HCIE-防火墙高级特性

2024-06-09 21:36
文章标签 特性 高级 防火墙 hcie

本文主要是介绍HCIE-防火墙高级特性,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

防火墙高级特性

  • 双机热备
    • 简介
    • 在网络中部署防火墙双机时面临的问题
    • 防火墙双机热备关键组件
    • 防火墙双机热备关键组件:VRRP与VGMP
    • 防火墙双机热备关键组件:HRP及心跳线
    • 防火墙双机热备典型组网场景
    • 实验
  • 虚拟系统
    • 防火墙虚拟系统的应用场景
    • 防火墙虚拟系统概述
    • 虚拟接口
    • 虚拟系统访问根系统
    • 两个虚拟系统之间直接互访
    • 配置举例:虚拟系统间互访
    • 实验

双机热备

简介

在这里插入图片描述

  • 双机热备需要两台硬件和软件配置均相同的防火墙组成双机热备系统。防火墙之间通过独立的链路连接(心跳线),通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPsec SA等)。
  • 当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
  • 部署要求
    • 目前只支持两台设备进行双机热备。
    • 主备设备的产品型号和版本必须相同。
    • 主备设备业务板和接口卡的位置、类型和数目都须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题。

在网络中部署防火墙双机时面临的问题

在这里插入图片描述

  • 防火墙是状态检测设备,它会对一条流量的首包进行完整的检测,并建立会话来记录报文的状态信息(包括报文的源IP、源端口、目的IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发,如果后续报文不能匹配会话则会被防火墙丢弃。
  • 如果在网络出口处部署两台独立的防火墙,则两台防火墙独立运行,需分别进行配置维护。此外,以在防火墙的上行、下行部署VRRP为例,由于这两组VRRP相互独立,因此容易出现主备状态不一致的情况,此时内网访问外网的往返流量路径不一致,当回程流量抵达FW2时,由于FW2没有匹配的会话表项,因此这些流量将被丢弃。所以当防火墙双机部署时需要考虑两台防火墙之间的会话等状态信息的备份。

防火墙双机热备关键组件

在这里插入图片描述

防火墙双机热备关键组件:VRRP与VGMP

在这里插入图片描述

防火墙双机热备关键组件:HRP及心跳线

在这里插入图片描述

  • 为了实现主用设备出现故障时备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键配置命令和状态信息。
  • 防火墙能够备份的配置如下:
    • 策略:安全策略、NAT策略(包括NAT地址池)、NAT Server等。
    • 对象:地址、地区、服务、应用、用户等。
    • 网络:安全区域、DNS、IPsec、SSL VPN等。
    • 系统:管理员、虚拟系统、日志配置。
  • 防火墙能够备份的状态信息如下
    • 会话表、SeverMap表、黑名单/白名单、PAT方式端口映射表、NO-PAT方式地址映射表、二层转发表(静态MAC备份)、AAA用户表(缺省用户admin不备份)、在线用户监控表、PKI证书、IPsec备份等。

防火墙双机热备典型组网场景

在这里插入图片描述

实验

在这里插入图片描述

虚拟系统

防火墙虚拟系统的应用场景

在这里插入图片描述

防火墙虚拟系统概述

在这里插入图片描述

虚拟接口

在这里插入图片描述

  • 虚拟系统之间通过虚拟接口实现互访。
  • 虚拟接口是创建虚拟系统时设备自动为其创建的一个逻辑接口,作为虚拟系统自身与其他虚拟系统之间通信的接口。
  • 虚拟接口必须配置IP地址,并加入安全区域才能正常工作。
  • 虚拟接口名的格式为“Virtual-if+接口号”,根系统的虚拟接口名为Virtual-if0,其他虚拟系统的Virtual-if接口号从1开始,根据系统中接口号占用情况自动分配。

虚拟系统访问根系统

在这里插入图片描述

  • 虚拟系统与根系统互访有两种场景:虚拟系统访问根系统、根系统访问虚拟系统。这两种场景下,报文转发的流程略有不同。
  • 本页以虚拟系统访问根系统为例。因为虚拟系统和根系统都需要按照防火墙转发流程对报文进行处理,所以虚拟系统和根系统中要分别完成策略、路由等配置。

