虚拟防火墙典型部署

, , , , , , ,
阅读: 15,226

虚拟防火墙功能简称为VSYS,是能够将一台物理防火墙在逻辑上划分成多个虚拟的防火墙,在用户的角度每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现防火墙的二层、三层(路由+NAT)转发、ACL控制、安全检测功能。每个虚拟防火墙系统之间相互独立,不可直接相互通信。不同型号的NF物理防火墙设备支持的最大VSYS个数不同,支持License控制的VSYS个数的扩展。

虚拟防火墙特性

虚拟防火墙对于管理员来说是透明的,有实体防火墙的功能且功能间独立:

  • 每个VSYS拥有独立的系统管理员、审计管理员账户
  • 每个VSYS拥有独立的安全域、网络、用户、服务等条目
  • 每个VSYS可以拥有独立的设备物理接口或者逻辑接口
  • 每个VSYS拥有独立的安全策略、NAT策略、认证策略
  • 每个VSYS拥有独立的防火墙日志、安全日志和审计日志

虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资,用户可以随时根据业务增减相应的虚拟防火墙,做到资源的最大利用。还可以做各个虚拟防火墙的带宽、会话、策略条目的限制,为不同的用户配置不同需求的资源服务,实体防火墙增值业务扩展性大!

虚拟防火墙部署

虚拟系统间完全隔离

此种可描述为运行商虚拟系统设备租赁的场景,用户够买实体防火墙资金较贵且需要专业人员配置和维护,会产生较大的成本,考虑租赁运行商提供的防火墙,价格便宜且维护容易,企业A租赁防火墙1,企业B租赁防火墙2,可满足用户的需求:

  • 不同的虚拟系统进行相互隔离,每个虚拟系统管理员都能够配置自己的数通特性,同时每个虚拟系统只能查看到自己的日志。
  • 每个虚拟系统用户有自己独立的三层路由空间,自己独立的安全域、安全对象以及域间策略。
虚拟系统间完全隔离

虚拟系统间完全隔离

配置思路:

  • 创建vsys、vrouter并做两者之间的关联
  • 配置三层接口,指定属于哪个vsys并做其内vrouter的关联
  • 配置不同vsys上外网的路由条目
  • 配置不同vsys中的SNAT的策略
  • 配置不同vsys中的相关安全策略
  • 配置不同vsys的管理员账户
  • 应用配置使其生效

具体配置如下:

1、 创建vsys、vrouter并做两者之间的关联

vrouter

vrouter

2、 配置三层接口,路属于不同的vsys并绑定在vrouter上

三层接口

三层接口

Vrouter和接口都属于虚拟系统的资源,可被分配到不同虚拟系统上,vrouter可以被多个虚拟系统共享也可单独占有,接口只能被唯一一个虚拟系统占有。
Vrouter和vswitch不单单属于虚拟系统的资源和被占用,它们也是网络的一种部署,代表了虚拟系统中的二层或三层的网络转发。

3、 配置不同vsys上外网的路由条目

vsys

vsys

4、 配置不同vsys中的SNAT的策略,策略独立

SNAT

SNAT

5、 配置不同vsys中的相关安全策略,安全策略各自独立,互不影响

安全策略各自独立

安全策略各自独立

6、 配置不同vsys的管理员账户,管理员登陆后可单独管理私有的防火墙配置

防火墙配置

防火墙配置

7、 应用配置生效

应用配置生效

应用配置生效

虚拟系统共享外网出口

此种场景可描述为公司有一个外网出口,下设多个部门,部门间网络隔离且做不同的控制策略或者安全防护,各个部门通过一个外网口做SNAT上外网。

多个虚拟系统共享一个外网出口。虚拟系统2和虚拟系统3访问Internet时,需要跨到虚拟系统1进行NAT并转发,每个虚拟系统用户有自己独立的安全域以及虚拟系统域间策略。

NAT

NAT

说明:此处公司A和公司B的IP地址不能重叠,走同一个vrouter转发,重叠会导致转发失败

配置思路:

  • 创建vsys、vrouter并做两者之间的关联
  • 配置三层接口,指定属于哪个vsys并做其内vrouter的关联
  • vsys1中配置到外网的路由条目;vsys1中分别配置到vsys2、vsys3的跨虚拟系统路由条目
  • 在vsys2、vsys3中分别配置到vsys1的跨虚拟系统路由条目
  • 建立external类型的安全区,并建立外域绑定条目做各个虚拟系统间的外域相互指定
  • 配置vsys1的相关SNAT的策略,使vsys2、vsys3走SNAT访问外网
  • 分别配置vsys1、vsys2、vsys3的中的安全策略
  • 配置不同vsys中的的管理员账户
  • 应用配置使其生效

具体配置如下:

1、 创建vsys、vrouter并做两者之间的关联

关联

关联

2、 配置三层接口,指定属于哪个vsys并做其内vrouter的关联

三层接口1

三层接口1

3、 vsys1中配置到外网的路由条目;vsys1中分别配置到vsys2、vsys3的跨虚拟系统路由条目

跨虚拟系统路由条目

跨虚拟系统路由条目

4、 在vsys2、vsys3中分别配置到vsys1的跨虚拟系统路由条目

vsys2

vsys2

5、 建立external类型的外域安全区,并做外域安全区和外域绑定:

引入了一种新的外域安全区的描述,当多个虚拟系统共享虚拟交换机或虚拟路由器时使用,当数据需要跨虚拟系统转发时,需要配置外域绑定策略。外域绑定策略用于配置与当前虚拟系统共享虚拟路由器或虚拟交换机的虚拟系统ID。

在vsys1中建立与自己通信的外域,即到vsys2、vsys3外域安全区:

外域安全区

外域安全区

在vsys2、vsys3中建立与自己通信的外域,都是到vsys1外域安全区:

外域

外域

Vsys1中建立外域绑定条目,即vsys2、vsys3外域安全区绑定对应的虚拟系统2、3:

绑定条目

绑定条目

Vsys2、vsys3中建立外域绑定条目,即做vsys1外域安全区绑定虚拟系统1:

绑定虚拟系统1

绑定虚拟系统1

6、 配置vsys1的相关SNAT的策略,使vsys2、vsys3走SNAT访问外网

SNAT访问外网

SNAT访问外网

7、 分别配置vsys1、vsys2、vsys3的中的安全策略

在vsys1中,是配置外域安全区到Extranet 的ACL控制策略,如下:

Extranet

Extranet

在vsys2、vsys3中,是配置 Internet到外域安全区的ACL控制策略,如下:

控制策略

控制策略

8、 配置不同vsys中的管理员账户

管理员账户

管理员账户

9、 应用配置使其生效

生效

生效

如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment