通过虚拟系统隔离企业部门(二层接入)

通过虚拟系统隔离企业部门(二层接入)

设备二层接入企业网络,通过虚拟系统实现企业内不同部门的网络隔离,并为每个虚拟系统配置对应的管理员方便配置管理。

组网需求

图1所示,某中型企业A购买一台防火墙作为网关。由于其内网员工众多,根据权限不同划分为研发部门、财经部门、行政部门三大网络。需要分别配置不同的安全策略。具体要求如下:

  • 企业网络已经部署完成,不希望改变原来的网络拓扑,需要设备以二层模式接入网络。
  • 财经部门禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门则全部可以访问Internet。
  • 三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。

通过虚拟系统实现上述需求。

图1 网络隔离组网图(二层接入)

数据规划

项目

数据

说明

vsysa

  • 虚拟系统名:vsysa
  • 公网接口:GE1/0/1
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE1/0/2
  • 私网接口所属安全区域:Trust
  • 分配的VLAN:VLAN10
  • 管理员:admin@@vsysa
  • 允许访问Internet的地址范围:10.3.0.2~10.3.0.10

公网接口GE1/0/1和私网接口GE1/0/2均为Trunk接口,根据VLAN的分配情况同时分配给多个虚拟系统。

vsysb

  • 虚拟系统名:vsysb
  • 公网接口:GE1/0/1
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE1/0/2
  • 私网接口所属安全区域:Trust
  • 分配的VLAN:VLAN20
  • 管理员:admin@@vsysb

-

vsysc

  • 虚拟系统名:vsysc
  • 公网接口:GE1/0/1
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE1/0/2
  • 私网接口所属安全区域:Trust
  • 分配的VLAN:VLAN30
  • 管理员:admin@@vsysc

-

资源类

  • 名称:r1
  • 会话保证值:10000
  • 会话最大值:50000
  • 用户数:300
  • 用户组:10
  • 策略数:300

三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。

配置思路

  1. 配置GE1/0/1GE1/0/2为Trunk接口,并将接口加入VLAN。
  2. 根系统管理员分别创建虚拟系统vsysa、vsysb、vsysc并为每个虚拟系统分配VLAN、分配资源和配置管理员。
  3. 研发部门的管理员登录设备,为虚拟系统vsysa配置安全策略。
  4. 财经部门的管理员登录设备,为虚拟系统vsysb配置安全策略。
  5. 行政部门的管理员登录设备,为虚拟系统vsysc配置安全策略。

操作步骤

  1. 配置GE1/0/1GE1/0/2为Trunk接口,并将接口加入VLAN。

    # 使用根系统管理员账号登录FW

    # 创建VLAN。

    <FW> system-view
    [FW] vlan 10
    [FW-vlan-10] quit
    [FW] vlan 20
    [FW-vlan-20] quit
    [FW] vlan 30
    [FW-vlan-30] quit

    # 配置接口。

    [FW] interface GigabitEthernet 1/0/1
    [FW-GigabitEthernet1/0/1] portswitch
    [FW-GigabitEthernet1/0/1] port link-type trunk
    [FW-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 30
    [FW-GigabitEthernet1/0/1] quit
    [FW] interface GigabitEthernet 1/0/2
    [FW-GigabitEthernet1/0/2] portswitch
    [FW-GigabitEthernet1/0/2] port link-type trunk
    [FW-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 20 30
    [FW-GigabitEthernet1/0/2] quit
  2. 根系统管理员分别创建虚拟系统vsysa、vsysb和vsysc,并为其分配VLAN。

    # 开启虚拟系统功能。

    [FW] vsys enable

    # 配置资源类。

    [FW] resource-class r1
    [FW-resource-class-r1] resource-item-limit session reserved-number 10000 maximum 50000
    [FW-resource-class-r1] resource-item-limit policy reserved-number 300
    [FW-resource-class-r1] resource-item-limit user reserved-number 300
    [FW-resource-class-r1] resource-item-limit user-group reserved-number 10
    [FW-resource-class-r1] quit

