多平台统一管理软件接口,如何实现多平台统一管理软件接口
2366
2022-10-11
华为防火墙虚拟化配置(华为防火墙虚拟服务器)
华为防火墙虚拟化配置(华为防火墙虚拟服务器)
Root Firewall配置如下system-viewsysname root-firewall #防火墙命名vlan batch 41 71 73 100 to 200 1000 to 2000 3001 to 3100 #创建vlaninterface eth-trunk 0 #创建聚合组0 (为HRP所使用) trunkport GigabitEthernet1/0/0 #添加聚合组成员 trunkport GigabitEthernet1/0/1 #添加聚合组成员 ip address 1.1.1.1 255.255.255.0 #配置聚合组地址quit #退出聚合组模式interface eth-trunk 1 #创建聚合组1(出口链路聚合) portswitch #切换至二层聚合模式 trunkport 10GE 1/0/8 #添加聚合组成员 trunkport 10GE 1/0/9 #添加聚合组成员 port link-type trunk #端口类型trunk undo port trunk allow-pass vlan 1 #拒绝vlan1通过 port trunk allow-pass vlan 41 71 73 100 to 200 1000 3000 to 3100 #允许vlan 41 71 73 100 to 200 1000 3000到3100 alias eth-trunk1 #聚合组命名eth-trunk1quit将聚合组加入不同区域firewall zone dmz add interface Eth-Trunk0 #HRP聚合组加入到DMZ区域firewall zone trust add interface Eth-Trunk1 #出口链路聚合加入到Trust区域 add interface Virtual-if0备注:建议Eth-Trunk1和 Virtual-if接口属于不同区域(因为华为防火墙只存在区域间策略)------默认同一个zone的流量是可以通信的,可以基于源目的地址做安全策略vsys enable #开启虚拟系统
resource-class r1 # 配置资源类resource-item-limit session reserved-number 10000 maximum 50000resource-item-limit policy reserved-number 300resource-item-limit user reserved-number 300resource-item-limit user-group reserved-number 10resource-item-limit bandwidth-ingress maximum 100000
vsys name vsysA #创建虚拟子墙Avsys name vsysB #创建虚拟子墙Bquit #退出quit #退出为外联、业务创建虚拟子接口interface Eth-Trunk1.109 #创建电信子接口 description link-to-gateway-DianXin#该接口描述 ip address 123.126.109.166 255.255.255.128 #设置接口公网地址 arp-proxy enable #开启ARP代理功能 vlan-type dot1q 109 #本接口属于vlan109 alias Eth-Trunk1.109 #别名为Eth-Trunk1.109 service-manage ping permit #允许pinginterface Eth-Trunk1.73 创建专网子接口 description link-to-gateway-ZhuanXian #该接口描述 ip address 172.16.1.1 255.255.255.0 #设置接口公网地址 vlan-type dot1q 73#本接口属于vlan73 alias Eth-Trunk1.73#别名为Eth-Trunk73 service-manage ping permit #允许pinginterface Eth-Trunk1.128 创建业务子接口 description link-to-ZhuHu1 #该接口描述 ip address 192.168.1.254 255.255.255.0 #设置接口公网地址 vlan-type dot1q 128#本接口属于vlan128 alias Eth-Trunk1.128#别名为Eth-Trunk128 service-manage ping permit #允许pinginterface Eth-Trunk1.129 创建业务子接口 description link-to-ZhuHu2 #该接口描述 ip address 192.168.2.254 255.255.255.0 #设置接口公网地址 vlan-type dot1q 129#本接口属于vlan129 alias Eth-Trunk1.129#别名为Eth-Trunk129 service-manage ping permit #允许ping将虚拟子接口加入到不同接口firewall zone trust add interface Eth-Trunk1.73 ##添加子接口 add interface Virtual-if0 #虚拟逻辑根接口用于和虚拟墙通信firewall zone name DianXin #创建 DianXin区域 set priority 4 add interface Eth-Trunk1.109 #添加子接口
firewall zone trust add interface Virtualif 0
security-policy #安全策略 default action permit #默认动作允许ip route-static 0.0.0.0 0.0.0.0 123.126.109.129 #缺省路由到电信运营商ip route-static 123.126.109.182 255.255.255.255 vpn-instance vsysA #将vsysA内员工访问Internet的回程流量引入VSYSA
