通过虚拟系统隔离企业部门(二层接入)
通过虚拟系统隔离企业部门(二层接入)
设备二层接入企业网络,通过虚拟系统实现企业内不同部门的网络隔离,并为每个虚拟系统配置对应的管理员方便配置管理。
组网需求
如图1所示,某中型企业A购买一台防火墙作为网关。由于其内网员工众多,根据权限不同划分为研发部门、财经部门、行政部门三大网络。需要分别配置不同的安全策略。具体要求如下:
- 企业网络已经部署完成,不希望改变原来的网络拓扑,需要设备以二层模式接入网络。
- 财经部门禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门则全部可以访问Internet。
- 三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。
通过虚拟系统实现上述需求。
数据规划
项目 |
数据 |
说明 |
---|---|---|
vsysa |
|
公网接口GE1/0/1和私网接口GE1/0/2均为Trunk接口,根据VLAN的分配情况同时分配给多个虚拟系统。 |
vsysb |
|
- |
vsysc |
|
- |
资源类 |
|
三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。 |
配置思路
- 配置GE1/0/1和GE1/0/2为Trunk接口,并将接口加入VLAN。
- 根系统管理员分别创建虚拟系统vsysa、vsysb、vsysc并为每个虚拟系统分配VLAN、分配资源和配置管理员。
- 研发部门的管理员登录设备,为虚拟系统vsysa配置安全策略。
- 财经部门的管理员登录设备,为虚拟系统vsysb配置安全策略。
- 行政部门的管理员登录设备,为虚拟系统vsysc配置安全策略。
操作步骤
- 配置GE1/0/1和GE1/0/2为Trunk接口,并将接口加入VLAN。
# 使用根系统管理员账号登录FW。
# 创建VLAN。
<FW> system-view [FW] vlan 10 [FW-vlan-10] quit [FW] vlan 20 [FW-vlan-20] quit [FW] vlan 30 [FW-vlan-30] quit
# 配置接口。
[FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] portswitch [FW-GigabitEthernet1/0/1] port link-type trunk [FW-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 30 [FW-GigabitEthernet1/0/1] quit [FW] interface GigabitEthernet 1/0/2 [FW-GigabitEthernet1/0/2] portswitch [FW-GigabitEthernet1/0/2] port link-type trunk [FW-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 20 30 [FW-GigabitEthernet1/0/2] quit
- 根系统管理员分别创建虚拟系统vsysa、vsysb和vsysc,并为其分配VLAN。
# 开启虚拟系统功能。
[FW] vsys enable
# 配置资源类。
[FW] resource-class r1 [FW-resource-class-r1] resource-item-limit session reserved-number 10000 maximum 50000 [FW-resource-class-r1] resource-item-limit policy reserved-number 300 [FW-resource-class-r1] resource-item-limit user reserved-number 300 [FW-resource-class-r1] resource-item-limit user-group reserved-number 10 [FW-resource-class-r1] quit
# 创建虚拟系统并分配资源。
[FW] vsys name vsysa [FW-vsys-vsysa] assign resource-class r1 [FW-vsys-vsysa] assign vlan 10 [FW-vsys-vsysa] quit [FW] vsys name vsysb [FW-vsys-vsysb] assign resource-class r1 [FW-vsys-vsysb] assign vlan 20 [FW-vsys-vsysb] quit [FW] vsys name vsysc [FW-vsys-vsysc] assign resource-class r1 [FW-vsys-vsysc] assign vlan 30 [FW-vsys-vsysc] quit
- 根系统管理员为虚拟系统创建管理员。
# 根系统管理员为虚拟系统vsysa创建管理员“admin@@vsysa”。
[FW] switch vsys vsysa <FW-vsysa> system-view [FW-vsysa] aaa [FW-vsysa-aaa] manager-user admin@@vsysa [FW-vsysa-aaa-manager-user-admin@@vsysa] password Enter Password: Confirm Password: [FW-vsysa-aaa-manager-user-admin@@vsysa] service-type web telnet ssh [FW-vsysa-aaa-manager-user-admin@@vsysa] level 15 [FW-vsysa-aaa-manager-user-admin@@vsysa] quit [FW-vsysa-aaa] bind manager-user admin@@vsysa role system-admin [FW-vsysa-aaa] quit [FW-vsysa] quit <FW-vsysa> quit
参考上述步骤为虚拟系统vsysb和vsysc创建管理员“admin@@vsysb”和“admin@@vsysc”。
- 研发部门的管理员为虚拟系统vsysa配置安全区域和安全策略。
# 使用虚拟系统vsysa管理员账号“admin@@vsysa”登录设备,登录后先修改密码,然后再进行下面的操作。
# 配置安全区域。
<vsysa> system-view [vsysa] firewall zone trust [vsysa-zone-trust] add interface GigabitEthernet 1/0/2 [vsysa-zone-trust] quit [vsysa] firewall zone untrust [vsysa-zone-untrust] add interface GigabitEthernet 1/0/1 [vsysa-zone-untrust] quit
# 配置地址组。
[vsysa] ip address-set ipaddress1 type object [vsysa-object-address-set-ipaddress1] address range 10.3.0.2 10.3.0.10 [vsysa-object-address-set-ipaddress1] quit
# 配置安全策略,这条安全策略的作用是允许特定网段的员工访问Internet。
[vsysa] security-policy [vsysa-policy-security] rule name to_internet [vsysa-policy-security-rule-to_internet] source-zone trust [vsysa-policy-security-rule-to_internet] destination-zone untrust [vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1 [vsysa-policy-security-rule-to_internet] action permit [vsysa-policy-security-rule-to_internet] quit