    # 创建虚拟系统并分配资源。

    [FW] vsys name vsysa
    [FW-vsys-vsysa] assign resource-class r1
    [FW-vsys-vsysa] assign vlan 10
    [FW-vsys-vsysa] quit
    [FW] vsys name vsysb
    [FW-vsys-vsysb] assign resource-class r1
    [FW-vsys-vsysb] assign vlan 20
    [FW-vsys-vsysb] quit
    [FW] vsys name vsysc
    [FW-vsys-vsysc] assign resource-class r1
    [FW-vsys-vsysc] assign vlan 30
    [FW-vsys-vsysc] quit
  3. 根系统管理员为虚拟系统创建管理员。

    # 根系统管理员为虚拟系统vsysa创建管理员“admin@@vsysa”

    [FW] switch vsys vsysa
    <FW-vsysa> system-view
    [FW-vsysa] aaa
    [FW-vsysa-aaa] manager-user admin@@vsysa
    [FW-vsysa-aaa-manager-user-admin@@vsysa] password
    Enter Password:                                                                 
    Confirm Password:                                                               
    [FW-vsysa-aaa-manager-user-admin@@vsysa] service-type web telnet ssh
    [FW-vsysa-aaa-manager-user-admin@@vsysa] level 15
    [FW-vsysa-aaa-manager-user-admin@@vsysa] quit
    [FW-vsysa-aaa] bind manager-user admin@@vsysa role system-admin
    [FW-vsysa-aaa] quit
    [FW-vsysa] quit
    <FW-vsysa> quit

    参考上述步骤为虚拟系统vsysb和vsysc创建管理员“admin@@vsysb”“admin@@vsysc”

  4. 研发部门的管理员为虚拟系统vsysa配置安全区域和安全策略。

    # 使用虚拟系统vsysa管理员账号“admin@@vsysa”登录设备,登录后先修改密码,然后再进行下面的操作。

    # 配置安全区域。

    <vsysa> system-view
    [vsysa] firewall zone trust
    [vsysa-zone-trust] add interface GigabitEthernet 1/0/2
    [vsysa-zone-trust] quit
    [vsysa] firewall zone untrust
    [vsysa-zone-untrust] add interface GigabitEthernet 1/0/1
    [vsysa-zone-untrust] quit

    # 配置地址组。

    [vsysa] ip address-set ipaddress1 type object
    [vsysa-object-address-set-ipaddress1] address range 10.3.0.2 10.3.0.10
    [vsysa-object-address-set-ipaddress1] quit

    # 配置安全策略,这条安全策略的作用是允许特定网段的员工访问Internet。

    [vsysa] security-policy                                                        
    [vsysa-policy-security] rule name to_internet                                  
    [vsysa-policy-security-rule-to_internet] source-zone trust                     
    [vsysa-policy-security-rule-to_internet] destination-zone untrust              
    [vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1
    [vsysa-policy-security-rule-to_internet] action permit                         
    [vsysa-policy-security-rule-to_internet] quit

    # 配置安全策略,这条安全策略的作用是禁止所有员工访问Internet的策略。这条策略的优先级将比前一条低,所以不需要详细指定地址范围。

    [vsysa-policy-security] rule name to_internet2                                  
    [vsysa-policy-security-rule-to_internet2] source-zone trust                     
    [vsysa-policy-security-rule-to_internet2] destination-zone untrust              
    [vsysa-policy-security-rule-to_internet2] action deny                         
    [vsysa-policy-security-rule-to_internet2] quit                                  
    [vsysa-policy-security] quit
  5. 财经部门和行政部门的管理员分别使用管理员账号“admin@@vsysb”“admin@@vsysc”登录设备,为虚拟系统vsysb、vsysc配置IP地址、安全区域及策略。

    具体配置过程与研发部门类似,主要有以下几点区别。

    • 财经部门直接配置一条禁止10.3.1.2~10.3.1.254地址段访问Internet的安全策略即可。
    • 行政部门直接配置一条允许10.3.2.2~10.3.2.254地址段访问Internet的安全策略即可。

结果验证

  • 从研发部门的内网选择一台允许访问Internet的主机,和一台不允许访问Internet的主机,如果访问结果符合预期,说明vsysa的安全策略的配置正确。
  • 从财经部门的内网主动访问Internet,如果访问失败,说明vsysb的安全策略配置正确。
  • 从行政部门的内网主动访问Internet,如果能够访问成功,说明vsysc安全策略配置正确。