两个虚拟系统之间直接互访

在这里插入图片描述

  • FW的虚拟系统之间默认是互相隔离的,不同虚拟系统下的主机不能通信。如果两个虚拟系统下主机有通信的需求,就需要配置策略和路由,使不同虚拟系统能够互访。该场景是虚拟系统A向虚拟系统B发起访问。报文先进入虚拟系统A,虚拟系统A按照防火墙转发流程对报文进行处理。然后报文进入虚拟系统B,虚拟系统B再次按照防火墙转发流程对报文进行处理。
  • 因为两个虚拟系统都需要按照防火墙转发流程对报文进行处理,所以两个虚拟系统中要分别完成策略、路由等配置。

配置举例:虚拟系统间互访

在这里插入图片描述

  • 在根系统中配置vsysa和vsysb互访的路由。
<FW> system-view
[FW] ip route-static vpn-instance vsysa 10.3.1.0 24 vpn-instance vsysb
  • 为根系统的虚拟接口Virtual-if0配置IP地址,并将加入Trust区域。Virtual-if0接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
[FW] interface Virtual-if 0
[FW-Virtual-if0] ip address 172.16.0.1 24
[FW-Virtual-if0] quit
[FW] firewall zone trust
[FW-zone-trust] add interface Virtual-if0
[FW-zone-trust] quit
  • 为vsysa的虚拟接口Virtual-if1配置IP地址,并将接口加入Untrust区域。Virtual-if1接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
[FW-vsysa] interface Virtual-if 1
[FW-vsysa-Virtual-if1] ip address 172.16.1.1 24
[FW-vsysa-Virtual-if1] quit
[FW-vsysa] firewall zone untrust
[FW-vsysa-zone-untrust] add interface Virtual-if1
[FW-vsysa-zone-untrust] quit
  • 配置允许vsysa内用户访问vsysb内服务器的策略。
[FW-vsysa] security-policy
[FW-vsysa-policy-security] rule name to_server
[FW-vsysa-policy-security-rule-to_internet] source-zone trust
[FW-vsysa-policy-security-rule-to_internet] destination-zone untrust
[FW-vsysa-policy-security-rule-to_internet] source-address 10.3.0.0 24
[FW-vsysa-policy-security-rule-to_internet] destination-address 10.3.1.3 32
[FW-vsysa-policy-security-rule-to_internet] action permit
[FW-vsysa-policy-security-rule-to_internet] quit
[FW-vsysa-policy-security] quit
  • 为vsysb的虚拟接口Virtual-if2配置IP地址,并将接口加入Untrust区域。Virtual-if2接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
[FW-vsysb] interface Virtual-if 2
[FW-vsysb-Virtual-if1] ip address 172.16.2.1 24
[FW-vsysb-Virtual-if1] quit
[FW-vsysb] firewall zone untrust
[FW-vsysb-zone-untrust] add interface Virtual-if2
[FW-vsysb-zone-untrust] quit
  • 配置允许vsysa内用户访问vsysb内服务器的策略。
[FW-vsysb] security-policy
[FW-vsysb-policy-security] rule name vsysa_to_server
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] source-zone untrust
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] destination-zone trust
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] source-address 10.3.0.0 24
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] destination-address 10.3.1.3 32
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] action permit
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] quit
[FW-vsysb-policy-security] quit
  • 配置验证。
PC>ping 10.3.1.3
Ping 10.3.1.3: 32 data bytes, Press Ctrl_C to break
From 10.3.1.3: bytes=32 seq=1 ttl=127 time=79 ms

实验

在这里插入图片描述

这篇关于HCIE-防火墙高级特性的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1046357

相关文章

系统架构师考试学习笔记第三篇——架构设计高级知识(20)通信系统架构设计理论与实践

本章知识考点:         第20课时主要学习通信系统架构设计的理论和工作中的实践。根据新版考试大纲,本课时知识点会涉及案例分析题(25分),而在历年考试中,案例题对该部分内容的考查并不多,虽在综合知识选择题目中经常考查,但分值也不高。本课时内容侧重于对知识点的记忆和理解,按照以往的出题规律,通信系统架构设计基础知识点多来源于教材内的基础网络设备、网络架构和教材外最新时事热点技术。本课时知识