# 配置安全策略,这条安全策略的作用是禁止所有员工访问Internet的策略。这条策略的优先级将比前一条低,所以不需要详细指定地址范围。
[vsysa-policy-security] rule name to_internet2 [vsysa-policy-security-rule-to_internet2] source-zone trust [vsysa-policy-security-rule-to_internet2] destination-zone untrust [vsysa-policy-security-rule-to_internet2] action deny [vsysa-policy-security-rule-to_internet2] quit [vsysa-policy-security] quit
- 财经部门和行政部门的管理员分别使用管理员账号“admin@@vsysb”和“admin@@vsysc”登录设备,为虚拟系统vsysb、vsysc配置IP地址、安全区域及策略。
具体配置过程与研发部门类似,主要有以下几点区别。
- 财经部门直接配置一条禁止10.3.1.2~10.3.1.254地址段访问Internet的安全策略即可。
- 行政部门直接配置一条允许10.3.2.2~10.3.2.254地址段访问Internet的安全策略即可。
结果验证
- 从研发部门的内网选择一台允许访问Internet的主机,和一台不允许访问Internet的主机,如果访问结果符合预期,说明vsysa的安全策略的配置正确。
- 从财经部门的内网主动访问Internet,如果访问失败,说明vsysb的安全策略配置正确。
- 从行政部门的内网主动访问Internet,如果能够访问成功,说明vsysc安全策略配置正确。
配置脚本
根系统的配置脚本
# sysname FW # vlan batch 10 20 30 # vsys enable # resource-class r1 resource-item-limit session reserved-number 10000 maximum 50000 resource-item-limit policy reserved-number 300 resource-item-limit user reserved-number 300 resource-item-limit user-group reserved-number 10 # vsys name vsysa 1 assign vlan 10 assign resource-class r1 # vsys name vsysb 2 assign vlan 20 assign resource-class r1 # vsys name vsysc 3 assign vlan 30 assign resource-class r1 # interface GigabitEthernet1/0/1 portswitch undo shutdown port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 20 30 # interface GigabitEthernet1/0/2 portswitch undo shutdown port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 20 30 # return
虚拟系统vsysa的配置脚本
# firewall zone trust set priority 85 add interface GigabitEthernet1/0/2 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # aaa manager-user admin@@vsysa password cipher %@%@@~QEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]X%@%@ service-type web telnet ssh level 15 bind manager-user admin@@vsysa role system-admin # ip address-set ipaddress1 type object address 0 range 10.3.0.2 10.3.0.10 # security-policy rule name to_internet source-zone trust destination-zone untrust source-address address-set ipaddress1 action permit rule name to_internet2 source-zone trust destination-zone untrust action deny # return
虚拟系统vsysb的配置脚本
# firewall zone trust set priority 85 add interface GigabitEthernet1/0/2 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # aaa manager-user admin@@vsysb password cipher %@%@zG{;O|!gEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f] service-type web telnet ssh level 15 bind manager-user admin@@vsysb role system-admin # ip address-set ipaddress1 type object address 0 range 10.3.1.2 10.3.1.254 # security-policy rule name to_internet source-zone trust destination-zone untrust source-address address-set ipaddress1 action deny # return
虚拟系统vsysc的配置脚本
# firewall zone trust set priority 85 add interface GigabitEthernet1/0/2 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # aaa manager-user admin@@vsysc password cipher %@%@zG{;x|!gEN5"Db/6dvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f] service-type web telnet ssh level 15 bind manager-user admin@@vsysc role system-admin # ip address-set ipaddress1 type object address 0 range 10.3.2.2 10.3.2.254 # security-policy rule name to_internet source-zone trust destination-zone untrust source-address address-set ipaddress1 action permit # return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2164.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论