虚拟系统配置案例
安全策略要求:
1、只存在一个公网IP地址,公司内网所有部门都需要借用同一个接口访问外网
2、财务部禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门全部可以访问互联网
3、为三个部门的虚拟系统分配相同的资源类
基础配置
[FW1]vsys enable ---开启虚拟系统
[FW1-resource-class-r1]resource-item-limit bandwidth 2 outbound
[FW1-resource-class-r1]resource-item-limit session reserved-number 500 maximum 1000
[FW1-resource-class-r1]resource-item-limit user reserved-number 100
[FW1-resource-class-r1]resource-item-limit policy reserved-number 200[FW1]dis resource global-resource —查看剩余公共资源,根据剩余资源进行划分
[FW1]vsys name vsysa ---创建虚拟系统,名称为vsysa
[FW1-vsys-vsysa]assign resource-class r1 ---设定使用的资源类
[FW1-vsys-vsysa]assign interface GigabitEthernet 1/0/1 ---将接口划入虚拟系统
[FW1]switch vsys vsysa ---切换到vsysa系统中
<FW1-vsysa>sys
Enter system view, return user view with Ctrl+Z.
[FW1-vsysa]aaa
[FW1-vsysa-aaa]manager-user admin@@vsysa ---创建vsysa虚拟系统管理员,@@为固定,前为用户名,后为虚拟系统名称
[FW1-vsysa-aaa-manager-user-admin@@vsysa]password ---配置密码,需要输入两遍,密码没有回显Enter Password:Confirm Password:
[FW1-vsysa-aaa-manager-user-admin@@vsysa]level 15 ---设定权限
[FW1-vsysa-aaa-manager-user-admin@@vsysa]service-type web telnet ssh ----设定登录服务,一般选择ssh和web即可
Warning: The user access modes include Telnet or FTP, so security risks exist.
[FW1-vsysa-aaa-manager-user-admin@@vsysa]q
[FW1-vsysa-aaa]bind manager-user admin@@vsysa role system-admin ---定义admin@@vsysa用户为系统管理员
静态路由配置
nat策略配置
[FW1]security-policy
[FW1-policy-security]rule name to-internet
[FW1-policy-security-rule-to-internet]source-zone trust
[FW1-policy-security-rule-to-internet]destination-zone untrust
[FW1-policy-security-rule-to-internet]action permit
[FW1-policy-security-rule-to-internet]q
[FW1-policy-security]q
[FW1]nat-policy
[FW1-policy-nat]rule name nat1
[FW1-policy-nat-rule-nat1]source-zone trust
[FW1-policy-nat-rule-nat1]egress-interface GigabitEthernet 1/0/0
[FW1-policy-nat-rule-nat1]source-address 10.3.0.0 16
[FW1-policy-nat-rule-nat1]action source-nat easy-ip 
虚拟系统配置
[FW1]switch vsys vsysa
[FW1-vsysa]int g1/0/1
[FW1-vsysa-GigabitEthernet1/0/1]ip add 10.3.0.254 24
[FW1-vsysa-GigabitEthernet1/0/1]q
[FW1-vsysa]interface Virtual-if 1
[FW1-vsysa-Virtual-if1]ip add 172.16.1.1 24
[FW1-vsysa-Virtual-if1]q[FW1-vsysa]firewall zone trust
[FW1-vsysa-zone-trust]add int g 1/0/1
[FW1-vsysa]firewall zone untrust
[FW1-vsysa-zone-untrust]add int Virtual-if 1
[FW1-vsysa-zone-untrust]q
[FW1-vsysa]ip route-static 0.0.0.0 0 public
[FW1-vsysa]ip address-set ip_add01 type object
[FW1-vsysa-object-address-set-ip_add01]add range 10.3.0.1 10.3.0.10
[FW1-vsysa-object-address-set-ip_add01]q
[FW1-vsysa]security-policy
[FW1-vsysa-policy-security]rule name to-internet
[FW1-vsysa-policy-security-rule-to_internet]source-zone trust
[FW1-vsysa-policy-security-rule-to_internet]destination-zone untrust
[FW1-vsysa-policy-security-rule-to_internet]source-address address-set ip_add01
[FW1-vsysa-policy-security-rule-to_internet]action permit 
[FW1-vsysb]int g 1/0/2
[FW1-vsysb-GigabitEthernet1/0/2]ip add 10.3.1.254 24
[FW1-vsysb]int Virtual-if 2
[FW1-vsysb-Virtual-if2]ip add 172.16.2.1 24
[FW1-vsysb-Virtual-if2]q
[FW1-vsysb]firewall zone trust
[FW1-vsysb-zone-trust]add int g 1/0/2
[FW1-vsysb]firewall zone untrust
[FW1-vsysb-zone-untrust]add int Virtual-if 2
[FW1-vsysb]ip route-static 0.0.0.0 0 public [FW1-vsysc]int g 1/0/3
[FW1-vsysc-GigabitEthernet1/0/3]ip add 10.3.2.254 24
[FW1-vsysc]int Virtual-if 3
[FW1-vsysc-Virtual-if3]ip add 172.16.3.1 24
[FW1-vsysc]firewall zone trust
[FW1-vsysc-zone-trust]add int g 1/0/3
[FW1-vsysc]firewall zone untrust
[FW1-vsysc-zone-untrust]add int Virtual-if 3
[FW1-vsysc]ip route-static 0.0.0.0 0 public [FW1-vsysc]security-policy
[FW1-vsysc-policy-security]rule name to-internet
[FW1-vsysc-policy-security-rule-to-internet]source-zone trust
[FW1-vsysc-policy-security-rule-to-internet]destination-zone untrust
[FW1-vsysc-policy-security-rule-to-internet]source-address 10.3.2.0 24
[FW1-vsysc-policy-security-rule-to-internet]action permit 
测试
相关文章:
虚拟系统配置案例
安全策略要求: 1、只存在一个公网IP地址,公司内网所有部门都需要借用同一个接口访问外网 2、财务部禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门全部可以访问互联网 3、为三个部门的虚拟系统分配相同的资源类…...
C语言【进阶篇】之结构体 —— 从基础声明到复杂应用的进阶之路
目录 🚀前言✍️结构体类型的声明💯结构体定义💯结构的特殊声明 🦜结构的自引用💻结构体内存对齐💯对齐规则💯为什么存在内存对齐💯修改默认对齐数 🐍结构体传参…...
Python-列表和元组
列表 列表是什么, 元组是什么 编程中, 经常需要使用变量, 来保存/表示数据. 如果代码中需要表示的数据个数比较少, 我们直接创建多个变量即可. 但是有的时候, 代码中需要表示的数据特别多, 甚至也不知道要表示多少个数据. 这个时候, 就需要用到列表. 列表是一种让程序猿在代…...
PyTorch 中的混合精度训练方法,从 autocast 到 GradScalar
PyTorch 的混合精度训练主要由两个方法实现:amp.autocast 和 amp.GradScalar。在这两个工具的帮助下,可以实现以 torch.float16 的混合精度训练。当然,这两个方法都是模块化并且通常都会一起调用,但并不一定总是需要一起使用。 参…...
分享能在线运行C语言的网站
https://www.onlinegdb.com/# 我用vscode运行c语言总是报错,后面找到这个网站,可以在线调试和保存代码。 如下图,程序的效果是给变量x,y,z赋值,并打印出来。代码输入以后,右上角选择C语言&…...
AI-Deepseek + PPT
01--Deepseek提问 首先去Deepseek问一个问题: Deepseek的回答: 在汽车CAN总线通信中,DBC文件里的信号处理(如初始值、系数、偏移)主要是为了 将原始二进制数据转换为实际物理值,确保不同电子控制单元&…...
MacOS Big Sur 11 新机安装brew wget python3.12 exo
MacOS Big Sur 11,算是很老的系统了,所以装起来有点费劲。 首先安装brew 按照官网的方法,直接执行下面语句即可安装: export HOMEBREW_BREW_GIT_REMOTE"https://githubfast.com" # put your Git mirror of Homebrew/brew here …...
十大经典排序算法简介
一 概述 本文对十大经典排序算法做简要的总结(按常用分类方式排列),包含核心思想、时间/空间复杂度及特点。 二、比较类排序 1. 冒泡排序 (BUBBLE SORT) 思想:重复交换相邻逆序元素,像气泡上浮 复杂度: 时间:O(n^2)(最好情况O(n)) 空间:O(1) 特点:简单但效率低,稳…...
不小心更改了/etc权限为777导致sudo,ssh等软件都无法使用
修复流程 一、进入恢复模式(无网络或无法登录时必选) 1.重启系统,在 GRUB 启动菜单选择 Recovery Mode(按 Shift 或 Esc 呼出菜单)。2.以 root 身份挂载为可读写: bash 复制 mount -o remount,rw /确保文…...
AI档案审核2
以下是一个结合计算机视觉(CV)和自然语言处理(NLP)的智能档案审核系统完整实现方案,包含可落地的代码框架和技术路线: 一、系统架构设计 #mermaid-svg-UhBtIPrNXo5P89Zb {font-family:"trebuchet ms&q…...
【基础1】冒泡排序
核心思想 冒泡排序是通过相邻元素的连续比较和交换,使得较大的元素逐渐"浮"到数组的末尾,如同水中气泡上浮的过程 特点: 每轮遍历将最大的未排序元素移动到正确位置稳定排序:相等元素的相对位置保持不变原地排序…...
Trae AI 开发工具使用手册
这篇手册将介绍 Trae 的基本功能、安装步骤以及使用方法,帮助开发者快速上手这款工具。 Trae AI 开发工具使用手册 Trae 是字节跳动于 2025 年推出的一款 AI 原生集成开发环境(IDE),旨在通过智能代码生成、上下文理解和自动化任务…...
揭开AI-OPS 的神秘面纱 第二讲-技术架构与选型分析 -- 数据采集层技术架构与组件选型分析
基于上一讲预设的架构图,深入讨论各个组件所涉及的技术架构、原理以及选型策略。我将逐层、逐组件地展开分析,并侧重于使用数据指标进行技术选型的对比。 我们从 数据采集层 开始,进行最细粒度的组件分析和技术选型比对。 数据采集层技术架构…...
基于Docker去创建MySQL的主从架构
基于Docker去创建MySQL的主从架构 用于开发与测试环境读写分离 主从的架构搭建步骤 基于Docker去创建MySQL的主从架构 # 创建主从数据库文件夹 mkdir -p /usr/local/mysql/master1/conf mkdir -p /usr/local/mysql/master1/data mkdir -p /usr/local/mysql/slave1/conf mkd…...
操作系统 2.2-多进程总体实现
多个进程使用CPU的图像 如何使用CPU呢? 通过让程序执行起来来使用CPU。 如何充分利用CPU呢? 通过启动多个程序,交替执行来充分利用CPU。 启动了的程序就是进程,所以是多个进程推进 操作系统需要记录这些进程,并按照…...
Jasypt 与 Spring Boot 集成文档
Jasypt 与 Spring Boot 集成文档 目录 简介版本说明快速开始 添加依赖配置加密密钥加密配置文件 高级配置 自定义加密算法多环境配置 最佳实践常见问题参考资料 简介 Jasypt 是一个简单易用的 Java 加密库,支持与 Spring Boot 无缝集成。通过 Jasypt,…...
在CentOS系统上安装Conda的详细指南
前言 Conda 是一个开源的包管理系统和环境管理系统,广泛应用于数据科学和机器学习领域。本文将详细介绍如何在 CentOS 系统上安装 Conda,帮助您快速搭建开发环境。 准备工作 在开始安装之前,请确保您的 CentOS 系统已经满足以下条件&#x…...
Spring Boot拦截器(Interceptor)与过滤器(Filter)详细教程
Spring Boot拦截器(Interceptor)与过滤器(Filter)详细教程 目录 概述 什么是拦截器(Interceptor)?什么是过滤器(Filter)?两者的核心区别 使用场景 拦截器的典…...
HTML-05NPM使用踩坑
2025-03-04-NPM使用踩坑 本文讲述了一个苦逼程序员在使用NPM的时候突然来了一记nmp login天雷,然后一番折腾之后,终究还是没有解决npm的问题😞😞😞,最终使用cnpm完美解决的故事。 文章目录 2025-03-04-NPM使用踩坑[toc…...
自学嵌入式第29天-----epoll、sqlite3
1. 正确选择触发模式(ET 和 LT) 水平触发(LT):默认模式,只要文件描述符处于就绪状态,epoll_wait 会持续通知。适合大多数场景,编程简单。 边缘触发(ET)&…...
工作学习笔记:HarmonyOS 核心术语速查表(v14 实战版)
作为在 HarmonyOS 开发一线摸爬滚打的工程师,笔者在 v14 版本迭代中整理了这份带血的实战术语表。 一、架构基础术语速查 A 系列术语 术语官方定义笔者解读(v14 实战版)开发陷阱 & 解决方案abc 文件ArkCompiler 生成的字节码文件打包时…...
解决AWS EC2实例无法使用IAM角色登录AWS CLI
问题背景 有时,我们希望一台AWS EC2实例,即云服务器,能够使用AWS CLI访问AWS管理控制台资源。 例如,这里,我们想让它能够列出所有IAM用户组。 aws iam list-groups于是,我们使用下面的命令,在…...
Java核心语法:从变量到控制流
一、变量与数据类型(对比Python/C特性) 1. 变量声明三要素 // Java(强类型语言,需显式声明类型) int age 25; String name "CSDN"; // Python(动态类型) age 25 name …...
manus是什么?能干啥?
Manus哪儿来的? Manus是一款由中国团队Monica.im于2025年3月5日发布的通用型AI代理(AI Agent)产品,旨在通过自主思考、系统规划和灵活工具调用,帮助用户完成各种复杂任务,从而解放用户的时间与创…...
大型语言模型训练的三个阶段:Pre-Train、Instruction Fine-tuning、RLHF (PPO / DPO / GRPO)
前言 如果你对这篇文章可感兴趣,可以点击「【访客必读 - 指引页】一文囊括主页内所有高质量博客」,查看完整博客分类与对应链接。 当前的大型语言模型训练大致可以分为如下三个阶段: Pre-train:根据大量可获得的文本资料&#…...
Elasticsearch 2025/3/7
高性能分布式搜索引擎。 数据库模糊搜索比较慢,但用搜索引擎快多了。 下面是一些搜索引擎排名 Lucene是一个Java语言的搜索引擎类库(一个工具包),apache公司的顶级项目。 优势:易扩展、高性能(基于倒排索引…...
发行基础:热销商品榜单
转载自官方文件 ------------------ 热销商品榜单 Steam 在整个商店范围内有各种热销商品榜单,最醒目的莫过于 Steam 主页上的榜单了。 您也可以在浏览单个标签、主题、类型时找到针对某个游戏类别的热销商品榜单。 主页热销商品榜单 该榜单出现在 Steam 主页上…...
实战案例分享:Android WLAN Hal层移植(MTK+QCA6696)
本文将详细介绍基于MTK平台,适配高通(Qualcomm)QCA6696芯片的Android WLAN HAL层的移植过程,包括HIDL接口定义、Wi-Fi驱动移植以及wpa_supplicant适配过程,涵盖STA与AP模式的常见问题与解决方法。 1. HIDL接口简介 HID…...
物联网系统搭建
实验项目名称 构建物联网系统 实验目的 掌握物联网系统的一般构建方法。 实验要求: 1.构建物联网系统,实现前后端的交互。 实验内容: CS模式MQTT(不带数据分析处理功能) 实现智能设备与应用客户端的交…...
微前端框架 Qiankun 的应用及问题分析
一、Qiankun 的核心应用场景与优势 多技术栈共存与灵活集成 Qiankun 支持主应用与子应用使用不同技术栈(如 Vue、React、Angular 等),通过 HTML Entry 方式接入子应用,无需深度改造子应用即可实现集成,降低了技术迁移成…...