通过虚拟系统隔离企业部门(三层接入,虚拟系统共用根系统公网接口)
企业内划分为多个部门,各部门间职能和权责划分明确,需要制定不同的网络管理策略,导致配置复杂。FW作为企业网络的出口网关,通过虚拟系统功能实现对不同部门网络的区分管理,降低配置难度。
组网需求
如图1所示,某中型企业A购买一台防火墙作为网关。由于其内网员工众多,根据权限不同划分为研发部门、财经部门、行政部门三大网络。需要分别配置不同的安全策略。具体要求如下:
- 由于只有一个公网IP和公网接口,公司内网所有部门都需要借用同一个接口访问Internet。
- 财经部门禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门则全部可以访问Internet。
- 三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。
通过虚拟系统实现上述需求。
数据规划
项目 |
数据 |
说明 |
---|---|---|
public |
|
在本例中,所有部门都要通过根系统才可访问Internet,而且各个部门的私网地址是统一规划的,没有重叠的情况。所以在根系统中统一配置NAT策略。 |
vsysa |
|
- |
vsysb |
|
- |
vsysc |
|
- |
资源类 |
|
三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。 |
配置思路
- 根系统管理员分别创建虚拟系统vsysa、vsysb、vsysc并为每个虚拟系统分配资源和配置管理员。
- 根系统管理员为内网用户访问Internet配置路由和NAT策略。
- 研发部门的管理员登录设备,为虚拟系统vsysa配置IP地址、路由和安全策略。
- 财经部门的管理员登录设备,为虚拟系统vsysb配置IP地址、路由和安全策略。
- 行政部门的管理员登录设备,为虚拟系统vsysc配置IP地址、路由和安全策略。
操作步骤
- 根系统管理员分别创建虚拟系统vsysa、vsysb和vsysc,并为其分配资源。
# 使用根系统管理员账号登录FW。
# 开启虚拟系统功能。
<FW> system-view [FW] vsys enable
# 配置资源类。
[FW] resource-class r1 [FW-resource-class-r1] resource-item-limit session reserved-number 10000 maximum 50000 [FW-resource-class-r1] resource-item-limit policy reserved-number 300 [FW-resource-class-r1] resource-item-limit user reserved-number 300 [FW-resource-class-r1] resource-item-limit user-group reserved-number 10 [FW-resource-class-r1] resource-item-limit bandwidth 20 outbound [FW-resource-class-r1] quit
# 创建虚拟系统并分配资源。
[FW] vsys name vsysa [FW-vsys-vsysa] assign resource-class r1 [FW-vsys-vsysa] assign interface GigabitEthernet 1/0/3 [FW-vsys-vsysa] quit [FW] vsys name vsysb [FW-vsys-vsysb] assign resource-class r1 [FW-vsys-vsysb] assign interface GigabitEthernet 1/0/4 [FW-vsys-vsysb] quit [FW] vsys name vsysc [FW-vsys-vsysc] assign resource-class r1 [FW-vsys-vsysc] assign interface GigabitEthernet 1/0/5 [FW-vsys-vsysc] quit
- 根系统管理员为虚拟系统创建管理员。
# 根系统管理员为虚拟系统vsysa创建管理员“admin@@vsysa”。
[FW] switch vsys vsysa <FW-vsysa> system-view [FW-vsysa] aaa [FW-vsysa-aaa] manager-user admin@@vsysa [FW-vsysa-aaa-manager-user-admin@@vsysa] password Enter Password: Confirm Password: [FW-vsysa-aaa-manager-user-admin@@vsysa] service-type web telnet ssh [FW-vsysa-aaa-manager-user-admin@@vsysa] level 15 [FW-vsysa-aaa-manager-user-admin@@vsysa] quit [FW-vsysa-aaa] bind manager-user admin@@vsysa role system-admin [FW-vsysa-aaa] quit [FW-vsysa] quit <FW-vsysa> quit
参考上述步骤为虚拟系统vsysb和vsysc创建管理员“admin@@vsysb”和“admin@@vsysc”。
- 根系统管理员为内网用户访问Internet配置路由、安全策略和NAT策略。
# 配置接口,并将接口加入安全区域。Virtual-if0接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
[FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24 [FW-GigabitEthernet1/0/1] quit [FW] interface Virtual-if 0 [FW-Virtual-if0] ip address 172.16.0.1 24 [FW-Virtual-if0] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/1 [FW-zone-untrust] quit [FW] firewall zone trust [FW-zone-trust] add interface Virtual-if 0 [FW-zone-trust] quit
# 配置缺省路由,下一跳是1.1.1.254。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
# 配置安全策略,这条安全策略的作用是允许内网的员工访问Internet。虚拟系统管理员可以针对内网员工的IP地址配置严格的安全策略,所以根系统管理员在配置策略时不需要详细指定地址范围。
[FW] security-policy [FW-policy-security] rule name to_internet [FW-policy-security-rule-to_internet] source-zone trust [FW-policy-security-rule-to_internet] destination-zone untrust [FW-policy-security-rule-to_internet] action permit [FW-policy-security-rule-to_internet] quit [FW-policy-security] quit
