映射成公网地址123.126.109.164的3389


向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI