IT-technology
以人为本,众志成城,以“用户至上”.“服务上乘”为原则,
追求产品和服务高质量,努力实现与客户之间真诚有效的沟通,
不断地圆梦、奔跑与腾飞。
追求产品和服务高质量,努力实现与客户之间真诚有效的沟通,
不断地圆梦、奔跑与腾飞。
新闻动态 NEWS
防火墙在云计算安全方案中的应用(二) -北京赛维博信科技发展有限公司
来源:本人摘自网络,如有侵权请联系删除
|
作者:毛豆
|
发布时间: 2024-04-22
|
197 次浏览
|
分享到:
前言
防火墙旁挂在云计算网络的核心交换机上,通过虚拟系统隔离网络中的虚拟机业务。同时,防火墙形成双机热备状态,提高业务的可靠性。
01
配置步骤
1.1 前提条件
虚拟系统的License文件已经申请,并在FW_A和FW_B上成功激活。
1.2 操作步骤
【1】配置接口和安全区域。
# 在FW_A上创建子接口。
<FW_A> [FW_A] [FW_A-GigabitEthernet1/0/1.10] [FW_A] [FW_A-GigabitEthernet1/0/1.11] [FW_A] [FW_A-GigabitEthernet1/0/1.1000] [FW_A] [FW_A-GigabitEthernet1/0/2.1] [FW_A] [FW_A-GigabitEthernet1/0/2.2] [FW_A] [FW_A-GigabitEthernet1/0/3.10] [FW_A] [FW_A-GigabitEthernet1/0/3.11]
# 在FW_B上创建子接口。
<FW_B> [FW_B] [FW_B-GigabitEthernet1/0/1.10] [FW_B] [FW_B-GigabitEthernet1/0/1.11] [FW_B] [FW_B-GigabitEthernet1/0/1.1000] [FW_B] [FW_B-GigabitEthernet1/0/2.1] [FW_B] [FW_B-GigabitEthernet1/0/2.2] [FW_B] [FW_B-GigabitEthernet1/0/3.10] [FW_B] [FW_B-GigabitEthernet1/0/3.11]
# 在FW_A上配置Eth-Trunk接口。
[FW_A] [FW_A-Eth-Trunk1] [FW_A-Eth-Trunk1] [FW_A] [FW_A-GigabitEthernet1/0/8] [FW_A-GigabitEthernet1/0/8] [FW_A] [FW_A-GigabitEthernet2/0/8] [FW_A-GigabitEthernet2/0/8]
# 在FW_B上配置Eth-Trunk接口。
[FW_B] [FW_B-Eth-Trunk1] [FW_B-Eth-Trunk1] [FW_B] [FW_B-GigabitEthernet1/0/8] [FW_B-GigabitEthernet1/0/8] [FW_B] [FW_B-GigabitEthernet2/0/8] [FW_B-GigabitEthernet2/0/8]
# 在FW_A上为根系统接口配置IP地址,并将接口加入根系统的安全区域。
[FW_A] [FW_A-GigabitEthernet1/0/1.1000] [FW_A-GigabitEthernet1/0/1.1000] [FW_A] [FW_A-GigabitEthernet1/0/2.1] [FW_A-GigabitEthernet1/0/2.1] [FW_A] [FW_A-GigabitEthernet1/0/2.2] [FW_A-GigabitEthernet1/0/2.2] [FW_A] [FW_A-zone-trust] [FW_A-zone-trust] [FW_A] [FW_A-zone-untrust] [FW_A-zone-untrust] [FW_A-zone-untrust] [FW_A] [FW_A-zone-dmz] [FW_A-zone-dmz] [FW_A-zone-dmz] [FW_A-zone-dmz] [FW_A] [FW_A-zone-hrpzone] [FW_A-zone-hrpzone] [FW_A-zone-hrpzone]
# 在FW_B上为根系统接口配置IP地址,并将接口加入根系统的安全区域。
[FW_B] [FW_B-GigabitEthernet1/0/1.1000] [FW_B-GigabitEthernet1/0/1.1000] [FW_B] [FW_B-GigabitEthernet1/0/2.1] [FW_B-GigabitEthernet1/0/2.1] [FW_B] [FW_B-GigabitEthernet1/0/2.2] [FW_B-GigabitEthernet1/0/2.2] [FW_B] [FW_B-zone-trust] [FW_B-zone-trust] [FW_B] [FW_B-zone-untrust] [FW_B-zone-untrust] [FW_B-zone-untrust] [FW_B] [FW_B-zone-dmz] [FW_B-zone-dmz] [FW_B-zone-dmz] [FW_B-zone-dmz] [FW_B] [FW_B-zone-hrpzone] [FW_B-zone-hrpzone] [FW_B-zone-hrpzone]
【2】配置虚拟系统。
# 在FW_A上开启虚拟系统功能。
[FW_A] vsys enable
# 在FW_B上开启虚拟系统功能。
[FW_B] vsys enable
# 在FW_A上配置资源类。
[FW_A] [FW_A-resource-class-vfw1_car] [FW_A-resource-class-vfw1_car] [FW_A] [FW_A-resource-class-vfw2_car] [FW_A-resource-class-vfw2_car]
# 在FW_B上配置资源类。
[FW_B] [FW_B-resource-class-vfw1_car] [FW_B-resource-class-vfw1_car] [FW_B] [FW_B-resource-class-vfw2_car] [FW_B-resource-class-vfw2_car]
# 在FW_A上创建虚拟系统,并为虚拟系统分配资源。
[FW_A] [FW_A-vsys-vfw1] [FW_A-vsys-vfw1] [FW_A-vsys-vfw1] [FW_A-vsys-vfw1] [FW_A-vsys-vfw1] [FW_A] [FW_A-vsys-vfw2] [FW_A-vsys-vfw2] [FW_A-vsys-vfw2] [FW_A-vsys-vfw2] [FW_A-vsys-vfw2]
# 在FW_B上创建虚拟系统,并为虚拟系统分配资源。
[FW_B] [FW_B-vsys-vfw1] [FW_B-vsys-vfw1] [FW_B-vsys-vfw1] [FW_B-vsys-vfw1] [FW_B-vsys-vfw1] [FW_B] [FW_B-vsys-vfw2] [FW_B-vsys-vfw2] [FW_B-vsys-vfw2] [FW_B-vsys-vfw2] [FW_B-vsys-vfw2]
# 在FW_A上的虚拟系统vfw1中配置接口的IP地址,并将接口加入安全区域。
[FW_A] <FW_A-vfw1> [FW_A-vfw1] [FW_A-vfw1-GigabitEthernet1/0/1.10] [FW_A-vfw1-GigabitEthernet1/0/1.10] [FW_A-vfw1] [FW_A-vfw1-GigabitEthernet1/0/3.10] [FW_A-vfw1-GigabitEthernet1/0/3.10] [FW_A-vfw1] [FW_A-vfw1-zone-untrust] [FW_A-vfw1-zone-untrust] [FW_A-vfw1] [FW_A-vfw1-zone-trust] [FW_A-vfw1-zone-trust] [FW_A-vfw1] <FW_A-vfw1>
参考上述步骤,在FW_A上的虚拟系统vfw2中配置接口的IP地址,并将接口加入安全区域。
# 在FW_B上的虚拟系统vfw1中配置接口的IP地址,并将接口加入安全区域。
[FW_B] <FW_B-vfw1> [FW_B-vfw1] [FW_B-vfw1-GigabitEthernet1/0/1.10] [FW_B-vfw1-GigabitEthernet1/0/1.10] [FW_B-vfw1] [FW_B-vfw1-GigabitEthernet1/0/3.10] [FW_B-vfw1-GigabitEthernet1/0/3.10] [FW_B-vfw1] [FW_B-vfw1-zone-untrust] [FW_B-vfw1-zone-untrust] [FW_B-vfw1] [FW_B-vfw1-zone-trust] [FW_B-vfw1-zone-trust] [FW_B-vfw1] <FW_B-vfw1>
参考上述步骤,在FW_B上的虚拟系统vfw2中配置接口的IP地址,并将接口加入安全区域。
【3】配置路由。
# 在FW_A上配置根系统的路由。
[FW_A] [FW_A] [FW_A] [FW_A] [FW_A-ospf-1000] [FW_A-ospf-1000] [FW_A-ospf-1000-area-0.0.0.0] [FW_A-ospf-1000-area-0.0.0.0] [FW_A-ospf-1000]
