企业内 中常有这样的需求,管理员或老板希望能够访问其他业务部门主机的共享资料等信息,却不希望任何人访问管理员的共享信息。
前期我们通过利用ACL结合过滤策略来实现,见 《企业内 单向访问的实现—TCP三次握手的深入理解与应用》
本次我们介绍利用虚拟防火墙来实现此应用需求。
拓扑说明:
PC1代表 管理员组电脑 PC2代理业务组电脑 分别处于企业 内不同VLAN
PC1配置10.1.1.1/24
PC2配置 192.168.1.1/24
防火墙作为内 不同 段的隔离保护设备,G1/0/1连接PC1 ,G1/0/2连接PC2
防火墙关键配置
sysname FW1
vsys enable
resource-class tech
resource-item-limit session reserved-number 20 maximum 5000
resource-item-limit policy reserved-number 20
resource-item-limit user reserved-number 10
//配置资源类
vsys name vfw1 1
assign interface GigabitEthernet1/0/1
assign resource-class tech
vsys name vfw2 2
assign interface GigabitEthernet1/0/2
assign resource-class tech
//分配虚拟防火墙资源
firewall zone dmz
add interface Virtual-if0
//根防火墙的VIF0接口加入DMZ
ip route-static 10.1.1.0 255.255.255.0 vpn-instance vfw1
ip route-static 192.168.1.0 255.255.255.0 vpn-instance vfw2
//配置虚拟防火墙互通的路由
虚拟防火墙1配置
[FW1]switch vsys vfw1
//进入虚拟防火墙VFW1
<FW1-vfw1>system-view
interface GigabitEthernet1/0/1
ip address 10.1.1.254 255.255.255.0
firewall zone dmz
add interface Virtual-if1
firewall zone trust
add interface GigabitEthernet1/0/1
//配置接口IP及安全区域
ip route-static 192.168.1.0 255.255.255.0 public
//配置出口路由
security-policy
rule name 1
source-zone trust
destination-zone dmz
action permit
//配置访问安全策略
虚拟防火墙2配置(配置说明同上,注意安全策略的方向)
[FW1]switch vsys vfw2
<FW1-vfw2>system-view
interface GigabitEthernet1/0/2
ip address 192.168.1.254 255.255.255.0
firewall zone trust
add interface GigabitEthernet1/0/2
firewall zone dmz
add interface Virtual-if2
ip route-static 10.1.1.0 255.255.255.0 public
security-policy
rule name 2
source-zone dmz
destination-zone trust
action permit
需要理解的是虚拟防火墙VFW1安全策略放行的是trust–DMZ方向,VFW2放行的是DMZ–TRUST方向,对于根防火墙数据都只在DMZ区域,无需设置安全策略。
实验测试结果
分别在根墙VFW1 VFW2上查看路由表
PC1 ping PC2
PC2无法Ping通PC1
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!