1、虛擬系統(tǒng)培訓(xùn)文檔,測(cè)試部：涂建偉 2007/04/12,培訓(xùn)內(nèi)容,虛擬系統(tǒng)設(shè)計(jì)需求 虛擬系統(tǒng)工作原理 競爭對(duì)手產(chǎn)品 典型應(yīng)用 虛擬系統(tǒng)配置說明 虛擬系統(tǒng)FAQ,虛擬系統(tǒng)設(shè)計(jì)需求,虛擬系統(tǒng)設(shè)計(jì)的動(dòng)機(jī) 將一臺(tái)物理設(shè)備虛擬成多臺(tái)邏輯上相互獨(dú)立的虛擬設(shè)備，以滿足某些行業(yè)對(duì)防火墻的使用需要,虛擬系統(tǒng)設(shè)計(jì)需求,如教育行業(yè)，不同科系的網(wǎng)絡(luò)合在一起，共用一臺(tái)出口設(shè)備，需要管理員給這些科系分別配置訪問權(quán)限,虛擬系統(tǒng)設(shè)計(jì)需求,電信機(jī)房中托管著很多不同企業(yè)的服務(wù)器，其上運(yùn)行業(yè)務(wù)也各有不同,虛擬系統(tǒng)設(shè)計(jì)需求,問題一 不同公司或科系的網(wǎng)絡(luò)混在一起，為網(wǎng)絡(luò)病毒大面積的傳播提供了有利條件,虛擬系統(tǒng)設(shè)計(jì)需求,問題二 不同公司

2、或科系的網(wǎng)絡(luò)混在一起，彼此之間可以相互訪問，一旦一部分發(fā)生了安全漏洞，會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)存在安全漏洞,虛擬系統(tǒng)設(shè)計(jì)需求,問題三 隨著公司和科系部門的增加，對(duì)防火墻的配置管理難度也在不斷的增加，配置維護(hù)的管理工作量也在不斷的加大,虛擬系統(tǒng)工作原理,虛擬系統(tǒng)的基本理論前提 共享一臺(tái)防火墻設(shè)備的用戶流量是可以通過某種方式明確劃分的,虛擬系統(tǒng)工作原理,流量劃分方式分為兩種： 1、按照接口獨(dú)享劃分 2、按照VLAN來劃分,虛擬系統(tǒng)工作原理,按照接口獨(dú)享方式劃分 虛擬設(shè)備只擁有獨(dú)占的網(wǎng)絡(luò)接口，虛擬設(shè)備之間沒有共享的網(wǎng)絡(luò)接口 只接收和轉(zhuǎn)發(fā)遞送到虛擬設(shè)備所屬接口上的流量，這里的網(wǎng)絡(luò)接口可以是物理接口也可以是虛擬接

3、口（如vlan接口或子接口）。,虛擬系統(tǒng)工作原理,按照VLAN方式來劃分 可以定義一個(gè)vlan虛接口是某虛擬系統(tǒng)獨(dú)占，該vlan下所接收的流量都屬于某虛擬系統(tǒng)所有（vlan本身就具有這種特性） trunk接口在本質(zhì)上卻是共享，這里我們只能通過vlanid來區(qū)分流量的歸屬,虛擬系統(tǒng)工作原理,總結(jié)出流量劃分的規(guī)則是： 每個(gè)虛擬系統(tǒng)都定義自己所需要管理的獨(dú)占網(wǎng)絡(luò)接口和vlanid 虛擬系統(tǒng)獨(dú)占接口上接收到的流量歸屬于該接口所屬的虛擬系統(tǒng)處理 從trunk口上進(jìn)入的流量歸屬于該流量vlanid所屬的虛擬系統(tǒng)處理,虛擬系統(tǒng)工作原理,按照上面的規(guī)則，流量在進(jìn)入系統(tǒng)之后就可以進(jìn)行明確劃分，劃分之后會(huì)流經(jīng)TO

4、S中其他模塊進(jìn)行的后續(xù)處理,虛擬系統(tǒng)工作原理,如下圖所示： 不同系統(tǒng)的流量在流經(jīng)SE，路由等模塊是只匹配屬于本虛擬系統(tǒng)的規(guī)則，忽略其他虛擬系統(tǒng)的規(guī)則。,虛擬系統(tǒng)工作原理,原有系統(tǒng)的數(shù)據(jù)處理示意圖,接口沒有子接口之分，所有接口包括VLAN接口收上來的報(bào)文都由TOS系統(tǒng)按統(tǒng)一流程的處理，不同接口之間的流量不作區(qū)分，在處理上是處于同等的地位 原始的TOS系統(tǒng)中，防火墻規(guī)則和路由轉(zhuǎn)發(fā)規(guī)則都沒有做出劃分，所有規(guī)則都會(huì)應(yīng)用于所有流經(jīng)該模塊的流量,虛擬系統(tǒng)工作原理,虛擬系統(tǒng)的數(shù)據(jù)處理示意圖,虛擬系統(tǒng)工作原理,設(shè)備上存在子接口,在使用上把每個(gè)實(shí)接口、子接口、VLAN接口都作同等對(duì)待，接口屬性獨(dú)立存在,虛擬系統(tǒng)

5、工作原理,系統(tǒng)間的流量互不相干，流量管理也是獨(dú)立存在，互不影響,虛擬系統(tǒng)工作原理,目前功能模塊只有PF、FW、NAT支持虛擬系統(tǒng),虛擬系統(tǒng)工作原理,流量的vsid和規(guī)則的vsid要匹配，如果不相同，則該規(guī)則不應(yīng)用于該流量,虛擬系統(tǒng)工作原理,連接表實(shí)現(xiàn)對(duì)VSID的支持,虛擬系統(tǒng)工作原理,對(duì)象支持虛擬系統(tǒng),虛擬系統(tǒng)工作原理,靜態(tài)和策略路由表支持虛擬系統(tǒng),對(duì)多播路由的支持后續(xù)版本中完成,虛擬系統(tǒng)工作原理,虛擬系統(tǒng)有獨(dú)立的管理帳戶,虛擬系統(tǒng)工作原理,虛擬系統(tǒng)之間的配置完全獨(dú)立,虛擬系統(tǒng)工作原理,管理權(quán)限有限 部分系統(tǒng)信息（只讀） 獨(dú)占接口的配置（只讀） 路由規(guī)則（只讀） 對(duì)象配置（讀寫） PF規(guī)則（讀

6、寫） FW規(guī)則（讀寫） NAT規(guī)則（讀寫）,而對(duì)于其他的配置項(xiàng)目，比如DPI等，以后相關(guān)模塊對(duì)虛擬系統(tǒng)支持之后逐步開放,虛擬系統(tǒng)工作原理,虛擬系統(tǒng)之間的通訊 目前不支持！,競爭對(duì)手產(chǎn)品,清華紫光的unisgate電信級(jí)安全網(wǎng)關(guān) NETSCREEN的高端產(chǎn)品系統(tǒng) NETSCREEN已經(jīng)實(shí)現(xiàn)全部功能的支持 同時(shí)還支持虛擬系統(tǒng)的配置獨(dú)立,典型應(yīng)用一：透明方式,設(shè)備以純透明方式接入用戶 使用兩個(gè)TRUNK接口ETH0、ETH1，支持的VLAN為vlan10和vlan20 Vlan10屬于虛擬系統(tǒng)10，vlan20屬于虛擬系統(tǒng)20 兩個(gè)虛擬系統(tǒng)訪問權(quán)限不同：虛擬系統(tǒng)10只允許訪問web服務(wù)，虛擬系統(tǒng)20

