通过虚拟系统隔离企业部门(三层接入,虚拟系统共用根系统公网接口)

企业内划分为多个部门,各部门间职能和权责划分明确,需要制定不同的网络管理策略,导致配置复杂。FW作为企业网络的出口网关,通过虚拟系统功能实现对不同部门网络的区分管理,降低配置难度。

组网需求

图1所示,某中型企业A购买一台防火墙作为网关。由于其内网员工众多,根据权限不同划分为研发部门、财经部门、行政部门三大网络。需要分别配置不同的安全策略。具体要求如下:

  • 由于只有一个公网IP和公网接口,公司内网所有部门都需要借用同一个接口访问Internet。
  • 财经部门禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门则全部可以访问Internet。
  • 三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。

通过虚拟系统实现上述需求。

图1 网络隔离组网图(三层接入,虚拟系统共用根系统公网接口)

数据规划

项目

数据

说明

public

  • 公网接口:GE1/0/1
  • 公网接口所属安全区域:Untrust
  • 公网接口IP地址:1.1.1.1/24
  • 私网接口:public的虚拟接口Virtual-if0
  • 私网接口所属安全区域:Trust
  • 运营商接入网关IP地址:1.1.1.254/24

在本例中,所有部门都要通过根系统才可访问Internet,而且各个部门的私网地址是统一规划的,没有重叠的情况。所以在根系统中统一配置NAT策略。

vsysa

  • 虚拟系统名:vsysa
  • 公网接口:vsysa的虚拟接口
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE1/0/3
  • 私网接口IP地址:10.3.0.1/24
  • 私网地址范围:10.3.0.0/24
  • 私网接口所属安全区域:Trust
  • 管理员:admin@@vsysa
  • 允许访问Internet的地址范围:10.3.0.2~10.3.0.10

-

vsysb

  • 虚拟系统名:vsysb
  • 公网接口:vsysb的虚拟接口
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE1/0/4
  • 私网接口IP地址:10.3.1.1/24
  • 私网地址范围:10.3.1.0/24
  • 私网接口所属安全区域:Trust
  • 管理员:admin@@vsysb

-

vsysc

  • 虚拟系统名:vsysc
  • 公网接口:vsysc的虚拟接口
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE1/0/5
  • 私网接口IP地址:10.3.2.1/24
  • 私网地址范围:10.3.2.0/24
  • 私网接口所属安全区域:Trust
  • 管理员:admin@@vsysc

-

资源类

  • 名称:r1
  • 会话保证值:10000
  • 会话最大值:50000
  • 用户数:300
  • 用户组:10
  • 策略数:300
  • 出方向保证带宽:20M

三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。

配置思路

  1. 根系统管理员分别创建虚拟系统vsysa、vsysb、vsysc并为每个虚拟系统分配资源和配置管理员。
  2. 根系统管理员为内网用户访问Internet配置路由和NAT策略。
  3. 研发部门的管理员登录设备,为虚拟系统vsysa配置IP地址、路由和安全策略。
  4. 财经部门的管理员登录设备,为虚拟系统vsysb配置IP地址、路由和安全策略。
  5. 行政部门的管理员登录设备,为虚拟系统vsysc配置IP地址、路由和安全策略。

操作步骤

  1. 根系统管理员分别创建虚拟系统vsysa、vsysb和vsysc,并为其分配资源。

    # 使用根系统管理员账号登录FW

    # 开启虚拟系统功能。

    <FW> system-view
    [FW] vsys enable

    # 配置资源类。

    [FW] resource-class r1
    [FW-resource-class-r1] resource-item-limit session reserved-number 10000 maximum 50000
    [FW-resource-class-r1] resource-item-limit policy reserved-number 300
    [FW-resource-class-r1] resource-item-limit user reserved-number 300
    [FW-resource-class-r1] resource-item-limit user-group reserved-number 10
    [FW-resource-class-r1] resource-item-limit bandwidth 20 outbound
    [FW-resource-class-r1] quit

    # 创建虚拟系统并分配资源。

    [FW] vsys name vsysa
    [FW-vsys-vsysa] assign resource-class r1
    [FW-vsys-vsysa] assign interface GigabitEthernet 1/0/3
    [FW-vsys-vsysa] quit
    [FW] vsys name vsysb
    [FW-vsys-vsysb] assign resource-class r1
    [FW-vsys-vsysb] assign interface GigabitEthernet 1/0/4
    [FW-vsys-vsysb] quit
    [FW] vsys name vsysc
    [FW-vsys-vsysc] assign resource-class r1
    [FW-vsys-vsysc] assign interface GigabitEthernet 1/0/5
    [FW-vsys-vsysc] quit
  2. 根系统管理员为虚拟系统创建管理员。

    # 根系统管理员为虚拟系统vsysa创建管理员“admin@@vsysa”

    [FW] switch vsys vsysa
    <FW-vsysa> system-view
    [FW-vsysa] aaa
    [FW-vsysa-aaa] manager-user admin@@vsysa
    [FW-vsysa-aaa-manager-user-admin@@vsysa] password
    Enter Password:                          
    Confirm Password:                        
    [FW-vsysa-aaa-manager-user-admin@@vsysa] service-type web telnet ssh
    [FW-vsysa-aaa-manager-user-admin@@vsysa] level 15
    [FW-vsysa-aaa-manager-user-admin@@vsysa] quit
    [FW-vsysa-aaa] bind manager-user admin@@vsysa role system-admin
    [FW-vsysa-aaa] quit
    [FW-vsysa] quit
    <FW-vsysa> quit

    参考上述步骤为虚拟系统vsysb和vsysc创建管理员“admin@@vsysb”“admin@@vsysc”

  3. 根系统管理员为内网用户访问Internet配置路由、安全策略和NAT策略。

    # 配置接口,并将接口加入安全区域。Virtual-if0接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。

    [FW] interface GigabitEthernet 1/0/1
    [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
    [FW-GigabitEthernet1/0/1] quit
    [FW] interface Virtual-if 0
    [FW-Virtual-if0] ip address 172.16.0.1 24
    [FW-Virtual-if0] quit
    [FW] firewall zone untrust
    [FW-zone-untrust] add interface GigabitEthernet 1/0/1
    [FW-zone-untrust] quit
    [FW] firewall zone trust
    [FW-zone-trust] add interface Virtual-if 0
    [FW-zone-trust] quit

    # 配置缺省路由,下一跳是1.1.1.254。

    [FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

    # 配置安全策略,这条安全策略的作用是允许内网的员工访问Internet。虚拟系统管理员可以针对内网员工的IP地址配置严格的安全策略,所以根系统管理员在配置策略时不需要详细指定地址范围。

    [FW] security-policy                 
    [FW-policy-security] rule name to_internet      
    [FW-policy-security-rule-to_internet] source-zone trust            
    [FW-policy-security-rule-to_internet] destination-zone untrust       
    [FW-policy-security-rule-to_internet] action permit             
    [FW-policy-security-rule-to_internet] quit    
    [FW-policy-security] quit

    # 配置NAT策略。

    [FW] nat-policy
    [FW-policy-nat] rule name nat1
    [FW-policy-nat-rule-nat1] source-zone trust
    [FW-policy-nat-rule-nat1] egress-interface GigabitEthernet 1/0/1
    [FW-policy-nat-rule-nat1] source-address 10.3.0.0 16
    [FW-policy-nat-rule-nat1] action source-nat easy-ip
    [FW-policy-nat-rule-nat1] quit
    [FW-policy-nat] quit
  4. 研发部门的管理员为虚拟系统vsysa配置IP地址、路由和安全策略。

    # 使用虚拟系统vsysa管理员账号“admin@@vsysa”登录设备,登录后先修改密码,然后再进行下面的操作。

    # 配置接口,并将接口加入安全区域。Virtual-if1接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。

    Virtual-if的编号会根据系统中ID占用情况自动分配。所以实际配置时,可能不是Virtual-if1。

    <vsysa> system-view
    [vsysa] interface GigabitEthernet 1/0/3
    [vsysa-GigabitEthernet1/0/3] ip address 10.3.0.1 24
    [vsysa-GigabitEthernet1/0/3] quit
    [vsysa] interface Virtual-if 1
    [vsysa-Virtual-if1] ip address 172.16.1.1 24
    [vsysa-Virtual-if1] quit
    [vsysa] firewall zone trust
    [vsysa-zone-trust] add interface GigabitEthernet 1/0/3
    [vsysa-zone-trust] quit
    [vsysa] firewall zone untrust
    [vsysa-zone-untrust] add interface Virtual-if 1
    [vsysa-zone-untrust] quit

    # 配置静态路由,这条静态路由的作用是将vsysa内员工访问Internet的流量引入根系统。

    在本例中,对网络拓扑和路由配置进行了简化。假设vsysa只有私网跟Internet的通信需求,所以在路由配置中将“目的地址/掩码”配置为了0.0.0.0 0.0.0.0,即缺省所有报文都送往根系统。实际配置时,为了保证路由信息的准确,应该将“目的地址/掩码”配置为特定的允许访问的Internet地址范围。错误配置路由可能导致vsysa所连接的多个私网无法正常通信。

