防火墙虚拟系统——引流表

概览

在虚拟系统和根系统互访的场景中,虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务,虚拟系统和根系统都要配置策略、都会建立会话。这样,一方面增加了配置的复杂性,另一方面,每条连接都需要两条会话,业务量大时,会造成整机的会话资源紧张。通过配置引流表,可以解决上述问题。

报文命中引流表时,根系统不再按照防火墙转发流程处理报文,而是按路由表或引流表直接转发报文。因此,根系统中不需要为命中引流表的报文配置策略,根系统也不会为命中引流表的报文创建会话。

报文命中引流表分为正向命中和反向命中两种情况:

  • 正向命中:根系统发往虚拟系统的报文,目的地址匹配引流表中的“Destination Address”,则报文正向命中引流表。报文正向命中引流表时,根系统按引流表转发报文,将报文送入命中的表项对应的“Destination Instance”中处理。

防火墙虚拟系统——引流表_第1张图片

  • 反向命中:虚拟系统发往根系统的报文,源地址匹配引流表中的“Destination Address”,源虚拟系统匹配引流表中的“Destination Instance”,则报文反向命中引流表。报文反向命中引流表时,根系统按路由表转发报文。

防火墙虚拟系统——引流表_第2张图片

拓扑图

防火墙虚拟系统——引流表_第3张图片

配置

  • 开启虚拟系统
  • 虚拟系统创建
  • 虚拟系统分配接口及资源类限制
  • 根系统及虚拟系统接口IP配置、接口加入安全区域
sysname FW1
#
vsys enable
resource-class res_cls
 resource-item-limit session reserved-number 100 maximum 500
 resource-item-limit session-rate 100
 resource-item-limit bandwidth 5 entire
#
vsys name C1 1
 assign interface GigabitEthernet1/0/1
 assign resource-class res_cls
#
vsys name C2 2
 assign interface GigabitEthernet1/0/2
 assign resource-class res_cls
#
interface GigabitEthernet1/0/0
 ip address 10.1.100.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface Virtual-if0
#
switch vsys C1
#
sy
#
interface GigabitEthernet1/0/1
 ip address 10.1.10.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 add interface Virtual-if1
#
security-policy
 rule name local->any
  source-zone local
  action permit
#
switch vsys C2
#
sy
#
interface GigabitEthernet1/0/2
 ip address 10.1.20.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/2
#
firewall zone untrust
 add interface Virtual-if2
#
security-policy
 rule name local->any
  source-zone local
  action permit
#
sysname SW1
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/23
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 20
#

防火墙虚拟系统——引流表_第4张图片

防火墙虚拟系统——引流表_第5张图片

防火墙虚拟系统——引流表_第6张图片

虚拟系统与根系统互通

配置引流表

根系统上配置引流表

FW1:

 firewall import-flow public 10.1.10.0 10.1.10.255 -instance C1
 firewall import-flow public 10.1.20.1 10.1.20.254 -instance C2
#

配置命令后按Y继续

查看引流表配置

防火墙虚拟系统——引流表_第7张图片

防火墙虚拟系统——引流表_第8张图片

查看指定IP地址的引流表信息

防火墙虚拟系统——引流表_第9张图片

防火墙虚拟系统——引流表_第10张图片

虚拟系统上配置路由及安全策略

在虚墙C1上配置路由及安全策略

FW1:

switch vsys C1
#
sy
#
security-policy
 rule name trust->untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
  rule name untrust->trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.100.0 mask 255.255.255.0
  destination-address 10.1.10.0 mask 255.255.255.0
  action permit
#
ip route-static 10.1.100.0 255.255.255.0 public
#

查看C1的路由表

防火墙虚拟系统——引流表_第11张图片

在虚墙C2上配置路由及安全策略

switch vsys C2
#
sy
#
security-policy
 rule name trust->untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.20.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
 rule name untrust->trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.100.0 mask 255.255.255.0
  destination-address 10.1.20.0 mask 255.255.255.0
  action permit
#
ip route-static 10.1.100.0 255.255.255.0 public
#

查看C2的路由表

防火墙虚拟系统——引流表_第12张图片

测试

server ping PC1,可以通信

防火墙虚拟系统——引流表_第13张图片

转发流程,正向命中引流表

防火墙虚拟系统——引流表_第14张图片

查看会话情况

可以看到,根墙上没有创建会话,虚墙C1上创建会话

防火墙虚拟系统——引流表_第15张图片

PC1 ping Server,可以通信

防火墙虚拟系统——引流表_第16张图片

转发流程,反向命中引流表

防火墙虚拟系统——引流表_第17张图片

查看会话情况

可以看到,根墙上没有创建会话,虚墙C1上创建会话

防火墙虚拟系统——引流表_第18张图片

PC2与Server间的通信原理同上

虚拟系统C1与C2跨越根系统互通

虚墙C1上配置路由及安全策略

  • C1访问C2的路由指向根系统public

FW1-C1:

switch vsys C1
#
sy
#
security-policy
 rule name trust->untrust
  destination-address 10.1.20.0 mask 255.255.255.0
 rule name untrust->trust
  source-address 10.1.20.0 mask 255.255.255.0
#
ip route-static 10.1.20.0 255.255.255.0 public
#

虚墙C2上配置路由及安全策略

  • C2访问C1的路由指向根系统public

FW1-C2:

switch vsys C2
#
sy
#
security-policy
 rule name trust->untrust
  destination-address 10.1.10.0 mask 255.255.255.0
 rule name untrust->trust
  source-address 10.1.10.0 mask 255.255.255.0
#
ip route-static 10.1.10.0 255.255.255.0 public
#

测试

PC1 ping PC2

防火墙虚拟系统——引流表_第19张图片

转发流程,PC1查找路由表,将报文发送给根系统Public,根系统正向命中引流表,将报文直接送入Destination Instance C2中查找路由表处理。根系统不会建立会话。

防火墙虚拟系统——引流表_第20张图片

防火墙虚拟系统——引流表_第21张图片

防火墙虚拟系统——引流表_第22张图片

查看会话情况

可以看到,根墙上没有创建会话,虚墙C1、C2上创建会话

防火墙虚拟系统——引流表_第23张图片

PC2 ping PC1同理

你可能感兴趣的:(华为防火墙USG实验,网络)