PT废水站改造施工方案20160323

2007.08HUAWEITECHNOLOGIESCo.,Ltd.内部公开E1000E培训胶片——虚拟防火墙网络安全产品族HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage2汇报提纲虚拟防火墙技术背景介绍虚拟防火墙简介虚拟防火墙的创建/删除绑定虚拟防火墙支持ARP多实例支持IPBIND多实例支持NAT地址池多实例支持NATSERVER多实例支持ACL多实例支持包过滤多实例支持攻击防范多实例支持黑名单多实例跨虚拟防火墙的转发HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage3虚拟防火墙技术背景介绍实现虚拟防火墙的目的：虚拟防火墙的提出主要是为了满足多用户的租用，让一台物理防火墙实现多台防火墙的效果每个用户就好象拥有自己单独的防火墙一样虚拟防火墙的配置多实例：虚拟防火墙可以动态创建，是逻辑上的，每一个虚拟防火墙转发实例都对应一个配置视图虚拟防火墙配置视图下的用户只能配置与该虚拟防火墙实例相关的配置，以及查看相关数据。根防火墙的管理用户可以配置和管理根防火墙和所有虚拟防火墙。Vfw3-trustSfw-untrustVPN-Instance3Vfw1-trustVfw2-trustVPN-Instance2Sfw-dmzSfw-trustVfw3Vfw2Vfw1SfwVfw3-untrustVfw2-untrustVfw1-dmzSfw-vzoneVfw1-vzoneVfw2-vzoneVfw3-trustVfw3-dmzVfw2-dmzVfw1-untrustVPN-Instance1HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage4汇报提纲虚拟防火墙技术背景介绍虚拟防火墙简介虚拟防火墙的创建/删除绑定虚拟防火墙支持ARP多实例支持IPBIND多实例支持NAT地址池多实例支持NATSERVER多实例支持ACL多实例支持包过滤多实例支持攻击防范多实例支持黑名单多实例跨虚拟防火墙的转发HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage5虚拟防火墙简介虚拟防火墙的转发多实例：为了给虚拟防火墙提供私有的转发业务，E1000E实现虚拟防火墙的转发多实例。虚拟防火墙的转发多实例具有私有的路由转发平面，包括路由表、session表、ARP表、MAC转发表等转发数据。路由模式下的跨虚拟防火墙转发：在路由模式下，不同虚拟防火墙下的网络可以属于不同网段的IP网络，也可以是同网段（虚拟防火墙之间支持地址重叠），由于不同虚拟防火墙的路由是相互隔离的，需要在不同虚拟防火墙之间转发就必须配置静态路由。透明模式和混合模式下不支持跨虚拟防火墙转发：透明模式下的转发是基于MAC的二层转发，混合模式下也有二层接口，也是基于MAC的二层转发，每个虚拟防火墙都属于不同VLAN，需要实现跨虚拟防火墙转发就必须能跨VLAN转发，目前E1000E还不支持跨VLAN转发，所以在透明模式或混合模式下还不支持跨虚拟防火墙转发。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage6虚拟防火墙简介虚拟防火墙的安全多实例：为了给虚拟防火墙提供私有的安全服务，需要有虚拟防火墙的安全多实例，虚拟防火墙都有自己私有的安全域。对从接口接收的报文，需要根据配置确定报文所属的虚拟防火墙及虚拟防火墙的域，这对路由接口和透明接口有所不同：路由接口：路由接口通过创建子接口接受不同VLAN的报文，每个子接口只能属于1个VLAN，且同一个主接口下的子接口不能有相同的VLAN，这样通过接口绑定虚拟防火墙及加入虚拟防火墙的安全域，就可以唯一确定报文所属的虚拟防火墙及安全域。透明接口：透明接口不能创建子接口，但是同一个透明接口可以属于多个不同的VLAN，这样可以通过VLAN绑定虚拟防火墙，一个VLAN只能绑定一个虚拟防火墙，以及接口加入安全域，可以加入多个虚拟防火墙的安全域，这样就可通过报文所属的VLAN，确定报文所属的虚拟防火墙，再通过接口报文的入接口确定报文所属虚拟防火墙的域。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage7虚拟防火墙简介虚拟防火墙用户的登陆方式：在对防火墙配置时，根防火墙用户可以通过console、web、telnet、SSH登陆进行配置管理，虚拟防火墙用户只能通过web/telnet/ssh进行配置管理，在进行AAA验证时获取虚拟防火墙用户的VPNID，从而可以限定虚拟防火墙用户只能对特定虚拟防火墙进行配置。虚拟防火墙的规格：E1000E支持最多有99个虚拟防火墙，由liecence文件控制，缺省情况下只能创建1个虚拟防火墙。虚拟防火墙最多可以由8个安全域，而根防火墙最多可以由16个安全域。在路由模式下，缺省有LOCAL、TRUST、DMZ、UNTRUST、VZONE五个安全域。在混合模式或透明模式下，缺省有LOCAL、TRUST、DMZ、UNTRUST，没有VZONE域（由于不用支持跨虚拟防火墙转发，所以没有VZONE域）。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage8汇报提纲虚拟防火墙技术背景介绍虚拟防火墙简介虚拟防火墙的创建/删除绑定虚拟防火墙支持ARP多实例支持IPBIND多实例支持NAT地址池多实例支持NATSERVER多实例支持ACL多实例支持包过滤多实例支持攻击防范多实例支持黑名单多实例跨虚拟防火墙的转发HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage9虚拟防火墙的创建/删除虚拟防火墙的创建/删除：虚拟防火墙在根防火墙的管理用户下创建删除。