# 在FW_B上配置根系统的路由。
[FW_B] [FW_B] [FW_B] [FW_B] [FW_B-ospf-1000] [FW_B-ospf-1000] [FW_B-ospf-1000-area-0.0.0.0] [FW_B-ospf-1000-area-0.0.0.0] [FW_B-ospf-1000]
# 在FW_A上配置虚拟系统的路由。
[FW_A] [FW_A-vpn-instance-vfw1] [FW_A-vpn-instance-vfw1] [FW_A] [FW_A-vpn-instance-vfw2] [FW_A-vpn-instance-vfw2] [FW_A] [FW_A-ospf-1] [FW_A-ospf-1] [FW_A-ospf-1-area-0.0.0.0] [FW_A-ospf-1-area-0.0.0.0] [FW_A-ospf-1] [FW_A] [FW_A-ospf-2] [FW_A-ospf-2] [FW_A-ospf-2-area-0.0.0.0] [FW_A-ospf-2-area-0.0.0.0] [FW_A-ospf-2] [FW_A] <FW_A-vfw1> [FW_A-vfw1] [FW_A-vfw1] [FW_A-vfw1] <FW_A-vfw1> [FW_A] <FW_A-vfw2> [FW_A-vfw2] [FW_A-vfw2] [FW_A-vfw2] <FW_A-vfw2>
# 在FW_B上配置虚拟系统的路由。
[FW_B] [FW_B-vpn-instance-vfw1] [FW_B-vpn-instance-vfw1] [FW_B] [FW_B-vpn-instance-vfw2] [FW_B-vpn-instance-vfw2] [FW_B] [FW_B-ospf-1] [FW_B-ospf-1] [FW_B-ospf-1-area-0.0.0.0] [FW_B-ospf-1-area-0.0.0.0] [FW_B-ospf-1] [FW_B] [FW_B-ospf-2] [FW_B-ospf-2] [FW_B-ospf-2-area-0.0.0.0] [FW_B-ospf-2-area-0.0.0.0] [FW_B-ospf-2] [FW_B] <FW_B-vfw1> [FW_B-vfw1] [FW_B-vfw1] [FW_B-vfw1] <FW_B-vfw1> [FW_B] <FW_B-vfw2> [FW_B-vfw2] [FW_B-vfw2] [FW_B-vfw2] <FW_B-vfw2>
【4】配置双机热备。
# 在FW_A上配置VGMP组监控上行GE1/0/1接口。
[FW_A] hrp track interface GigabitEthernet 1/0/1
# 在FW_A上配置根据VGMP状态调整OSPF Cost值功能。
[FW_A] hrp adjust ospf-cost enable
# 在FW_A上配置VRRP备份组,并将其状态设置为Active。
[FW_A] [FW_A-GigabitEthernet1/0/3.10] [FW_A-GigabitEthernet1/0/3.10] [FW_A-GigabitEthernet1/0/3.10] [FW_A] [FW_A-GigabitEthernet1/0/3.11] [FW_A-GigabitEthernet1/0/3.11] [FW_A-GigabitEthernet1/0/3.11] [FW_A] [FW_A-GigabitEthernet1/0/2.1] [FW_A-GigabitEthernet1/0/2.1] [FW_A-GigabitEthernet1/0/2.1] [FW_A] [FW_A-GigabitEthernet1/0/2.2] [FW_A-GigabitEthernet1/0/2.2] [FW_A-GigabitEthernet1/0/2.2]
# 在FW_A上指定心跳口并启用双机热备功能。
[FW_A] [FW_A]
# 在FW_B上配置VGMP组监控上行GE1/0/1接口。
[FW_B] hrp track interface GigabitEthernet 1/0/1
# 在FW_B上配置根据VGMP状态调整OSPF Cost值功能。
[FW_B] hrp adjust ospf-cost enable
# 在FW_B上配置VRRP备份组,并将其状态设置为Standby。
[FW_B] [FW_B-GigabitEthernet1/0/3.10] [FW_B-GigabitEthernet1/0/3.10] [FW_B-GigabitEthernet1/0/3.10] [FW_B] [FW_B-GigabitEthernet1/0/3.11] [FW_B-GigabitEthernet1/0/3.11] [FW_B-GigabitEthernet1/0/3.11] [FW_B] [FW_B-GigabitEthernet1/0/2.1] [FW_B-GigabitEthernet1/0/2.1] [FW_B-GigabitEthernet1/0/2.1] [FW_B] [FW_B-GigabitEthernet1/0/2.2] [FW_B-GigabitEthernet1/0/2.2] [FW_B-GigabitEthernet1/0/2.2]