    [vsysa] ip route-static 0.0.0.0 0.0.0.0 public

    # 配置静态路由,这条静态路由的作用是将vsysa内员工访问Internet的回程流量引入内网。

    [vsysa] ip route-static 10.3.0.0 255.255.255.0 10.3.0.254

    # 配置地址组。

    [vsysa] ip address-set ipaddress1 type object
    [vsysa-object-address-set-ipaddress1] address range 10.3.0.2 10.3.0.10
    [vsysa-object-address-set-ipaddress1] quit

    # 配置安全策略,这条安全策略的作用是禁止特定网段的员工访问行政部门网络。因为在根系统上配置了将回程流量引入vsysa和vsysc的路由,就这使得vsysa和vsysc之间也能通过根系统中转来互相访问,为了实现vsysa和vsysc的隔离,需要在vsysa中配置这条安全策略。

    [vsysa] security-policy                 
    [vsysa-policy-security] rule name to_admin_department      
    [vsysa-policy-security-rule-to_admin_department] source-zone trust                     
    [vsysa-policy-security-rule-to_admin_department] destination-zone untrust              
    [vsysa-policy-security-rule-to_admin_department] source-address address-set ipaddress1
    [vsysa-policy-security-rule-to_admin_department] destination-address 10.3.2.0 24
    [vsysa-policy-security-rule-to_admin_department] action deny                         
    [vsysa-policy-security-rule-to_admin_department] quit

    # 配置安全策略,这条安全策略的作用是允许特定网段的员工访问Internet。

    [vsysa-policy-security] rule name to_internet      
    [vsysa-policy-security-rule-to_internet] source-zone trust                     
    [vsysa-policy-security-rule-to_internet] destination-zone untrust              
    [vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1
    [vsysa-policy-security-rule-to_internet] action permit                         
    [vsysa-policy-security-rule-to_internet] quit

    # 配置安全策略,这条安全策略的作用是禁止所有员工访问Internet的策略。这条策略的优先级将比前一条低,所以不需要详细指定地址范围。

    [vsysa-policy-security] rule name to_internet2      
    [vsysa-policy-security-rule-to_internet2] source-zone trust                     
    [vsysa-policy-security-rule-to_internet2] destination-zone untrust              
    [vsysa-policy-security-rule-to_internet2] action deny                         
    [vsysa-policy-security-rule-to_internet2] quit      
    [vsysa-policy-security] quit
  5. 财经部门和行政部门的管理员分别使用管理员账号“admin@@vsysb”“admin@@vsysc”登录设备,为虚拟系统vsysb、vsysc配置IP地址、安全区域及策略。

    具体配置过程与研发部门类似,主要有以下几点区别。

    • 内网接口的IP地址不同。
    • 财经部门无需创建地址范围,直接配置一条禁止所有地址范围访问Internet的安全策略即可。
    • 行政部门无需创建地址范围,直接配置一条禁止所有地址范围访问研发部门网络的安全策略,以及一条允许所有地址范围访问Internet的安全策略即可。

结果验证

  • 从行政部门的内网主动访问Internet,如果能够访问成功,说明IP地址、vsysc的安全策略以及根系统NAT策略配置正确。
  • 从财经部门的内网主动访问Internet,如果访问失败,说明IP地址和vsysb的安全策略配置正确。
  • 从研发部门的内网选择一台允许访问Internet的主机,和一台不允许访问Internet的主机,如果访问结果符合预期,说明IP地址和vsysa的安全策略的配置正确。

配置脚本

根系统的配置脚本

#
 sysname FW
#                 
 vsys enable 
#                 
resource-class r1 
 resource-item-limit session reserved-number 10000 maximum 50000                
 resource-item-limit policy reserved-number 300     
 resource-item-limit user reserved-number 300  
 resource-item-limit user-group reserved-number 10  
 resource-item-limit bandwidth 20 outbound
#                 
vsys name vsysa 1 
 assign resource-class r1                           
 assign interface GigabitEthernet1/0/3    
#                 
vsys name vsysb 2 
 assign resource-class r1            
 assign interface GigabitEthernet1/0/4   
#                 
vsys name vsysc 3 
 assign resource-class r1                
 assign interface GigabitEthernet1/0/5 
#                 
interface GigabitEthernet1/0/1
 ip address 1.1.1.1 255.255.255.0  
# 
interface Virtual-if0                    
 ip address 172.16.0.1 255.255.255.0       
#                  
firewall zone trust 
 set priority 85  
 add interface Virtual-if0 
#                 
firewall zone untrust              
 set priority 5   
 add interface GigabitEthernet1/0/1 
#                 
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.254                 
#                 
security-policy  
 rule name to_internet 
  source-zone trust 
  destination-zone untrust
  action permit 
#
 nat-policy
  rule name nat1
   source-zone trust
   egress-interface GigabitEthernet1/0/1
   source-address 10.3.0.0 16
   action source-nat easy-ip
#
return

