ONENetwork解决方案防火墙培训胶片-虚拟防火墙解说.pptVIP

Page * 跨虚拟防火墙的转发 跨虚拟防火墙转发的NAT SERVER方式： 在路由模式下，E1000E可以通过配置跨虚拟防火墙的NAT SERVER来实现跨虚拟防火墙的转发，而不用配置静态路由，在NAT SERVER 命令中，如果不指定zone vpn-instance参数则所有防火墙下所有域下的用户都可以通过global地址访问内部服务器，如果指定了则只有指定的虚拟防火墙域的用户可以访问。并在Inside地址后指定目的虚拟防火墙，即可实现跨虚拟防火墙。 配置VFW1向VFW2转发报文的静态路由如下： [E1000E] nat server zone vpn-instance vfw1 untrust global 00 inside vpn-instance vfw2 可以不指定入VFW，则所有VFW下的用户都可以用global地址访问： [E1000E] nat server global 00 inside vpn-instance vfw2 Page * 跨虚拟防火墙的转发 跨虚拟防火墙转发的域间流程： 在虚拟防火墙的安全多实例中，专门为实现跨虚拟防火墙转发而增加了一个VZONE域，所有虚拟防火墙都有VZONE域，但是所有VZONE域是彼此互通的，相当于同一个域，报文跨VFW转发时，需要在两个域间做包过滤，第一个域间为源VFW的入域和源VFW的VZONE域，第二个域间为目的VFW的VZONE域和目的VFW的出域。这两个域间为两个VFW独有，可以配置各自的包过滤动作。 Page * 跨虚拟防火墙的转发 跨虚拟防火墙转发的域间包过滤配置： 由于VZONE域的优先级为0，所以在源VFW的入域和VZONE域之间可以配置包过滤动作为outbound方向，在目的VFW的 VZONE域和出域之间配置的包过滤动作为inbound方向。 [E1000E-interzone-untrust-vzone-vfw1] packet-filter 3001 outbound [E1000E-interzone-trust-vzone-vfw2] packet-filter 3002 inbound 跨虚拟防火墙转发的域间NAT策略配置： NAT策略只需要在一个域间做就足够了，所以在两个域间上只选择源VFW的入域和VZONE域的域间上配置OUTBOUND方 向的NAT策略。这样就会导致从该入域出去的所有跨VFW报文都将做该NAT策略，而无法指定具体目的虚拟防火墙及安全 域的NAT策略。这里只有通过配置不同的ACL和NAT策略关联来区分不同的NAT策略应用在不同的流上。 配置如下： [E1000E-interzone-trust-vzone-vfw1] nat inbound 2001 address-group 1 [E1000E-interzone-trust-vzone-vfw1] nat inbound 2002 address-group 2 Thank You * HUAWEI TECHNOLOGIES Co., Ltd. HUAWEI Confidential 2007.08 HUAWEI TECHNOLOGIES Co., Ltd. HUAWEI Confidential Security Level: 内部公开 E1000E培训胶片 ——虚拟防火墙 网络安全产品族 Page * 汇报提纲 虚拟防火墙技术背景介绍 虚拟防火墙简介 虚拟防火墙的创建/删除 绑定虚拟防火墙 支持ARP多实例 支持IP BIND多实例 支持NAT地址池多实例 支持NAT SERVER多实例 支持ACL多实例 支持包过滤多实例 支持攻击防范多实例 支持黑名单多实例 跨虚拟防火墙的转发 Page * 虚拟防火墙技术背景介绍 实现虚拟防火墙的目的： 虚拟防火墙的提出主要是为了满足多用户的租用，让一台物理防火墙实现多台防火墙的效果 每个用户就好象拥有自己单独的防火墙一样 虚拟防火墙的配置多实例： 虚拟防火墙可以动态创建，是逻辑上的，每一个虚拟防火墙转发实例都对应一个配置视图 虚拟防火墙配置视图下的用户只能配置与该虚拟防火墙实例相关的配置，以及查看相关数据。 根防火墙的管理用户可以配置和管理根防火墙和所有虚拟防火墙。 Page * 汇报提纲 虚拟防火墙技术背景介绍 虚拟防火墙简介 虚拟防火墙的创建/删除 绑定虚拟防火墙 支持ARP多实例 支持IP BIND多实例 支持NAT地址池多实例 支持NAT SERVER多实例 支持ACL多实例 支持包过滤多实例 支持攻击防范多实例 支持黑名单多实例 跨虚拟防火墙的转发 Page * 虚拟防火墙简介 虚拟防火墙的转发多实例： 为了给虚拟防火墙