防火牆入侵與檢測 day06 防火牆虛擬系統

描述虛擬系統的應用場景
描述虛擬系統的基本原理
配置防火牆虛擬系統
掌握虛擬系統的故障排除方法

 

虛擬系統簡介

虛擬系統概述
虛擬系統（Virtual System）是在一臺物理設備上劃分出的多臺相互獨立的邏輯設備。每個虛擬系統相當於一臺真實的設備，有自己的接口、地址集、用戶/組、路由表項以及策略，並可通過虛擬系統管理員進行配置和管理。

虛擬系統特點：

• 管理獨立
• 表項獨立
• 資源固定
• 流量隔離

虛擬系統使得虛擬防火牆具有自己獨立的軟件資源，如會話表數、策略數、用戶數等等，這樣就不用去爭搶公共的資源。並且具有自己獨立的賬號和管理界面，很多配置都可以在虛擬系統下配置完成，而不需要在根系統下配置。

 

虛擬系統實現原理

NGFW上存在兩種類型的虛擬系統：
根系統(public)

• 根系統是防火牆上缺省存在的一個特殊的虛擬系統。即使虛擬系統功能未啓用，根系統也依然存在。此時，管理員對防火牆進行配置等同於對根系統進行配置。啓用虛擬系統功能後，根系統會繼承先前防火牆上的配置。
• 在虛擬系統這個特性中，根系統的作用是管理其他虛擬系統，併爲虛擬系統間的通信提供服務。

虛擬系統(VSYS)

• 虛擬系統是在防火牆上劃分出來的、獨立運行的邏輯設備。

爲了實現每個虛擬系統的業務都能夠做到正確轉發、獨立管理、相互隔離，防火牆主要實現了幾個方面的虛擬化：

• 資源虛擬化：每個虛擬系統都有獨享的資源，包括接口、VLAN、策略和會話等。根系統管理員分配給每個虛擬系統，由各個虛擬系統自行管理和使用。
• 配置虛擬化：每個虛擬系統都擁有獨立的虛擬系統管理員和配置界面，每個虛擬系統管理員只能管理自己所屬的虛擬系統。
• 安全功能虛擬化：每個虛擬系統都可以配置獨立的安全策略及其他安全功能，只有屬於該虛擬系統的報文才會受到這些配置的影響。
• 路由虛擬化：每個虛擬系統都擁有各自的路由表，相互獨立隔離。目前僅支持靜態路由的虛擬化。

通過以上幾個方面的虛擬化，當創建虛擬系統之後，每個虛擬系統的管理員都像在使用一臺獨佔的設備。

資源分配
合理地分配資源可以對單個虛擬系統的資源進行約束，避免因某個虛擬系統佔用過多的資源，導致其他虛擬系統無法獲取資源、業務無法正常運行的情況。

NGFW資源分配支持定額分配或手工分配，其他的資源項則是各個虛擬系統一起共享搶佔。
定額分配

• 此類資源直接由系統按照規格自動進行分配。
• 資源列表：SSL VPN虛擬網關，安全區域。

手工分配

• 此類資源由用戶通過命令行或Web界面中的資源類手動分配。
• 資源列表：接口，VLAN，公網IP，IPv4會話數，IPv6會話數，IPv4新建會話速率，IPv6新建會話速率，在線用戶數，SSL VPN併發用戶數，用戶數，用戶組，安全組數，策略數，帶寬。

手工分配資源時可配置保證值和最大值

• 保證值：虛擬系統可使用某項資源的最小數量。這部分資源一旦分配給虛擬系統，就被該虛擬系統獨佔。
• 最大值：虛擬系統可使用某項資源的最大數量。虛擬系統可使用的資源能否達到最大值視其他虛擬系統對該項資源的使用情況而定。

共享搶佔資源：地址和地址組，地區和地區組，自定義服務和自定義服務組，自定義應用和自定義應用組，NAT地址池，時間段，帶寬通道，靜態路由條目，各種表項，如Server-map表、IP-MAC地址綁定表、ARP表、MAC地址表等。