虚拟系统vsysa的配置脚本

#                 
interface GigabitEthernet1/0/3  
 ip address 10.3.0.1 255.255.255.0            
 service-manage ping permit  
# 
interface Virtual-if1                    
 ip address 172.16.1.1 255.255.255.0       
#                 
firewall zone trust
 set priority 85  
 add interface GigabitEthernet1/0/3     
#                 
firewall zone untrust         
 set priority 5   
 add interface Virtual-if1      
#                 
aaa               
 manager-user admin@@vsysa           
  password cipher %@%@@~QEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]X%@%@      
  service-type web telnet ssh          
  level 15        
 
 bind manager-user admin@@vsysa role system-admin 
#                 
ip address-set ipaddress1 type object            
 address 0 range 10.3.0.2 10.3.0.10   
#                 
 ip route-static 0.0.0.0 0.0.0.0 public 
 ip route-static 10.3.0.0 255.255.255.0 10.3.0.254
#                 
security-policy   
 rule name to_admin_department            
  source-zone trust                  
  destination-zone untrust               
  source-address address-set ipaddress1   
  destination-address 10.3.2.0 24
  action deny
 rule name to_internet            
  source-zone trust                  
  destination-zone untrust               
  source-address address-set ipaddress1   
  action permit   
 rule name to_internet2                
  source-zone trust                      
  destination-zone untrust             
  action deny
#                 
return

虚拟系统vsysb的配置脚本

#                 
interface GigabitEthernet1/0/4                     
 ip address 10.3.1.1 255.255.255.0             
 service-manage ping permit  
# 
interface Virtual-if2                    
 ip address 172.16.2.1 255.255.255.0       
#                 
firewall zone trust                 
 set priority 85  
 add interface GigabitEthernet1/0/4 
#                 
firewall zone untrust                
 set priority 5   
 add interface Virtual-if2      
#                 
aaa               
 manager-user admin@@vsysb                   
  password cipher %@%@zG{;O|!gEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]      
  service-type web telnet ssh                   
  level 15        
 
 bind manager-user admin@@vsysb role system-admin 
#                 
 ip route-static 0.0.0.0 0.0.0.0 public   
 ip route-static 10.3.1.0 255.255.255.0 10.3.1.254
#                 
security-policy   
 rule name to_internet     
  source-zone trust        
  destination-zone untrust
  action deny   
#                 
return

虚拟系统vsysc的配置脚本

#                 
interface GigabitEthernet1/0/5       
 ip address 10.3.2.1 255.255.255.0         
 service-manage ping permit  
# 
interface Virtual-if3                    
 ip address 172.16.3.1 255.255.255.0       
#                 
firewall zone trust              
 set priority 85  
 add interface GigabitEthernet1/0/5     
#                 
firewall zone untrust             
 set priority 5   
 add interface Virtual-if3      
#                 
aaa               
 manager-user admin@@vsysc            
  password cipher %@%@zG{;x|!gEN5"Db/6dvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]      
  service-type web telnet ssh             
  level 15        
 
 bind manager-user admin@@vsysc role system-admin 
#                 
 ip route-static 0.0.0.0 0.0.0.0 public  
 ip route-static 10.3.2.0 255.255.255.0 10.3.2.254
#                 
security-policy   
 rule name to_rd_department            
  source-zone trust                  
  destination-zone untrust               
  destination-address 10.3.0.0 24
  action deny
 rule name to_internet    
  source-zone trust                
  destination-zone untrust
  action permit 
#                 
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2163.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
通过虚拟系统隔离企业部门(三层接入,虚拟系统共用根系统公网接口)
企业内划分为多个部门,各部门间职能和权责划分明确,需要制定不同的网络管理策略,导致配置复杂。FW作为企业网络的出口网关,通过虚拟系统功能实现对不同部门……
<<上一篇
下一篇>>