Notas del estudio: Sistema virtual de FW

Others 2020-03-12 20:44:39 views: null

virtual Firewall

Introducción general

• Firewall Virtual (Virtual System) se reparte en un dispositivo físico único múltiples dispositivos lógicos independientes. Cada cortafuegos virtual es equivalente a un dispositivo real, con su propia interfaz, el conjunto de direcciones, el usuario / grupo, las entradas de la tabla de enrutamiento, y las políticas y puede ser configurado y gestionado a través de un administrador de servidor de seguridad virtual.

Características del cortafuegos virtuales:

• independencia de gestión
para cada cortafuegos virtual es gestionado por un administrador independiente, por lo que la gestión de múltiples cortafuegos virtual más clara y simple, es ideal para entornos de red a gran escala.
• entrada separada
para cada cortafuegos virtual tiene una configuración independiente y enrutamiento entradas de la tabla, lo que hace que el área local bajo los firewalls virtuales incluso utilizar el mismo rango de direcciones, aún puede comunicarse correctamente.
• recursos fijos
pueden ser asignados para cada cortafuegos virtual cortafuegos fijado recursos para asegurar un cortafuegos virtual no afectará a otros servidores de seguridad ocupadas virtuales.
Aislamiento • Tráfico
tráfico de firewall virtual entre aislados unos de otros, más seguro. Cuando sea necesario, entre el firewall virtual también puede ser visitas seguras.
• Virtual Firewall permite el uso eficiente de los recursos de hardware, ahorrando costos de espacio, energía y gestión.

escenarios

• medianas empresas suelen desplegar un multi-red, el gran número de dispositivos, entorno de red compleja. Y con el aumento de escala de las empresas comerciales, divisiones y funciones de negocio se ha vuelto cada vez más claro reparto de responsabilidades, cada departamento tendrá diferentes necesidades de seguridad. Ello conducirá a la configuración del cortafuegos muy complejo, administradores y propenso a errores. Virtualización de servidores de seguridad de tecnología, aislamiento de la red se puede lograr sobre la base de que la gestión empresarial más clara y sencilla.
• La red de varios departamentos para aislar por varios cortafuegos virtuales. Varios departamentos de la gestión de cortafuegos virtual por el administrador de TI del departamento. Cada administrador puede configurar diferentes políticas de autenticación de acceso, la política de seguridad, y otra política de ancho de banda de acuerdo con sus propios requisitos del departamento.
Pueden tener acceso a otra de acuerdo con privilegios de administrador para distinguir claramente entre departamentos diferentes departamentos •. conectividad a Internet a través de diversos servicios comunes interfaz raíz del servidor de seguridad. usuarios de la intranet pueden acceder a Internet en diferentes departamentos bajo la autoridad de un sitio web en particular (o recursos de la intranet).

• La tecnología de computación en la nube emergentes, la idea central es que los recursos de red y potencia de cálculo almacenada en la nube de red. Los usuarios sólo necesitan tener acceso a la red a través de la red pública del terminal de red, puede acceder a los recursos de red adecuados a utilizar el servicio correspondiente. En este proceso, el aislamiento de tráfico entre diferentes usuarios, la seguridad y la asignación de recursos es una parte muy importante. Mediante la configuración del cortafuegos virtual, puede dejar que el servidor de seguridad desplegado en la nube de computación centros tienen la capacidad de exportar la puerta de entrada de nubes, mientras que el aislamiento de tráfico de usuario proporciona una fuerte protección de seguridad.