ip route-static 123.126.109.164 255.255.255.255 vpn-instance vsysB #公网地址下放到子墙Bip route-static 192.168.1.0 255.255.255.0 vpn-instance vsysA #专线地址下放到子墙Aip route-static 192.168.2.0 255.255.255.0 vpn-instance vsysB #专线地址下放到子墙Bip route-static 172.21.125.0 255.255.255.0 172.20.1.1 description Mangement虚拟FirewallA配置说明如下:switch vsys vsysA #切换至虚拟子墙A assign interface Eth-Trunk1.128 #分配虚拟子接口(业务网关) assign resource-class r1 #分配资源类r1 assign global-ip 172.16.1.2 172.16.1.2 exclusive #分配全局地址172.16.1.2为独占型 assign global-ip 123.126.109.182 123.126.109.182 exclusive #分配全局地址123.126.109.182为独占型 assign interface GigabitEthernet 1/0/3 分配接口
firewall zone untrust add interface Virtual-if1 #添加虚拟子接口(Virtualif的编号会根据系统中ID占用情况自动分配)firewall zone trust add interface Eth-Trunk1.128
aaa #为虚拟系统创建管理员
manager-user admin@@vsysa passwordEnter Password: Confirm Password: service-type web telnet ssh level 15ip route-static 0.0.0.0 0.0.0.0 public #将vsysA内员工访问Internet的流量引入根系统(public根墙)security-policy #配置安全策略 default action permit #允许所有通过nat address-group Zhuanxian #为专线创建NAT地址组 mode pat 模式 section 0 172.16.1.2 172.16.1.2 #地址组为172.16.1.2nat address-group DianXin #为电信创建NAT地址组 mode pat section 0 123.126.109.182 123.126.109.182nat-policy #配置NAT策略
rule name no-nat #规则命名no-nat source-zone trust #源区域trust destination-zone untrust #目的区域untrust source-address 192.168.1.0 mask 255.255.255.0 #定义源192.168.1.0网段 destination-address 172.16.1.0 mask 255.255.255.0 #定义目的172.16.1.0网段 destination-address 192.168.2.0 mask 255.255.255.0 #定义目的192.168.2.0网段 action no-nat #动作不转换 rule name DianXin #规则名DianXian source-zone trust #源区域trust destination-zone untrust #目的区域untrust source-address 192.168.1.0 mask 255.255.255.0 #源地址段为192.168.1.0/24 action nat address-group DianXin配置服务器端口映射 nat server 1 protocol tcp global 123.126.109.182 3389 inside 192.168.1.1 3389 #将内部私网地址192.168.1.1端口3389映射成公网地址123.126.109.182的3389虚拟FirewallB配置说明如下:vsys name vsysB assign interface Eth-Trunk1.129#分配虚拟子接口(业务网关) assign resource-class r1 #分配资源类r1 assign global-ip 172.16.1.3 172.16.1.3 exclusive #分配全局地址172.16.1.3为独占型 assign global-ip 123.126.109.164 123.126.109.164 exclusive #分配全局地址123.126.109.164为独占型firewall zone untrust add interface Virtual-if2firewall zone trust add interface Eth-Trunk1.129ip route-static 0.0.0.0 0.0.0.0 public #缺省路由扔向public(public根墙)security-policy default action permit #允许所有通过nat address-group Zhuanxian #为专线创建NAT地址组 mode pat 模式 section 0 172.16.1.2 172.16.1.2 #地址组为172.16.1.3nat address-group DianXin #为电信创建NAT地址组 mode pat section 0 123.126.109.164 123.126.109.164nat-policy #进入nat策略视图(做域间策略) rule name no-nat #规则命名no-nat source-zone trust #源区域trust destination-zone untrust #目的区域untrust source-address 192.168.2.0 mask 255.255.255.0 #定义源192.168.2.0网段 destination-address 172.16.1.0 mask 255.255.255.0 #定义目的172.16.1.0网段 destination-address 192.168.1.0 mask 255.255.255.0 #定义目的192.168.1.0网段 action no-nat #动作不转换 rule name DianXin #规则名DianXian source-zone trust #源区域trust destination-zone untrust #目的区域untrust source-address 192.168.2.0 mask 255.255.255.0 #源地址段为192.168.2.0/24 action nat address-group DianXin配置服务器端口映射 nat server 1 protocol tcp global 123.126.109.164 3389 inside 192.168.1.1 3389 #将内部私网地址192.168.1.1端口3389映射成公网地址123.126.109.164的3389
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
相关文章
发表评论
暂时没有评论,来抢沙发吧~