面临的问题
如何使用一台飞塔防火墙设备对两个私有网络提供网络连接与安全保护。
解决方法
通过虚拟域设置,将飞塔防火墙设备划分为两个功能区,每个功能区都可以提供有如飞塔防火墙设备单机的功能。每个VDOM都具有自己的物理接口、路由配置与安全策略。
本示例中是模仿一个ISP分别对公司A与公司B提供互联网服务。每个公司具有独立的互联网IP地址与内部网络。该配置需要:
两个VDOM:VDOM-A与VDOM-B分别运行于NAT/路由模式且具 有两个接口,一个接口连接到互联网,另一个接口连接到内部网络。
该示例中的路由配置简化为只需要一条从每个VDOM到互联网网关的路由需求。
创建 VDOM-A 与 VDOM-B
1、启动多个VDOM模式,创建VDOM,并对其配置接口。
2、连接到飞塔防火墙设备基于web的管理器,从系统信息工具中启动虚拟域。
进入系统管理>VDOM>VDOM,点击新建,创建两个VDOM
3、进入系统管理>网络>接口并编辑端口1,并将其添加到VDOM-A。
4.进入系统管理>管理>管理员,点击新建对VDOM-A添加管理员。
5.进入系统管理>管理>管理员,点击新建对VDOM-B添加管理员。
添加默认路由、DHCP服务器与安全策略,允许公司A用户从飞塔防火墙设备获取IP地址,访问互联网。
结果
从公司A与公司B网络分别连接到互联网。从各自网络的 VDOM,进入Policy>监视器>策略状态,确认你添加了策略允许流量通过各自的VDOM。你可以用数据包抓包的方法查看通过VDOM的流量。例如,从飞塔防火墙设备CLI命令且从其中一个内网中ping互联网中的地址。
命令输入显示的会话是只使用Port3与Port4的,且Port3与Port4属于VDOM-B。如果你以超级管理员的权限登录,你可以抓包查看任何一个接口的流量。如果你以a-admin或b-admin管理员帐户登录(单个VDOM的管理员),只有权限抓包输入该管理员VDOM的接口流量。访问数据包嗅探器,你必须登录到一个VDOM,你不能从全局配置中访问数据包嗅探器。
本文由:飞塔UTM于(2013-07-25)发表了关于
使用虚拟域飞塔防火墙设备实现多主机的文章
。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
成都区销售
重庆区销售
云贵区销售
华南区销售
华北区销售
华东区销售
华为企业邮箱销售热线:400-0828-083
