开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 系统运维 -> 华为防火墙虚拟系统的适用场景与个人评价以及NAT相关操作下安全策略的配置解释 -> 正文阅读

[系统运维]华为防火墙虚拟系统的适用场景与个人评价以及NAT相关操作下安全策略的配置解释

我翻了一圈它的产品文档，发现文档中给出的场景大多是防火墙下联一个区域，什么意思？也就是防火墙一个接口代表一个区域，一个范围，然后这个范围由虚拟子系统进行管理，如下图：

?可以看到一般都是防火墙下联多区域的情况，如果是基于接口分流的这种情况，我们必须保证防火墙下联的区域的流量是单区域的，不能是多区域混杂的，否则将无法起到单个虚拟子系统管理单区域的效果，这当然是我们不想看到的。如果是基于VLAN分流的，那么就需要我们将防火墙设置为透明模式，以便可以接收采纳到多个vlan的流量，其实这种基于VLAN的分流可以帮助我们节省相关的接口开销。

对于上面的应用场景其实还算比较经典和简单的，而且虚拟系统的子系统无法实现vrrp，也就是无法进行双机热备，如果要实现双机热备只能在根系统上实现，而且如果将网络搭建成比较常见的三层：接入，汇聚，核心，那么虚拟系统的管理的难度将逐步上升，如果在核心下面两层有做冗余，那么将无法使用物理接口进行虚拟子系统的分流，那么将只能基于VLAN进行分流，因为物理接口下不只是单区域了，冗余的增加使得区域之间的流量交错纵横。结果就是导致难度将会进一步提升。所以除非真的是需要进行管理权的分离，否则我是觉得不开启虚拟子系统反而管理更简单。

使用虚拟子系统需要考虑的问题?

nat server

在虚拟子系统中，实现nat server的方式有三种，一种是将物理接口分配给虚拟子系统，然后外部流量直接流入虚拟子系统进行nat server，另一种是在根系统进行nat server的转换，然后外部的nat server流量交给根系统，由根系统进行转发后再转交给虚拟子系统，还有一种情况是根系统不做nat server的转换，当他接收到nat server的流量后将其原封不动地转发到虚拟子系统中，那么针对这三种情况，安全策略的放行也有三种对应的写法，针对第一种，我们的放行的安全策略的目的地址是私网的服务器地址，而第二种放行的安全策略的目的地址是同样也是私网的服务器地址，对于第三种放行的安全策略的目的地址放行的是nat server公布出来的公网地址。为什么？原因如下：

针对第一种：

因为第一种是直接流入虚拟子系统的，所以我们需要在虚拟子系统上创建安全策略，因为虚拟子系统在接收到该流量的时候，会因为server-map的缘故会直接进行地址的转换，然后它才会进行安全策略的匹配，所以我们需要放行的是目的地址为私网服务器地址的流量。

针对第二种

因为第二种是先流入根系统进行nat server的公布和转换的，所以我们不仅要在根系统上面配置安全策略，也要在虚拟子系统上面配置安全策略，对于根系统来说，它要放行的安全策略针对的是目的地址是内网服务器地址的流量，因为到根系统的流量首先会进行server-map的转换后才会进行安全策略的匹配，所以安全策略需要放行目的地址为内网服务器地址的流量。同时虚拟子系统设置的安全策略主要针对也是目的地址为内网服务器地址的流量，因为流量在经过根系统的转换后，目的IP将不会再做改变，所以虚拟子系统放行的安全策略抓住目的地址即可

针对第三种

为什么第三种这么怪？首先在第三种情况下，虚拟子系统并没有分配到物理接口，它还是借助根系统才接收到natserver的流量，但是此时根系统并没有进行nat server转换，nat server的转换主要借助的是虚拟子系统本身，所以对于根系统来说，它的安全策略主要针对的就是nat server公布出来的公网地址即可，但是对于虚拟子系统来说，它会先进行nat server的转换，然后才会进行安全策略的匹配，所以配置了的安全策略针对的是目的地址为内网服务器地址。

源NAT

在加入虚拟子系统的情况下，源NAT需要考虑的东西也很多，部署方式也很多样，同样的源NAT可以直接部署在虚拟子系统上，也可以由根系统承载所有虚拟子系统的源NAT功能，我们同样需要考虑在地址转换的情况下，安全策略应该如何设置。

第一种

源NAT在虚拟子系统上实现，且具备出去的公网接口。那么在这种情况下，地址转换的任务就直接交给了虚拟子系统，那么就只需要在虚拟子系统上面配置针对内网到外网的安全策略。

第二种

源NAT在虚拟子系统上实现，但是虚拟子系统没有出公网的接口，流量需要根系统做中介，那么这个时候根系统和虚拟子系统都需要考虑安全策略的书写，这个时候我们可以放行根系统的vlanif接口到外网区域的流量，也可以针对虚拟子系统源NAT转换的地址做安全策略的放行。为什么放行根系统的vlanif接口的流量？因为虚拟子系统在这种场景下是借助根系统进行流量的转发，所以它会将流量转发到根系统的vlanif0接口上。