防火墙虚拟系统配置

拓扑图

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=.%2F%25E4%25BD%259C%25E4%25B8%259A6.assets%2Fimage-20250314190252372.png&pos_id=img-Q3oHODSh-1741950268064

一、实验目标

1. 在单台物理防火墙上配置多个虚拟系统，模拟不同部门或业务的网络环境隔离。
2. 针对各个虚拟系统制定不同的安全策略，实现精准的安全访问控制。

二、实验环境准备

1. 防火墙设备：一台支持虚拟系统（vsys）功能的防火墙，如华为USG系列防火墙。不同厂商的防火墙在功能和配置方式上会有差异，本手册以华为防火墙为例进行说明。
2. 网络设备：至少两台交换机，用于连接不同部门的网络和防火墙。
3. 主机设备：若干台PC，分别模拟不同部门的终端设备。
4. 网络拓扑：研发部、财务部、行政部分别通过各自的交换机（LSW1、LSW2、LSW3）连接到防火墙（FW1）的不同虚拟系统（vsysa、vsysb、vsysc） 。防火墙作为内网与外网（Internet）以及云（Cloud1）之间的安全屏障，根系统负责整体管理和外部连接。路由器（R1）用于外网与防火墙间的路由转发。

三、配置步骤

（一）防火墙基本设置

1. 开启虚拟系统功能
   进入防火墙的命令行界面或Web管理界面，开启虚拟系统功能。以华为防火墙命令行配置为例：

<FW> system - view
[FW] vsys enable

2. 创建资源类（可选）
   如果需要对虚拟系统的资源进行限制和分配，可以创建资源类。例如，创建一个名为r1的资源类，并设置会话数量、带宽等限制：

[FW] resource - class r1
[FW - resource - class - r1] resource - item - limit session reserved - number 500 maximum 1000
[FW - resource - class - r1] resource - item - limit bandwidth 2 outbound
[FW - resource - class - r1] resource - item - limit policy reserved - number 200
[FW - resource - class - r1] resource - item - limit user reserved - number 100

（二）创建虚拟系统

1. 命令行方式
   在防火墙命令行下，创建虚拟系统并分配资源类和接口。例如，创建名为vsysa的虚拟系统，绑定r1资源类，并分配接口GigabitEthernet 1/0/1：

[FW] vsys name vsysa
[FW - vsys - vsysa] assign resource - class r1
[FW - vsys - vsysa] assign interface GigabitEthernet 1/0/1

2. Web界面方式
   不同防火墙的Web界面操作步骤有所不同，但大致流程是进入防火墙的Web管理界面，找到虚拟系统配置相关的菜单。在华为防火墙Web界面中，路径一般为“系统>虚拟系统>虚拟系统配置”，点击“新建”按钮，输入虚拟系统名称，选择资源类，添加需要分配的接口，完成虚拟系统的创建。

（三）配置虚拟系统接口

1. 进入虚拟系统

[FW] switch vsys vsysa

2. 配置接口IP地址
   假设分配给vsysa的接口为GigabitEthernet 1/0/1，配置其IP地址为192.168.1.1/24：

[FW - vsysa] interface GigabitEthernet 1/0/1
[FW - vsysa - GigabitEthernet1/0/1] ip address 192.168.1.1 24

3. 设置接口工作模式（可选）
   根据实际需求，可设置接口为路由模式或交换模式。例如，设置为交换模式：

[FW - vsysa - GigabitEthernet1/0/1] portswitch

（四）定义安全区域

在每个虚拟系统内，创建代表不同安全级别的安全区域，常见的有trust（信任区域）、untrust（非信任区域）、dmz（隔离区）等。

1. 创建安全区域
   以在vsysa中创建trust区域为例：

[FW - vsysa] firewall zone trust

2. 设置安全区域优先级

[FW - vsysa - zone - trust] set priority 85

3. 将接口加入安全区域
   将GigabitEthernet 1/0/1接口加入trust区域：

[FW - vsysa - zone - trust] add interface GigabitEthernet 1/0/1

（五）配置路由与互通

1. 配置静态路由
   如果虚拟系统需要访问外网或其他网络，需配置静态路由。例如，在vsysa中配置默认路由，下一跳指向防火墙根系统的接口IP：

[FW - vsysa] ip route - static 0.0.0.0 0.0.0.0 192.168.1.254

2. 动态路由配置（可选）
   若网络环境复杂，可配置动态路由协议，如OSPF、BGP等。以配置OSPF为例：

[FW - vsysa] ospf 1 router - id 1.1.1.1
[FW - vsysa - ospf - 1] area 0
[FW - vsysa - ospf - 1 - area - 0.0.0.0] network 192.168.1.0 0.0.0.255