配置脚本

根系统的配置脚本

#
 sysname FW
#                                                                               
vlan batch 10 20 30
#                                                                               
 vsys enable 
#                                                                               
resource-class r1                                                               
 resource-item-limit session reserved-number 10000 maximum 50000                
 resource-item-limit policy reserved-number 300                                 
 resource-item-limit user reserved-number 300                                   
 resource-item-limit user-group reserved-number 10 
#                                                                               
vsys name vsysa 1                                                               
 assign vlan 10                                                                 
 assign resource-class r1                                                       
#                                                                               
vsys name vsysb 2                                                               
 assign vlan 20                                                                 
 assign resource-class r1                                                       
#                                                                               
vsys name vsysc 3                                                               
 assign vlan 30                                                                 
 assign resource-class r1 
#                                                                               
interface GigabitEthernet1/0/1                                                 
 portswitch                                                                     
 undo shutdown                                                                  
 port link-type trunk  
 undo port trunk allow-pass vlan 1                                                           
 port trunk allow-pass vlan 10 20 30                                            
#                                                                               
interface GigabitEthernet1/0/2                                                 
 portswitch                                                                     
 undo shutdown                                                                  
 port link-type trunk    
 undo port trunk allow-pass vlan 1                                                         
 port trunk allow-pass vlan 10 20 30                                            
#                                                                                 
return

虚拟系统vsysa的配置脚本

#                                                                               
firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet1/0/2  
#                                                                               
firewall zone untrust                                                           
 set priority 5                                                                 
 add interface GigabitEthernet1/0/1      
#                                                                               
aaa                                                                             
 manager-user admin@@vsysa                                                       
  password cipher %@%@@~QEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]X%@%@      
  service-type web telnet ssh                                                   
  level 15                                                                      

 bind manager-user admin@@vsysa role system-admin 
#                                                                               
ip address-set ipaddress1 type object                                           
 address 0 range 10.3.0.2 10.3.0.10   
#                                                                               
security-policy                                                                 
 rule name to_internet                                                          
  source-zone trust                                                             
  destination-zone untrust                                                      
  source-address address-set ipaddress1                                         
  action permit                                                                 
 rule name to_internet2                                                         
  source-zone trust                                                             
  destination-zone untrust                                                      
  action deny 
#                                                                               
return

虚拟系统vsysb的配置脚本

#                                                                               
firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet1/0/2  
#                                                                               
firewall zone untrust                                                           
 set priority 5                                                                 
 add interface GigabitEthernet1/0/1      
#                                                                               
aaa                                                                             
 manager-user admin@@vsysb                                                       
  password cipher %@%@zG{;O|!gEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]      
  service-type web telnet ssh                                                   
  level 15                                                                      

 bind manager-user admin@@vsysb role system-admin 
#
ip address-set ipaddress1 type object                                           
 address 0 range 10.3.1.2 10.3.1.254
#                                                                               
security-policy                                                                 
 rule name to_internet                                                          
  source-zone trust                                                             
  destination-zone untrust 
  source-address address-set ipaddress1                                                      
  action deny   
#                                                                               
return

虚拟系统vsysc的配置脚本

#                                                                               
firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet1/0/2  
#                                                                               
firewall zone untrust                                                           
 set priority 5                                                                 
 add interface GigabitEthernet1/0/1      
#                                                                               
aaa                                                                             
 manager-user admin@@vsysc                                                       
  password cipher %@%@zG{;x|!gEN5"Db/6dvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]      
  service-type web telnet ssh                                                   
  level 15                                                                      
 bind manager-user admin@@vsysc role system-admin 
#
ip address-set ipaddress1 type object                                           
 address 0 range 10.3.2.2 10.3.2.254
#                                                                               
security-policy                                                                 
 rule name to_internet                                                          
  source-zone trust                                                             
  destination-zone untrust                                                        
  source-address address-set ipaddress1                                                  
  action permit 
#                                                                               
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2164.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
通过虚拟系统隔离企业部门(二层接入)
通过虚拟系统隔离企业部门(二层接入) 设备二层接入企业网络,通过虚拟系统实现企业内不同部门的网络隔离,并为每个虚拟系统配置对应的管理员方便配置管理。……
<<上一篇
下一篇>>