 

虛擬系統分流

用於確定報文與虛擬系統歸屬關係的過程稱爲分流。
通過分流能將進入設備的報文送入正確的虛擬系統處理。
防火牆支持基於接口分流和基於VLAN分流兩種分流方式。

• 基於接口的分流方式：接口工作在三層。
• 基於VLAN的分流方式：接口工作在二層。

FW上未配置虛擬系統時，報文進入防火牆後直接根據根系統的策略和表項（會話表、MAC地址表、路由表等）對其進行處理。
FW上配置了虛擬系統時，每個虛擬系統都相當於一臺獨立的設備，僅依據虛擬系統內的策略和表項對報文進行處理。因此，報文進入防火牆後，首先要確定報文與虛擬系統的歸屬關係，以決定其進入哪個虛擬系統進行處理。我們將確定報文與虛擬系統歸屬關係的過程稱爲分流。
 

基於接口的虛擬系統分流

將接口與虛擬系統綁定後，從此接口接收到的報文都會被認爲屬於該虛擬系統，並根據該虛擬系統的配置進行處理。

虛擬系統VSYSA、VSYSB、VSYSC有專屬的內網接口GigabitEthernet 1/0/1、GigabitEthernet 1/0/2、GigabitEthernet 1/0/3。GigabitEthernet 1/0/1、GigabitEthernet 1/0/2、GigabitEthernet 1/0/3接收到的報文經過分流，將分別送入VSYSA、VSYSB、VSYSC進行路由查找和策略處理。

基於VLAN的虛擬系統分流

將VLAN與虛擬系統綁定後，該VLAN內的報文都將被送入與其綁定的虛擬系統進行處理。

防火牆的內網接口GigabitEthernet 1/0/1爲Trunk接口，並允許VLAN10、VLAN20和VLAN30的報文通過。VLAN10、VLAN20、VLAN30分別綁定虛擬系統VSYSA、VSYSB和VSYSC。對於GigabitEthernet 1/0/1接收到的報文，防火牆會根據報文幀頭部的VLAN Tag確定報文所屬的VLAN，再根據VLAN與虛擬系統的綁定關係，將報文引入相應的虛擬系統。
報文進入虛擬系統後，根據該虛擬系統的MAC地址表查詢到出接口，確定報文出入接口的域間關係，再根據配置的域間策略對報文進行轉發或丟棄。
 

虛擬系統互訪

虛擬系統互訪 – 虛擬接口

虛擬接口是創建虛擬系統時系統自動爲其創建的一個邏輯接口，作爲虛擬系統自身與其他虛擬系統之間通信的接口。

虛擬系統之間通過虛擬接口實現互訪。
虛擬接口的鏈路層和協議層始終是UP的。虛擬接口可以不配置IP地址，但必須要加入安全區域，否則無法正常工作。
虛擬接口名的格式爲“Virtual-if+接口號”，根系統的虛擬接口名爲Virtual-if0，其他虛擬系統的Virtual-if接口號從1開始，根據系統中接口號佔用情況自動分配。
各個虛擬系統以及根系統的虛擬接口之間默認通過一條“虛擬鏈路”連接。如果將虛擬系統、根系統都視爲獨立的設備，將虛擬接口視爲設備之間通信的接口，通過將虛擬接口加入安全區域並按照配置一般設備間互訪的思路配置路由和策略，就能實現虛擬系統和根系統的互訪、虛擬系統之間的互訪。