3. 虚拟系统间通信配置
   若不同虚拟系统之间需要通信，可通过虚拟接口（如vlanif接口）或三层接口建立互访通道，并配置相应的路由。例如，在根系统中为两个虚拟系统配置静态路由，实现虚拟系统间的互通：

[FW] ip route - static vpn - instance vsysa 192.168.2.0 24 vpn - instance vsysb下一跳地址
[FW] ip route - static vpn - instance vsysb 192.168.1.0 24 vpn - instance vsysa下一跳地址

（六）配置安全策略

1. 访问控制策略
   配置虚拟系统内不同安全区域之间的访问规则。例如，在vsysa中允许trust区域访问untrust区域：

[FW - vsysa] security - policy
[FW - vsysa - policy - security] rule name trust_to_untrust
[FW - vsysa - policy - security - rule - trust_to_untrust] source - zone trust
[FW - vsysa - policy - security - rule - trust_to_untrust] destination - zone untrust
[FW - vsysa - policy - security - rule - trust_to_untrust] action permit

2. NAT策略配置
   若虚拟系统内的主机需要访问外网，需配置NAT策略。例如，在vsysa中配置源NAT策略，将内网地址转换为公网地址：

[FW - vsysa] nat - policy
[FW - vsysa - policy - nat] rule name nat_to_internet
[FW - vsysa - policy - nat - rule - nat_to_internet] source - zone trust
[FW - vsysa - policy - nat - rule - nat_to_internet] egress - interface GigabitEthernet 1/0/2
[FW - vsysa - policy - nat - rule - nat_to_internet] source - address 192.168.1.0 24
[FW - vsysa - policy - nat - rule - nat_to_internet] action source - nat easy - ip

（七）配置虚拟系统管理员（可选）

为每个虚拟系统创建独立的管理员账户，方便管理和维护。

1. 切换到虚拟系统视图

[FW] switch vsys vsysa

2. 创建管理员账户

[FW - vsysa] aaa
[FW - vsysa - aaa] manager - user admin@@vsysa
[FW - vsysa - aaa - manager - user - admin@@vsysa] password cipher Password123
[FW - vsysa - aaa - manager - user - admin@@vsysa] level 15
[FW - vsysa - aaa - manager - user - admin@@vsysa] service - type web telnet ssh

（八）交换机配置

1. 创建VLAN
   以研发部的交换机LSW1为例，创建VLAN 10用于连接研发部的终端设备：

<LSW1> system - view
[LSW1] vlan batch 10

2. 配置端口模式
   将连接终端设备的端口设置为Access模式，并加入相应的VLAN：

[LSW1] interface GigabitEthernet 0/0/1
[LSW1 - GigabitEthernet0/0/1] port link - type access
[LSW1 - GigabitEthernet0/0/1] port default vlan 10

3. 配置与防火墙连接的端口
   将连接防火墙的端口设置为Trunk模式，允许所有VLAN通过：

[LSW1] interface GigabitEthernet 0/0/2
[LSW1 - GigabitEthernet0/0/2] port link - type trunk
[LSW1 - GigabitEthernet0/0/2] port trunk allow - pass vlan all

四、验证与测试

1. 连通性测试
   使用ping命令，在不同虚拟系统内的主机上测试与其他主机、网关以及外网的连通性。例如，在vsysa内的主机上ping vsysb内的主机、虚拟系统的网关以及外网的IP地址。
2. 安全策略验证
   根据配置的安全策略，验证访问控制是否生效。例如，若配置了财务部（vsysb）禁止访问外网，在财务部的主机上尝试访问外网资源，应无法访问；若配置了研发部（vsysa）部分员工可以访问外网，测试允许访问的员工主机和禁止访问的员工主机对外网的访问情况。
3. 流量监控与分析
   利用防火墙的流量监控功能，查看各虚拟系统的流量情况，包括流入和流出的流量大小、协议类型等，确保网络流量符合预期的配置和策略。