华为USG6360 USG6350 USG6330下一代防火墙通过虚拟系统实现云计算中心网关

华为USG6360 USG6350 USG6330下一代防火墙通过虚拟系统实现云计算中心网关!

本示例通过配置虚拟系统实现了针对云计算服务器中心的保护。

组网需求

云计算数据中心采用NGFW用于网关出口的安全防护,实际的要求如下:

  • 每个购买云服务的企业或个人都属于数据中心的客户,可以独自管理和访问属于自己的服务器资源。
  • NGFW虽然只有一个公网接口,但是公网IP地址数量比较充足。通过在NGFW上配置服务器映射(NAT Server),客户可以通过独立的公网IP地址访问属于自己的服务器资源。
  • 由于企业A和企业B的业务量差不多,所以两家公司购买的虚拟系统资源相同。会话数保证值10000条,最大值50000条。最大带宽100000kpbs。

通过虚拟系统就可以实现上述需求。组网图如图1所示。

图1 云计算中心的安全网关组网图

数据规划

项目 数据 说明
root 公网接口:GE1/0/1
公网接口IP地址:1.1.1.1/24
公网接口所属安全区域:Untrust
私网接口:root的虚拟接口Virtualif0
私网接口所属安全区域:Trust
运营商接入网关IP地址:1.1.1.254/24
在本例中,所有内网服务器通过根系统的公网接口对外提供服务。
VSYSA 虚拟系统名:VSYSA
公网接口:VSYSA的虚拟接口
公网接口所属安全区域:Untrust
私网接口:GE1/0/2.1
私网接口IP地址:10.3.0.1/24
私网地址范围:10.3.0.0/24
私网接口所属安全区域:Trust
对外提供服务的服务器私网地址和端口:10.3.0.2:80
服务器对外提供的公网地址和端口:1.1.1.2:8080
在本例中,通过配置服务器映射可以让企业A的用户通过1.1.1.2这个地址访问到10.3.0.2这个服务器。
另外,虚拟系统由根系统管理员统一配置和管理,不需要为虚拟系统配置管理员。
VSYSB 虚拟系统名:VSYSB
公网接口:VSYSB的虚拟接口
公网接口所属安全区域:Untrust
私网接口:GE1/0/2.2
私网接口IP地址:10.3.1.1/24
私网地址范围:10.3.1.0/24
私网接口所属安全区域:Trust
对外提供服务的服务器私网地址和端口:10.3.1.2:80
服务器对外提供的公网地址和端口:1.1.1.3:8080
在本例中,通过配置服务器映射可以让企业B的用户通过1.1.1.3这个地址访问到10.3.1.2这个服务器。
另外,虚拟系统由根系统管理员统一配置和管理,不需要为虚拟系统配置管理员。
资源类 名称:r1
会话保证值:10000
会话最大值:50000
最大带宽:100000Kpbs
在本例中,两家企业的需求一样,所以只需新建一个资源类,分别与两个虚拟系统绑定即可。

配置思路

  1. 根系统管理员分别创建虚拟系统VSYSA和VSYSB,并分配系统资源。
  2. 在GE1/0/2上创建子接口GE1/0/2.1和GE1/0/2.2,并分别分配给虚拟系统VSYSA和VSYSB,作为VSYSA和VSYSB的私网接口。
  3. 根系统管理员分别为虚拟系统VSYSA和VSYSB配置服务器映射。
  4. 根系统管理员分别为虚拟系统VSYSA和VSYSB配置路由和安全策略。

   华为下一代防火墙产品货架: 

USG6510-SJJ-AC 华为下一代防火墙

型号:USG6510-SJJ-AC

USG6390-BDL-AC 华为下一代防火墙

型号:USG6390-BDL-AC

USG6390-BDL-AC 华为下一代防火墙

型号:USG6390-AC

USG6390-BDL-AC 华为下一代防火墙

型号:USG6380-BDL-AC

USG6390-BDL-AC 华为下一代防火墙

型号:USG6380-AC

USG6390-BDL-AC 华为下一代防火墙

型号:USG6370-BDL-AC

USG6390-BDL-AC 华为下一代防火墙

型号:USG6370-AC

USG6360-BDL-AC 华为下一代防火墙

型号:USG6360-BDL-AC

USG6360-BDL-AC 华为下一代防火墙

型号:USG6360-AC

USG6360-BDL-AC 华为下一代防火墙

型号:USG6350-BDL-AC

USG6360-BDL-AC 华为下一代防火墙

型号:USG6350-AC

USG6360-BDL-AC 华为下一代防火墙

型号:USG6330-BDL-AC

USG6360-BDL-AC 华为下一代防火墙

型号:USG6330-AC

USG6320-BDL-AC 华为下一代防火墙

型号:USG6320-BDL-AC

USG6320-BDL-AC 华为下一代防火墙

型号:USG6320-AC

USG6320-BDL-AC 华为下一代防火墙

型号:USG6310-AC