principio Virtual Firewall

• Hay dos tipos de cortafuegos virtuales en NGFW:
• Raíz cortafuegos (público):
raíz O firewall es un firewall en que existe un defecto cortafuegos virtual especial. Incluso cortafuegos virtual no está activado, la raíz cortafuegos todavía existe. En este caso, el administrador de la configuración del cortafuegos es equivalente a la configuración del cortafuegos de la raíz. Permitiendo virtual de cortafuegos, raíz de servidor de seguridad configurado previamente heredará el servidor de seguridad.
o En el cortafuegos virtual esta característica, la raíz es la gestión de cortafuegos otro firewall virtual, y proporcionar servicios para la comunicación entre el servidor de seguridad virtual.
• cortafuegos virtual (vsys):
cortafuegos virtual está tallada en el cortafuegos, ejecutar de forma independiente de los dispositivos lógicos.
• Con el fin de lograr cada negocio de expedición de cortafuegos virtual son capaces de hacer lo correcto, independiente de la administración, aislamiento mutuo, el logro principal del cortafuegos de los aspectos de virtualización:
• virtualización de recursos: Cada servidor de seguridad virtual tiene recursos exclusivos, incluyendo interfases, VLAN, sesiones de estrategia y así sucesivamente. administrador del cortafuegos raíz se asigna a cada cortafuegos virtual, auto-administrado y utilizado por cada cortafuegos virtual.
• Configuración de virtualización: Cada servidor de seguridad virtual tiene un administrador independiente y la interfaz de configuración de cortafuegos virtual, cada uno de los administradores de cortafuegos virtuales pueden gestionar su propio cortafuegos virtual pertenece.
• Características de seguridad de virtualización: Cada cortafuegos virtual puede configurarse independientemente de las políticas de seguridad y otras características de seguridad, sólo una parte del paquete de cortafuegos virtual se verán afectados por estas configuraciones.
• Ruta de virtualización: Cada servidor de seguridad virtual tiene su propia tabla de enrutamiento, el aislamiento independiente. Actualmente sólo es compatible con la virtualización de enrutamiento estático.
• Los administradores de modo que cada cortafuegos virtual es como usar un dispositivo representaron independencia.

Ejemplos de red privada virtual

• El concepto de red privada virtual -instance inicialmente en BGP / MPLS de red privada virtual se introduce en su papel principal es el aislamiento de red privada virtual y la red pública de enrutamiento y enrutamiento diferente aislamiento de la red privada virtual. El uso de un -instance red privada virtual, que puede ser una pluralidad de enrutador virtual independiente en un enrutador para el enrutamiento en un aislamiento de la red IP. En el servidor de seguridad, y -instance red privada virtual.

Virtual instancia red privada en la NGFW incluyen las dos formas siguientes:
casos de redes privadas virtuales se generan automáticamente cuando se crea un cortafuegos virtuales •
casos o Cuando la creación de un cortafuegos virtual, red privada virtual se genera automáticamente con el mismo nombre. El papel principal de la red privada virtual es un ejemplo de encaminamiento de tráfico de aislamiento y cuarentena (rutas estáticas).
o Que los cortafuegos virtuales en el fondo del negocio de expedición todavía se basa en -instance virtual de la red privada de lograr, pero en el negocio de virtualización superior cuando es dependiente ya no en un -instance red privada virtual. Manejo de cortafuegos virtual es como una gestión verdaderamente independiente de los dispositivos, la configuración sólo tiene que operar en un cortafuegos virtual, y sin la necesidad de configurar una red privada virtual -instance vinculado a simplificar en gran medida el trabajo del administrador.
administrador de red privada virtual para crear manualmente la instancia •
o administradores de utilizar una red privada virtual IP de comandos ejemplo -instance red privada virtual para crear manualmente la red privada virtual se utiliza principalmente para el escenario de ejemplo MPLS, el papel de enrutamiento de aislamiento. Sin virtualización de las funciones de red privada virtual necesaria para configurar la instancia de múltiples instancias, tales como el enrutamiento dinámico, multidifusión, la red privada virtual IPSec, L2TP red privada virtual y similares. Estamos hablando de una red privada virtual para la instancia de enrutamiento aislado, se refiere a un administrador de red privada virtual creada manualmente ejemplo.

administrador

administrador del servidor de seguridad de la raíz
• La función de cortafuegos virtual está activada, el administrador tiene el dispositivo se convierte en la raíz del administrador del servidor de seguridad. Los administradores de registro, gestión de permisos, autenticación, etc. permanecen sin cambios. Raíz administrador de servidor de seguridad responsable de la gestión y mantenimiento del equipo, configurar el servidor de seguridad empresarial raíz.
• Sólo los administradores de firewall firewall virtual de raíces tienen privilegios administrativos pueden estar asociados con una configuración de cortafuegos virtual, como la creación, supresión cortafuegos virtual, cortafuegos virtual que asigne recursos.