虛擬系統互訪 – 虛擬系統訪問根系統

虛擬系統vsysa下10.3.0.0/24網段的用戶通過根系統的公網接口GE1/0/1訪問Internet服務器3.3.3.3。

• 客戶端向服務器發起連接。
• 首包到達防火牆後，基於接口分流，被送入虛擬系統vsysa。vsysa按照防火牆轉發流程對報文進行處理，包括匹配黑名單、查找路由、做NAT、匹配安全策略等等。如果vsysa不允許轉發報文，則丟棄報文，流程結束；如果vsysa允許轉發報文，則將報文送入根系統中處理。同時，vsysa會爲這條連接建立會話。
• 根系統的虛擬接口Virtual-if0收到報文後，根系統按照防火牆轉發流程對報文進行處理，包括匹配黑名單、查找路由、做NAT、匹配安全策略等等。如果根系統不允許轉發報文，則丟棄報文，流程結束；如果根系統允許轉發報文，則將報文發往服務器。同時，根系統會爲這條連接建立如下會話。
• 報文經過路由轉發後，到達目的服務器。
• 回程報文到達防火牆根系統後匹配會話錶轉發到虛擬系統A，虛擬系統A上必須要有內網的路由。根系統中不需要針對服務器迴應的報文配置回程路由。服務器迴應的報文在根系統中匹配會話表後，直接發送到虛擬系統中處理。

虛擬系統互訪 – 根系統訪問虛擬系統

公網用戶通過根系統的公網接口GE1/0/1訪問虛擬系統vsysa下的服務器。
該場景是根系統向虛擬系統發起訪問。報文先進入根系統處理，然後再進入虛擬系統處理。虛擬系統、根系統下的處理方式和虛擬系統訪問根系統時基本相同。
此處也需要注意，虛擬系統中不需要針對服務器迴應的報文配置回程路由。服務器迴應的報文在虛擬系統中匹配會話表後，直接發送到根系統中處理。

虛擬系統互訪 – 虛擬系統間的互訪

虛擬系統之間默認是互相隔離的，不同虛擬系統下的主機不能通信。如果兩個虛擬系統下主機有通信需求，就需要配置策略和路由，使不同虛擬系統能夠互訪。
通過配置虛擬系統間互訪，虛擬系統vsysa下10.3.0.0/24網段的用戶可以訪問虛擬系統vsysb下服務器10.3.1.3。

該場景是虛擬系統vsysa向虛擬系統vsysb發起訪問。報文先進入虛擬系統vsysa，虛擬系統vsysa按照防火牆轉發流程對報文進行處理。然後報文進入虛擬系統vsysb，虛擬系統vsysb再次按照防火牆轉發流程對報文進行處理。具體過程如下：

• 客戶端向服務器發起連接。
• 首包到達防火牆後，基於接口分流，被送入虛擬系統vsysa。vsysa按照防火牆轉發流程對報文進行處理，包括匹配黑名單、查找路由、做NAT、匹配安全策略等等。如果vsysa不允許轉發報文，則丟棄報文，流程結束；如果vsysa允許轉發報文，則將報文送入vsysb中處理。同時，vsysa會爲這條連接建立會話。
• vsysb的虛擬接口Virtual-if2收到報文後，vsysb按照防火牆轉發流程對報文進行處理，包括匹配黑名單、查找路由、做NAT、匹配安全策略等等。如果vsysb不允許轉發報文，則丟棄報文，流程結束；如果vsysb允許轉發報文，則將報文發往服務器。同時，vsysb會爲這條連接建立會話。
• 報文經過路由轉發後，到達目的服務器。

因爲兩個虛擬系統都需要按照防火牆轉發流程對報文進行處理，所以兩個虛擬系統中要分別完成策略、路由等配置。

 