# 配置NAT策略。
[FW] nat-policy [FW-policy-nat] rule name nat1 [FW-policy-nat-rule-nat1] source-zone trust [FW-policy-nat-rule-nat1] egress-interface GigabitEthernet 1/0/1 [FW-policy-nat-rule-nat1] source-address 10.3.0.0 16 [FW-policy-nat-rule-nat1] action source-nat easy-ip [FW-policy-nat-rule-nat1] quit [FW-policy-nat] quit
- 研发部门的管理员为虚拟系统vsysa配置IP地址、路由和安全策略。
# 使用虚拟系统vsysa管理员账号“admin@@vsysa”登录设备,登录后先修改密码,然后再进行下面的操作。
# 配置接口,并将接口加入安全区域。Virtual-if1接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
Virtual-if的编号会根据系统中ID占用情况自动分配。所以实际配置时,可能不是Virtual-if1。
<vsysa> system-view [vsysa] interface GigabitEthernet 1/0/3 [vsysa-GigabitEthernet1/0/3] ip address 10.3.0.1 24 [vsysa-GigabitEthernet1/0/3] quit [vsysa] interface Virtual-if 1 [vsysa-Virtual-if1] ip address 172.16.1.1 24 [vsysa-Virtual-if1] quit [vsysa] firewall zone trust [vsysa-zone-trust] add interface GigabitEthernet 1/0/3 [vsysa-zone-trust] quit [vsysa] firewall zone untrust [vsysa-zone-untrust] add interface Virtual-if 1 [vsysa-zone-untrust] quit
# 配置静态路由,这条静态路由的作用是将vsysa内员工访问Internet的流量引入根系统。
在本例中,对网络拓扑和路由配置进行了简化。假设vsysa只有私网跟Internet的通信需求,所以在路由配置中将“目的地址/掩码”配置为了0.0.0.0 0.0.0.0,即缺省所有报文都送往根系统。实际配置时,为了保证路由信息的准确,应该将“目的地址/掩码”配置为特定的允许访问的Internet地址范围。错误配置路由可能导致vsysa所连接的多个私网无法正常通信。
[vsysa] ip route-static 0.0.0.0 0.0.0.0 public
# 配置静态路由,这条静态路由的作用是将vsysa内员工访问Internet的回程流量引入内网。
[vsysa] ip route-static 10.3.0.0 255.255.255.0 10.3.0.254
# 配置地址组。
[vsysa] ip address-set ipaddress1 type object [vsysa-object-address-set-ipaddress1] address range 10.3.0.2 10.3.0.10 [vsysa-object-address-set-ipaddress1] quit
# 配置安全策略,这条安全策略的作用是禁止特定网段的员工访问行政部门网络。因为在根系统上配置了将回程流量引入vsysa和vsysc的路由,就这使得vsysa和vsysc之间也能通过根系统中转来互相访问,为了实现vsysa和vsysc的隔离,需要在vsysa中配置这条安全策略。
[vsysa] security-policy [vsysa-policy-security] rule name to_admin_department [vsysa-policy-security-rule-to_admin_department] source-zone trust [vsysa-policy-security-rule-to_admin_department] destination-zone untrust [vsysa-policy-security-rule-to_admin_department] source-address address-set ipaddress1 [vsysa-policy-security-rule-to_admin_department] destination-address 10.3.2.0 24 [vsysa-policy-security-rule-to_admin_department] action deny [vsysa-policy-security-rule-to_admin_department] quit
# 配置安全策略,这条安全策略的作用是允许特定网段的员工访问Internet。
[vsysa-policy-security] rule name to_internet [vsysa-policy-security-rule-to_internet] source-zone trust [vsysa-policy-security-rule-to_internet] destination-zone untrust [vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1 [vsysa-policy-security-rule-to_internet] action permit [vsysa-policy-security-rule-to_internet] quit
# 配置安全策略,这条安全策略的作用是禁止所有员工访问Internet的策略。这条策略的优先级将比前一条低,所以不需要详细指定地址范围。
[vsysa-policy-security] rule name to_internet2 [vsysa-policy-security-rule-to_internet2] source-zone trust [vsysa-policy-security-rule-to_internet2] destination-zone untrust [vsysa-policy-security-rule-to_internet2] action deny [vsysa-policy-security-rule-to_internet2] quit [vsysa-policy-security] quit
- 财经部门和行政部门的管理员分别使用管理员账号“admin@@vsysb”和“admin@@vsysc”登录设备,为虚拟系统vsysb、vsysc配置IP地址、安全区域及策略。
具体配置过程与研发部门类似,主要有以下几点区别。
- 内网接口的IP地址不同。
- 财经部门无需创建地址范围,直接配置一条禁止所有地址范围访问Internet的安全策略即可。
- 行政部门无需创建地址范围,直接配置一条禁止所有地址范围访问研发部门网络的安全策略,以及一条允许所有地址范围访问Internet的安全策略即可。
结果验证
- 从行政部门的内网主动访问Internet,如果能够访问成功,说明IP地址、vsysc的安全策略以及根系统NAT策略配置正确。
- 从财经部门的内网主动访问Internet,如果访问失败,说明IP地址和vsysb的安全策略配置正确。
- 从研发部门的内网选择一台允许访问Internet的主机,和一台不允许访问Internet的主机,如果访问结果符合预期,说明IP地址和vsysa的安全策略的配置正确。
配置脚本
根系统的配置脚本