Virtual administrador del cortafuegos
• Después de crear un cortafuegos virtual, administrador del cortafuegos root puede crear uno o más virtual administrador del cortafuegos. administrador del alcance y cortafuegos raíz del administrador del servidor de seguridad virtual es diferente: los administradores de firewalls virtuales sólo pueden entrar en la interfaz de configuración de cortafuegos virtual a la que pertenece, se pueden configurar y vista del negocio se limita a los cortafuegos virtual; administrador del cortafuegos de la raíz puede acceso a toda la interfaz de configuración de cortafuegos virtual, si es necesario, un cortafuegos virtual puede ser configurado en cualquier negocio.
• Con el fin de identificar correctamente el administrador de cada cortafuegos virtual pertenece, cortafuegos virtual nombre de usuario administrador formato unificado para el "nombre del administrador nombre de cortafuegos virtual @@."

La asignación de recursos

• la asignación de recursos para apoyar NGFW una cuota o manualmente asignar otros recursos para aprovechar los materiales compartidos con cada cortafuegos virtual.

Asignación de cuotas
realizada directamente por el servidor de seguridad • dichos recursos de acuerdo con las especificaciones asignadas automáticamente.
• Lista de recursos: SSL red privada virtual de puerta de enlace virtual, zona segura.
Manual asignados
• dichos recursos por parte del usuario de la línea de comandos de recursos asignar manualmente oa través de una interfaz web.
• Lista de recursos: interfaces, VLAN, IP públicas, sesiones de IPv4, sesiones IPv6, IPv4 nueva tasa sesión, IPv6 nueva tasa de la sesión, el número de usuarios, SSL número de red privada virtual de usuarios simultáneos, número de usuarios, grupos de usuarios, la seguridad número del grupo, número de póliza, el ancho de banda.
• Configurable en el aire y el tiempo máximo para asignar recursos de forma manual
• Asegurar valor: cortafuegos virtual puede utilizar un recurso de una cantidad mínima. Una vez que esta parte de los recursos asignados al cortafuegos virtual, cortafuegos virtual que era exclusivo.
• Máximo: El número máximo de cortafuegos virtual puede utilizar un recurso. recursos de cortafuegos virtuales que se pueden utilizar puede alcanzar el valor máximo depende de otros cortafuegos virtual para utilizar los recursos puede ser.
• Compartir aprovechar los recursos: direcciones y grupos de direcciones, y los grupos regionales, grupos de servicio a medida y servicios personalizados, aplicaciones personalizadas y el grupo de aplicaciones a medida, piscina NAT dirección, el período de tiempo, canales de ancho de banda, una entrada de ruta estática, varias mesas artículos, tales como tabla de servidor de ruta, IP-MAC vinculante dirección de la tabla, la tabla ARP, tabla de direcciones MAC y similares.

cálculo de flujo

Interfaz pública se utiliza principalmente para el tráfico de cortafuegos virtual estadística. Se refiere a la configuración de la red pública conjunto interfaz pública-interfaz en la interfaz para el comando. Se refiere a las interfaces de red privada interfaz no está configurado para establecer público-interfaz.
• Un servidor de seguridad virtual tiene dos interfaces de red pública y dos interfaces de red privada. Un cortafuegos virtual tráfico entrante, el tráfico saliente y el tráfico global de la siguiente manera:
• la dirección (de entrada) de tráfico: el flujo de tráfico a la interfaz de red privada desde la red pública. Recepción de ancho de banda entrante.
• la dirección (saliente) del tráfico: el flujo de tráfico de la interfaz de red privada a la interfaz de red pública. Dirección por las limitaciones de ancho de banda.
• conjunto (toda) de tráfico: todos los cortafuegos virtual tráfico = + de salida de flujo de tráfico entrante tráfico + + interfaces de red privada a la red pública interfaces de interfaz de red privada a la interfaz de red de tráfico público. En general el tráfico por el ancho de banda total.
• escenario a través de reenvío cortafuegos virtual, virtual, si la interfaz (Interfaz Virtual) por defecto a la red pública.

derivación

• Se utiliza para determinar la relación de paquetes y la propiedad cortafuegos virtual que se denomina desviación. Se puede entrar en el dispositivo a través de los paquetes de derivación para el procesamiento de cortafuegos virtual correcto.
• Firewall soporta dos tipos de VLAN shunt-shunt y la interfaz basada en la derivación basado en.
• La interfaz basada en sistema de derivación: La interfaz trabaja en tres capas.
el modo de derivación según la VLAN •: la interfaz para el trabajo en el segundo piso.
Cuando el cortafuegos virtual no está configurado • FW, los paquetes se manejan directamente desde la raíz en el servidor de seguridad para las políticas de firewall y la entrada (tabla de sesiones, la tabla de direcciones MAC, tablas de rutas, etc.). configuración del cortafuegos virtual en la FW, cada cortafuegos virtual es equivalente a un dispositivo autónomo, el paquete sólo se procesa de acuerdo con las políticas y entradas dentro de un cortafuegos virtual. Por lo tanto, el paquete entra en el servidor de seguridad, primero debe determinar la relación de propiedad entre los paquetes y cortafuegos virtual, cortafuegos virtual para determinar que entró su procesamiento. Vamos a determinar el paquete con el proceso de atribución de cortafuegos virtual llamada derivación.