虛擬系統配置部署

在命令行界面，可執行以下命令在系統視圖下使能虛擬系統：
[USG6000]vsys enable

在命令行界面，進入系統視圖下新建資源類，並進入資源類視圖。
resource-class resource-class-name    //進入資源類視圖
在資源類中規劃資源項的保證值和最大值(保證值是指虛擬系統可使用某項資源的最小數量，這部分資源一旦分配給虛擬系統，就被該虛擬系統獨佔；最大值是指虛擬系統可使用某項資源的最大數量，虛擬系統可使用的資源能否達到最大值視其他虛擬系統使用該項資源的情況而定）。
resource-item-limit session reserved-number ipv4-session-reserved-number [ maximum { ipv4-session-maximum-number | equal-to-reserved | unlimited } ]  //指定IPv4會話的最大值和保證值
resource-item-limit session-rate ipv4-session-rate-maximum-number    //指定IPv4新建會話速率的最大值
resource-item-limit policy reserved-number policy-reserved-number    //指定策略的保證值
resource-item-limit online-user { reserved-number online-user-reserved-number | maximum online-user-maximum-number }    //指定在線用戶的保證值和最大值 僅USG6000和NGFW Module支持
resource-item-limit ssl-vpn-concurrent reserved-number ssl-vpn-concurrent-reserved-number    //指定SSL VPN併發用戶的保證值 僅USG6000和NGFW Module支持
resource-item-limit user reserved-number user-reserved-number    //指定用戶的保證值
resource-item-limit user-group reserved-number user-group-reserved-number    //指定用戶組的保證值
resource-item-limit security-group reserved-number security-group-reserved-number    //指定安全組的保證值
resource-item-limit bandwidth bandwidth { entire | inbound | outbound }    //指定最大帶寬

選擇“系統 > 虛擬系統 > 虛擬系統”。單擊“新建”，選擇“基礎配置”頁籤，配置各項參數。 
在命令行界面，可執行以下命令創建虛擬系統併爲其分配資源：
[USG6000]vsys name vsys-name      //創建虛擬系統，並進入虛擬系統的管理視圖
[USG6000-vsys-name]assign resource-class resource-class-name  //爲虛擬系統分配資源類


根據實際組網規劃，爲虛擬系統分配接口或VLAN。
選擇“接口分配及公共接口設定”頁籤，爲虛擬系統分配接口。
可分配的接口包括未被其他虛擬系統使用的三層以太網接口、子接口。
在命令行界面，可執行以下命令在虛擬系統視圖下配置接口資源：
         [USG6000-vsys-name]assign interface interface-type interface-number   //爲虛擬系統分配接口資源
配置帶寬管理時，需要在根系統下將接口設置爲公共接口，以統計虛擬系統的流量。
接口分配完成後，可在接口右側點擊“啓用爲公共接口”選項設置接口爲公網接口。

選擇“VLAN分配”頁籤，爲虛擬系統分配VLAN。
VLAN中包含的二層接口或VLANIF會隨VLAN分配給相應的虛擬系統。
在命令行界面，可執行以下命令在虛擬系統視圖下分配VLAN資源：
         [USG6000-vsys-name]assign vlan vlan-id   //爲虛擬系統分配VLAN資源


選擇“公網IP配置”頁籤，爲虛擬系統分配公網IP地址。
虛擬系統被分配的公網IP地址被應用在NAT、NAT Server和接口的公網IP地址。
“獨佔以下IP地址範圍”表示公網IP地址分配給某個虛擬系統後，不能再分配給其它的虛擬系統。
“共享以下IP地址範圍”表示公網IP地址分配給虛擬系統後，還可以再次分配給其它虛擬系統。
公網IP地址被分配給虛擬系統後，無論使用的是獨佔模式還是共享模式，根系統中都不能再使用該公網IP地址。
在命令行界面，可執行以下命令在虛擬系統視圖下配置公網IP地址：
         [USG6000-vsys-name]assign global-ip start-address end-address { exclusive | free }   //爲虛擬系統分配公網IP地址
公網IP地址被分配給虛擬系統後，無論使用的是exclusive模式還是free模式，根系統中都不能再使用該公網IP地址。

配置案例1

★配置案例2

[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.250.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage enable
[USG6000V1-GigabitEthernet0/0/0]service-manage https permit

R1：
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 13.1.1.254 24

[R1]ip route-static 0.0.0.0 0 1.1.1.1

Web

1.啓動虛擬系統功能
2.新建虛擬系統 vsysa vsysb
3.劃分接口到對應的虛擬系統
g1/0/1 是 vsysa
g1/0/2 是 vsysb

4.在 public下 配置 虛擬防火牆的接口地址
vsysa

vsysb

5.Virtual-if1和2
在虛擬系統上配置
虛擬系統vsysa ：Virtual-if1是非信任區域

虛擬系統vsysb ：Virtual-if2是非信任區域

根系統上的配置
Virtual-if0是信任區域，g1/0/0是非信任區域

6.資源類配置
[FW1]vsys enable
[FW1]vsys name vsysa
[FW1-vsys-vsysa]assign resource-class r0
[FW1]vsys name vsysb
[FW1-vsys-vsysb]assign resource-class r0

