防火墙虚拟化技术介绍第二篇（vmware 虚拟化防火墙）

防火墙虚拟化技术介绍第二篇（vmware 虚拟化防火墙）

虚拟系统基本配置

启动虚拟系统

执行vsys enable（系统视图下）命令启用虚拟系统功能 vsys enable ----------------虚拟系统开启

规划资源

resource-class vsysa -------------默认的资源是R0 resource-item-limit session reserved-number 0 maximum 10000 resource-item-limit policy reserved-number 1000 resource-item-limit online-user reserved-number 0 maximum 1000

新建虚拟系统

system-view [NGFW] vsys name vsysa //创建名为vsysa的虚拟系统 [NGFW-vsysa] assign resource-class r0 //绑定资源类

vsys name vsysa 1 assign resource-class vsysa

虚拟系统分配接口

vsys name vsysa 1 assign interface GigabitEthernet0/0/2

虚拟接口注意：可以不配置IP地址，但一定要划ZONE配置虚拟防火墙命令：

switch vsys vsysa --------------进入虚拟系统防火墙 interface GigabitEthernet0/0/2 ip address 10.1.1.10 255.255.255.0 firewall zone trust add interface GigabitEthernet0/0/2 firewall zone untrust set priority 5 add interface Virtualif1 ------------虚拟接口一定加入ZONE，可以不配置IP地址。

接口和VLAN分配原则

创建管理员

 如果虚拟系统要有专门的管理员来管理，进入虚拟系统创建虚拟系统管理员 虚拟系统管理员用户名必须带后缀“@虚拟系统名称”。如果使用第三方认证服务器对虚拟系统管理员进行认证，认证服务器上配置的用户名不需要带后缀“@虚拟系统名称”。例如，认证服务器需要对虚拟系统VSYSA的管理员admin@vsysa进行认证时，认证服务器上配置的用户名应该是admin 在命令行界面下，除了上述所示的基本配置，信任主机的配置通过绑定ACL来实现，同时，还可以为管理员绑定系统管理员角色。配置举例如下

[NGFW] switch vsys vsysa [NGFW-vsysa] aaa [NGFW-vsysa-aaa] manager-user admin@vsysa [NGFW-vsysa-aaa-manager-user-admin@vsysa] password cipher Vsysadmin@123 [NGFW-vsysa-aaa-manager-user-admin@vsysa] level 3 [NGFW-vsysa-aaa-manager-user-admin@vsysa] service-type telnet [NGFW-vsysa] acl 2001 [NGFW-vsysa-acl-basic-2001] rule permit source 10.3.0.99 0.0.0.0 [NGFW-vsysa-acl-basic-2001] quit [NGFW-vsysa] aaa [NGFW-vsysa-aaa] manager-user admin@vsysa [NGFW-vsysa-aaa-manager-user-admin@vsysa] acl-number 2001 //绑定信任主机 [NGFW-vsysa-aaa] bind manager-user admin@vsysa role system-admin //将虚拟系统管理员绑定为系统管理员角色

虚拟系统与根系统之间通信

 虚拟系统通过根系统访问外网 路由 A. 考虑虚拟防火墙去往根墙的路由

ip route-static X.XX.X X.X.X.X public

B. 考虑回包，防火墙回到虚拟系统

ip route-static X.X.X.X X.X.X.X vpn-instance 虚拟系统的名字

 安全策略

第三步：进入虚拟系统配置 举例：VSYSA

switch vsys vsysa -------------------进入虚拟系统vsysa

A. 配置IP地址，ZONE

interface GigabitEthernet0/0/2 ip address 10.1.1.10 255.255.255.0 firewall zone trust set priority 85 add interface GigabitEthernet0/0/2 firewall zone untrust set priority 5 add interface Virtualif1

注意：虚拟接口可以不需要配置IP地址，但一定要加ZONEB. 配置路由 实现虚拟系统访问根系统

ip route-static 0.0.0.0 0.0.0.0 public

注意：也解决去往其它虚拟系统的路由问题C. 配置安全

security-policy rule name trust_untrsut source-zone trust destination-zone untrust action permit

注: 只能解决访问根系统第四步：根墙配置根墙virtualif0 也要加ZONE

firewall zone trust add interface Virtualif0

配置去往各自虚拟系统的路由

ip route-static 10.1.1.0 255.255.255.0 vpn-instance vsysa ip route-static 10.1.2.0 255.255.255.0 vpn-instance vsysb

第五步：各自虚拟系统测试通过根防火墙访问internet

[FW1-vsysa]display firewall session ta 10:11:09 2019/12/08 Current Total Sessions : 4 udp VPN:vsysa --> vsysa 10.1.1.1:63268-->180.163.26.34:8000 VPN:vsysa --> vsysa 10.1.1.1:49329-->54.213.71.156:443 udp VPN:vsysa --> vsysa 10.1.1.1:58639-->180.163.26.34:8000 VPN:vsysa --> vsysa 10.1.1.1:49489-->180.163.21.35:80 [FW1-vsysb]display firewall session ta 10:14:09 2019/12/08 Current Total Sessions : 3 VPN:vsysb --> vsysb 10.1.2.1:49319-->13.35.50.72:443 netbios-name VPN:vsysb --> vsysb 169.254.232.174:137-->169.254.255.255:137 VPN:vsysb --> vsysb 10.1.2.1:49252-->104.85.245.85:80

第六步：虚拟之间相互访问 路由已经解决（配置默认路由）

安全策略问题 两个虚拟系统.都需要配置从外部到内容的安全策略

security-policy rule name untrust_trust source-zone untrust destination-zone trust action permit

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。