Interfaz virtual

• interfaz virtual es una interfaz lógica para el servidor de seguridad se crea automáticamente cuando se crea un cortafuegos virtual, cortafuegos virtual como una comunicación entre él mismo y otra interfaz cortafuegos virtual. El valor por defecto del cortafuegos, y entre los respectivos raíz virtual conexiones de interfaz virtual a través del firewall de un "enlace virtual." Por interfaces virtuales a las zonas de seguridad y configurar el enrutamiento y la configuración de política de acuerdo con el intercambio de visitas entre la idea de equipos en general, podemos lograr el intercambio de visitas y la raíz cortafuegos cortafuegos virtual, cortafuegos virtual entre las visitas.
• Virtual capa de enlace y protocolo de la capa de la interfaz es siempre de. interfaces virtuales no pueden configurar la dirección IP, pero debe ser añadido a la zona, o no funciona correctamente. Nombre del formato de interfaz virtual para "virtual -si + número de interfaz", la raíz de la interfaz de servidor de seguridad virtual denominado Virtual-if0, otros firewalls virtuales Virtual-si la interfaz Nº 1 desde el principio, se asigna automáticamente en base a ocupación número de interfaz de servidor de seguridad.

La comunicación con cortafuegos y cortafuegos virtual

Aquí Insertar imagen Descripción
• cortafuegos vsysa usuario 10.3.0.0/24 segmento de red virtual para acceder al servidor raíz de Internet 3.3.3.3 a través de la interfaz pública cortafuegos GE1 / 0/1.
• Los iniciados cliente una conexión con el servidor.
• Después de la primer paquete llega al cortafuegos, interfaz basada en derivación, se envía a un vsysa cortafuegos virtual. vsysa proceso de expedición de acuerdo con el servidor de seguridad para el procesamiento de paquetes, incluyendo la comparación de la lista de negro, encontrar la ruta, no NAT, las directivas IPSec y así sucesivamente. Si vsysa no se les permite enviar paquetes, los paquetes se descartan, los extremos de proceso; si vsysa permitir el reenvío de paquetes, a continuación, envía los paquetes al tratamiento firewall raíz. Mientras tanto, vsysa establecerá una sesión para esta conexión.
• La raíz interfaz de cortafuegos virtual Virtual-if0 recibir mensajes, de acuerdo a la raíz impermeable cortafuegos proceso para el procesamiento de paquetes, incluyendo la comparación de la lista de negro, encontrar la ruta de tránsito para hacer NAT, las directivas IPSec y así sucesivamente. Si la raíz cortafuegos no permite reenviar paquetes, los paquetes se descartan, el proceso termina, y si la raíz cortafuegos permite reenviar paquetes, y lo envía a será informado el servidor. Al mismo tiempo, la raíz del servidor de seguridad establecerá la siguiente sesión para esta conexión.
• Después de encaminar los paquetes reenviados al servidor de destino.
• Después de que el paquete de retorno llega al cortafuegos para que coincida con la tabla de sesiones cortafuegos raíz remitido a los cortafuegos virtuales A, A debe tener rutas de la red de cortafuegos virtuales. cortafuegos raíz no necesitan responder a la configuración del servidor de mensajes para la ruta de regreso. Después de la respuesta del servidor paquete coincidente sesión de mesa en el servidor de seguridad de la raíz, enviado directamente a un procesamiento de cortafuegos virtual.

La comunicación entre la comunicación similar a un cortafuegos virtual entre el servidor de seguridad y cortafuegos virtual y firewall virtual con

TKE_yinian
Publicado 10 artículos originales · ganado elogios 8 · vistas 1432
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/TKE_yinian/article/details/104776741
Recomendado
Clasificación
Diario
Más
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)

Code World

© 2018 codetd.com