7.路由
vsysa

vsysb

根系統上 配置到目的虛擬路由器 vsysa vsysb的兩條靜態路由

8.策略
根牆上

虛擬防火牆vsysa 和 虛擬防火牆vsysb

命令行

1.創建虛擬系統
vsys enable
#
vsys name vsysa 1
 assign interface GigabitEthernet1/0/1
 assign resource-class r0
#
vsys name vsysb 2
 assign interface GigabitEthernet1/0/2
 assign resource-class r0
#

2.配置IP和劃分區域
switch vsys vsysa/vsysb
firewall zone trust
add int g1/0/1 或 g1/0/2
firewall zone untrust
add int virtual-if 1 或 virtual-if 2

3.配置路由
根牆
ip route-static 10.1.1.0 255.255.255.0 vpn-instance vsysa
ip route-static 11.1.1.0 255.255.255.0 vpn-instance vsysb
ip route-static 13.1.1.0 255.255.255.0 1.1.1.2

虛牆vsysa和vsysb:
ip route-static 0.0.0.0 0.0.0.0 public

R1:
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1


4.安全策略 
根牆
security-policy
 rule name pc12_pc3_policy
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  service icmp
  action permit

虛牆 switch vsys vssa/vssb
security-policy
 rule name pc12_pc3_policy
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  service icmp
  action permit

 

排障總結

• 若創建虛擬系統出現故障，一般是License未激活。
• 分配接口未成功，一般是接口被加入到了其他虛擬系統或者是二層接口。
• 當進行虛擬系統間互訪時，需要配置從虛擬防火牆入接口到virtualif接口的安全策略，且虛擬接口一定要加域。
• 虛擬防火牆上需要配置到public的路由。
• 根牆同樣也需要配置路由到對應的vpn-instance中。
• 接口被加入其他虛擬系統導致分配接口失敗，只需將接口從其他虛擬系統移除，重新分配即可。
• 二層接口不能加入虛擬系統的問題可採用將對應vlan加入虛擬系統的辦法實現。

 

額外知識：GRE隧道傳輸

GRE是明文傳輸

1.R1配置直連路由
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 110.1.1.2 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 202.1.1.2 24

2.建立安全區域
FW1/FW2：
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface GigabitEthernet1/0/1
#


3.防火牆配置路由，爲了保證公網時間可達
運營商肯定能保證公網可達，但我們這裏用靜態路由
[FW1]ip route-static 202.1.1.0 24 110.1.1.2
[FW2]ip route-static 110.1.1.0 24 202.1.1.2

4.建立隧道
[FW1]int Tunnel 1
[FW1-Tunnel1]ip add 192.168.12.1 24
[FW1-Tunnel1]tunnel-protocol gre
[FW1-Tunnel1]source 110.1.1.1
[FW1-Tunnel1]destination 202.1.1.1

FW2：
interface Tunnel1
 ip address 192.168.12.2 255.255.255.0
 tunnel-protocol gre
 source 202.1.1.1
 destination 110.1.1.1


5.將隧道口劃分到 非信任區域
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int Tunnel 1

[FW2]firewall zone untrust 
[FW2-zone-untrust]add int Tunnel 1


6.配置gre策略，放行流量
GRE策略配置，放行GRE協議報文
FW1/FW2
security-policy
 rule name gre_policy
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service protocol 47
  action permit

放行流量
security-policy
 rule name pc_policy
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  service icmp
  action permit

7.防火牆配置GRE路由
[FW1]ip route-static 172.16.1.0 24 Tunnel 1
[FW2]ip route-static 10.1.1.0 24 Tunnel 1