# 在FW_B上指定心跳口并启用双机热备功能。
[FW_B] [FW_B]
【5】配置安全策略。
# 在FW_A上的根系统中配置安全策略。
HRP_M[FW_A] HRP_M[FW_A-policy-security] HRP_M[FW_A-policy-security-rule-sec_portal] HRP_M[FW_A-policy-security-rule-sec_portal] HRP_M[FW_A-policy-security-rule-sec_portal] HRP_M[FW_A-policy-security-rule-sec_portal] HRP_M[FW_A-policy-security-rule-sec_portal] HRP_M[FW_A-policy-security-rule-sec_portal] HRP_M[FW_A-policy-security-rule-sec_portal] HRP_M[FW_A-policy-security] HRP_M[FW_A-policy-security-rule-sec_ospf] HRP_M[FW_A-policy-security-rule-sec_ospf] HRP_M[FW_A-policy-security-rule-sec_ospf] HRP_M[FW_A-policy-security-rule-sec_ospf] HRP_M[FW_A-policy-security-rule-sec_ospf] HRP_M[FW_A-policy-security]
# 在FW_A上的虚拟系统vfw1中配置安全策略。
HRP_M[FW_A] HRP_M<FW_A-vfw1> HRP_M[FW_A-vfw1] HRP_M[FW_A-vfw1-policy-security] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1] HRP_M[FW_A-vfw1-policy-security] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1_ospf] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1_ospf] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1_ospf] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1_ospf] HRP_M[FW_A-vfw1-policy-security-rule-sec_vm1_ospf] HRP_M[FW_A-vfw1-policy-security] HRP_M[FW_A-vfw1] HRP_M<FW_A-vfw1>
参考上述步骤,在FW_A上的虚拟系统vfw2中配置安全策略。
# 双机热备状态形成后,FW_A上的配置会自动同步到FW_B上,因此无需在FW_B上手动配置安全策略。
【6】配置策略备份加速。
当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。
HRP_M[FW-A] policy accelerate standby enable
# 双机热备状态形成后,FW_A上的配置会自动同步到FW_B上,因此无需在FW_B上手动配置策略备份加速。
【7】配置NAT Server。
此处给出的NAT Server配置命令仅作为示例,实际网络环境中会在管理组件上配置NAT Server,管理组件将配置数据下发给FW。
# 在FW_A上的根系统中配置NAT Server。
HRP_M[FW_A] HRP_M[FW_A]
# 在FW_A上的虚拟系统vfw1中配置NAT Server。
HRP_M[FW_A] HRP_M<FW_A-vfw1> HRP_M[FW_A-vfw1] HRP_M[FW_A-vfw1] HRP_M<FW_A-vfw1>
服务热线
1391-024-6332
Copyright 2015-2018 www.intsavi.com.cn All Rights Reserved
地址:北京市海淀区上地十街1号院2号楼13层1313
电话:010-62980070 010-62961051 手机:13910246332
版权所有北京赛维博信科技发展有限公司 备案号:京ICP备14043711号-1 京ICP备14043711号-3