# sysname FW # vsys enable # resource-class r1 resource-item-limit session reserved-number 10000 maximum 50000 resource-item-limit policy reserved-number 300 resource-item-limit user reserved-number 300 resource-item-limit user-group reserved-number 10 resource-item-limit bandwidth 20 outbound # vsys name vsysa 1 assign resource-class r1 assign interface GigabitEthernet1/0/3 # vsys name vsysb 2 assign resource-class r1 assign interface GigabitEthernet1/0/4 # vsys name vsysc 3 assign resource-class r1 assign interface GigabitEthernet1/0/5 # interface GigabitEthernet1/0/1 ip address 1.1.1.1 255.255.255.0 # interface Virtual-if0 ip address 172.16.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface Virtual-if0 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 # security-policy rule name to_internet source-zone trust destination-zone untrust action permit # nat-policy rule name nat1 source-zone trust egress-interface GigabitEthernet1/0/1 source-address 10.3.0.0 16 action source-nat easy-ip # return
虚拟系统vsysa的配置脚本
# interface GigabitEthernet1/0/3 ip address 10.3.0.1 255.255.255.0 service-manage ping permit # interface Virtual-if1 ip address 172.16.1.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface Virtual-if1 # aaa manager-user admin@@vsysa password cipher %@%@@~QEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]X%@%@ service-type web telnet ssh level 15 bind manager-user admin@@vsysa role system-admin # ip address-set ipaddress1 type object address 0 range 10.3.0.2 10.3.0.10 # ip route-static 0.0.0.0 0.0.0.0 public ip route-static 10.3.0.0 255.255.255.0 10.3.0.254 # security-policy rule name to_admin_department source-zone trust destination-zone untrust source-address address-set ipaddress1 destination-address 10.3.2.0 24 action deny rule name to_internet source-zone trust destination-zone untrust source-address address-set ipaddress1 action permit rule name to_internet2 source-zone trust destination-zone untrust action deny # return
虚拟系统vsysb的配置脚本
# interface GigabitEthernet1/0/4 ip address 10.3.1.1 255.255.255.0 service-manage ping permit # interface Virtual-if2 ip address 172.16.2.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/4 # firewall zone untrust set priority 5 add interface Virtual-if2 # aaa manager-user admin@@vsysb password cipher %@%@zG{;O|!gEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f] service-type web telnet ssh level 15 bind manager-user admin@@vsysb role system-admin # ip route-static 0.0.0.0 0.0.0.0 public ip route-static 10.3.1.0 255.255.255.0 10.3.1.254 # security-policy rule name to_internet source-zone trust destination-zone untrust action deny # return
虚拟系统vsysc的配置脚本
# interface GigabitEthernet1/0/5 ip address 10.3.2.1 255.255.255.0 service-manage ping permit # interface Virtual-if3 ip address 172.16.3.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/5 # firewall zone untrust set priority 5 add interface Virtual-if3 # aaa manager-user admin@@vsysc password cipher %@%@zG{;x|!gEN5"Db/6dvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f] service-type web telnet ssh level 15 bind manager-user admin@@vsysc role system-admin # ip route-static 0.0.0.0 0.0.0.0 public ip route-static 10.3.2.0 255.255.255.0 10.3.2.254 # security-policy rule name to_rd_department source-zone trust destination-zone untrust destination-address 10.3.0.0 24 action deny rule name to_internet source-zone trust destination-zone untrust action permit # return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2163.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论