命令如下：创建一个虚拟防火墙并指定它的编号：[E1000E]ipvpn-instancevfwnamevpn-idinteger通过虚拟防火墙名字删除指定的虚拟防火墙：[E1000E]undoipvpn-instancevfwname设置虚拟防火墙的路由标识：创建虚拟防火墙必须指定路由表示才可用。命令如下：[E1000E-vpn-vfwname]route-distinguisherASN:nn/Ipaddress:nn现在就可以对该虚拟防火墙进行配置了。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage10汇报提纲虚拟防火墙技术背景介绍虚拟防火墙简介虚拟防火墙的创建/删除绑定虚拟防火墙支持ARP多实例支持IPBIND多实例支持NAT地址池多实例支持NATSERVER多实例支持ACL多实例支持包过滤多实例支持攻击防范多实例支持黑名单多实例跨虚拟防火墙的转发HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage11绑定虚拟防火墙接口绑定虚拟防火墙和去绑定：只有路由接口才能绑定虚拟防火墙，在接口绑定虚拟防火墙和去绑定时，接口上原来的IP地址会被删除，需要在邦定后重新配置IP地址。接口在绑定任何虚拟防火墙时默认属于根防火墙。命令如下：[E1000E-GigabitEthernet0/0/2]ipbindingvpn-instancevfwname[E1000E-GigabitEthernet0/0/2]undoipbindingvpn-instancevfwnameVLAN绑定虚拟防火墙和去绑定：当接口工作在二层模式时，不能将接口绑定在虚拟防火墙上，只能将接口所属的VLAN和虚拟防火墙绑定。当将一个VLAN和虚拟防火墙绑定时，该VLAN下的所有接口都和该虚拟防火墙关联。一个虚拟防火墙只能关联一个VLAN，一个VLAN也只能绑定到一个虚拟防火墙（目前设计暂时是这样，可以考虑多个VLAN绑定同一虚拟防火墙的特性）。命令如下：[E1000E-vlan-103]bindingvpn-instancevfwname[E1000E-vlan-103]undobindingvpn-instancevfwnameHUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage12汇报提纲虚拟防火墙技术背景介绍虚拟防火墙简介虚拟防火墙的创建/删除绑定虚拟防火墙支持ARP多实例支持IPBIND多实例支持NAT地址池多实例支持NATSERVER多实例支持ACL多实例支持包过滤多实例支持攻击防范多实例支持黑名单多实例跨虚拟防火墙的转发HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage13支持ARP多实例静态ARP多实例：根用户在配置静态ARP时，按照配置命令中指定的虚拟防火墙名称确定ARP表项所属的虚拟防火墙。该改表项只能在改虚拟防火墙有效。虚拟防火墙用户在配置ARP时，按照该用户所属的虚拟防火墙记录ARP表项，该表项只能在该虚拟防火墙下有效。命令如下：[E1000E]arpstaticX.X.X.XH-H-Hvpn-instancevfwname[E1000E@vfw-vfwsystem]arpstaticX.X.X.XH-H-H动态学习ARP多实例：对于ARP报文，根据入接口所属的虚拟防火墙生成相应的表项，该ARP表项只在该虚拟防火墙下有效。ARP查找多实例：数据报文发送前需要查找下一跳的ARP以封装MAC头的目的MAC，此时只在报文的目的虚拟防火墙下的ARP表中查找，进行二层封装后转发。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage14汇报提纲虚拟防火墙技术背景介绍虚拟防火墙简介虚拟防火墙的创建/删除绑定虚拟防火墙支持ARP多实例支持IPBIND多实例支持NAT地址池多实例支持NATSERVER多实例支持ACL多实例支持包过滤多实例支持攻击防范多实例支持黑名单多实例跨虚拟防火墙的转发HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage15支持IPBIND多实例IPBIND配置多实例：根用户在配置地址绑定命令时，按照配置命令中指定的虚拟防火墙名称确定地址绑定表项所属的虚拟防火墙，该地址绑定表项只在该虚拟防火墙下有效。虚拟防火墙用户在配置地址绑定命令时，根据用户所属的虚拟防火墙确定表项所属的虚拟防火墙，该地址绑定表项只在该虚拟防火墙下有效。[E1000E]firewallmac-bindingipaddressmacvpn-instancevpnname[E1000E@vfw-vfwsystem]firewallmac-binding5.5.5.500e0-3333-4444IPBIND转发多实例：对于收到的数据报文，根据接口的二三层属性有不同的处理：路由接口：根据报文的入接口所属的虚拟防火墙，在该虚拟防火墙下查找IP绑定表。透明接口：识别出数据报文的VLANID，到该VLAN所属的虚拟防火墙下查找查找IP绑定表。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage16汇报提纲虚拟防火墙技术背景介绍虚拟防火墙简介虚拟防火墙的创建/删除绑定虚拟防火墙支持ARP多实例支持IPBIND多实例支持NAT地址池多实例支持NATSERVER多实例支持ACL多实例支持包过滤多实例支持攻击防范多实例支持黑名单多实例跨虚拟防火墙的转发HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage17支持NAT地址池多实例NAT地址池配置多实例：根用