ActiveMQ—消息特性(延迟和定时消息投递)

ActiveMQ消息特性:延迟和定时消息投递(Delay and Schedule Message Delivery) 转自:http://blog.csdn.net/kimmking/article/details/8443872 有时候我们不希望消息马上被broker投递出去,而是想要消息60秒以后发给消费者,或者我们想让消息没隔一定时间投递一次,一共投递指定的次数。。。 类似

PostgreSQL核心功能特性与使用领域及场景分析

PostgreSQL有什么优点? 开源和免费 PostgreSQL是一个开源的数据库管理系统,可以免费使用和修改。这降低了企业的成本,并为开发者提供了一个活跃的社区和丰富的资源。 高度兼容 PostgreSQL支持多种操作系统(如Linux、Windows、macOS等)和编程语言(如C、C++、Java、Python、Ruby等),并提供了多种接口(如JDBC、ODBC、ADO.NET等

详解Tomcat 7的七大新特性和新增功能(1)

http://developer.51cto.com/art/201009/228537.htm http://tomcat.apache.org/tomcat-7.0-doc/index.html  Apache发布首个Tomcat 7版本已经发布了有一段时间了,Tomcat 7引入了许多新功能,并对现有功能进行了增强。很多文章列出了Tomcat 7的新功能,但大多数并没有详细解释它们

如何掌握面向对象编程的四大特性、Lambda 表达式及 I/O 流:全面指南

这里写目录标题 OOP语言的四大特性lambda输入/输出流(I/O流) OOP语言的四大特性 面向对象编程(OOP)是一种编程范式,它通过使用“对象”来组织代码。OOP 的四大特性是封装、继承、多态和抽象。这些特性帮助程序员更好地管理复杂的代码,使程序更易于理解和维护。 类-》实体的抽象类型 实体(属性,行为) -》 ADT(abstract data type) 属性-》成

Java基础回顾系列-第七天-高级编程之IO

Java基础回顾系列-第七天-高级编程之IO 文件操作字节流与字符流OutputStream字节输出流FileOutputStream InputStream字节输入流FileInputStream Writer字符输出流FileWriter Reader字符输入流字节流与字符流的区别转换流InputStreamReaderOutputStreamWriter 文件复制 字符编码内存操作流(

Java基础回顾系列-第五天-高级编程之API类库

Java基础回顾系列-第五天-高级编程之API类库 Java基础类库StringBufferStringBuilderStringCharSequence接口AutoCloseable接口RuntimeSystemCleaner对象克隆 数字操作类Math数学计算类Random随机数生成类BigInteger/BigDecimal大数字操作类 日期操作类DateSimpleDateForma

Mysql高级篇(中)——索引介绍

Mysql高级篇(中)——索引介绍 一、索引本质二、索引优缺点三、索引分类(1)按数据结构分类(2)按功能分类(3) 按存储引擎分类(4) 按存储方式分类(5) 按使用方式分类 四、 索引基本语法(1)创建索引(2)查看索引(3)删除索引(4)ALTER 关键字创建/删除索引 五、适合创建索引的情况思考题 六、不适合创建索引的情况 一、索引本质 索引本质 是 一种数据结构,它用

《C++标准库》读书笔记/第一天(C++新特性(1))

C++11新特性(1) 以auto完成类型自动推导 auto i=42; //以auto声明的变量,其类型会根据其初值被自动推倒出来,因此一定需要一个初始化操作; static auto a=0.19;//可以用额外限定符修饰 vector<string> v;  auto pos=v.begin();//如果类型很长或类型表达式复杂 auto很有用; auto l=[] (int

12C 新特性,MOVE DATAFILE 在线移动 包括system, 附带改名 NID ,cdb_data_files视图坏了

ALTER DATABASE MOVE DATAFILE  可以改名 可以move file,全部一个命令。 resue 可以重用,keep好像不生效!!! system照移动不误-------- SQL> select file_name, status, online_status from dba_data_files where tablespace_name='SYSTEM'