7、只允許訪問smtp和pop3,典型應(yīng)用一：配置案例,使用超級(jí)管理員登錄 在用戶認(rèn)證-管理員處-添加虛擬系統(tǒng)管理員 添加兩個(gè)虛擬系統(tǒng)管理員vs10和vs20分別管理虛擬系統(tǒng)10和20,典型應(yīng)用一：配置案例,添加VLAN10和VLAN20，修改它們的虛系統(tǒng)號(hào)為10和20 修改eth0和eth1為交換接口TRUNK模式 配置它們支持vlan10和vlan20,典型應(yīng)用一：配置案例,使用虛擬系統(tǒng)10管理員登錄管理設(shè)備 添加虛擬系統(tǒng)10的子網(wǎng)對(duì)象 添加虛擬系統(tǒng)10的自定義服務(wù)對(duì)象,典型應(yīng)用一：配置案例,添加兩條訪問控制規(guī)則，只開放WEB的訪問權(quán)限 使用虛擬系統(tǒng)20管理員登錄管理設(shè)備 添加虛擬系統(tǒng)20的子

8、網(wǎng)對(duì)象,典型應(yīng)用一：配置案例,添加虛擬系統(tǒng)20的自定義服務(wù)對(duì)象 添加兩條訪問控制規(guī)則，只開放smtp和pop3的訪問權(quán)限,典型應(yīng)用二：路由方式,設(shè)備以混合模式接入用戶 使用一個(gè)物理接口eth0做為用戶出口，在其上配置多個(gè)子接口veth0.1和veth0.2分別給不同的用戶使用 用一個(gè)TRUNK接口eth1做內(nèi)接口，把內(nèi)部用戶按VLAN分開，每個(gè)用戶使用一個(gè)獨(dú)立的VLAN。 Veth0.1和vlan10屬于虛擬系統(tǒng)10， Veth0.2和vlan20屬于虛擬系統(tǒng)20 兩個(gè)虛擬系統(tǒng)訪問權(quán)限不同：虛擬系統(tǒng)10只允許訪問web服務(wù)，虛擬系統(tǒng)20只允許訪問smtp和pop3,典型應(yīng)用二：配置案例,使用超

9、級(jí)管理員登錄 在用戶認(rèn)證-管理員處-添加虛擬系統(tǒng)管理員 添加兩個(gè)虛擬系統(tǒng)管理員vs10和vs20分別管理虛擬系統(tǒng)10和20,典型應(yīng)用二：配置案例,添加VLAN10和VLAN20，修改它們的虛系統(tǒng)號(hào)為10和20，并給它們配置上相應(yīng)的IP地址10.1和20.1 修改eth1為交換接口TRUNK模式 配置eth1支持vlan10和vlan20,典型應(yīng)用二：配置案例,添加veth0.01和veth0.02，修改它們的虛系統(tǒng)號(hào)為10和20，并給它們配置上相應(yīng)的IP地址110.1和120.1 添加兩條目的為全0的策略路由,典型應(yīng)用二：配置案例,使用虛擬系統(tǒng)10管理員登錄管理設(shè)備 添加虛擬系統(tǒng)10的子網(wǎng)對(duì)象

10、 添加虛擬系統(tǒng)10的自定義服務(wù)對(duì)象,典型應(yīng)用二：配置案例,添加兩條訪問控制規(guī)則，只開放WEB的訪問權(quán)限 使用虛擬系統(tǒng)20管理員登錄管理設(shè)備 添加虛擬系統(tǒng)20的子網(wǎng)對(duì)象,典型應(yīng)用二：配置案例,添加虛擬系統(tǒng)20的自定義服務(wù)對(duì)象 添加兩條訪問控制規(guī)則，只開放smtp和pop3的訪問權(quán)限,虛擬系統(tǒng)配置說明,虛擬系統(tǒng)目前只支持WEBUI的虛擬系統(tǒng)管理員配置界面 虛擬系統(tǒng)目前不支持CLI的虛擬系統(tǒng)管理員配置界面 超級(jí)管理員可以在CLI下進(jìn)行虛擬系統(tǒng)的配置管理（不推薦用戶使用）,虛擬系統(tǒng)配置說明,命令行vsid取值含義定義 0：根系統(tǒng) 1-254：虛擬系統(tǒng)號(hào) 255：保留虛擬系統(tǒng)號(hào)（現(xiàn)在未使用）,虛擬系統(tǒng)F

11、AQ,虛擬系統(tǒng)目前支持的模塊為NAT、FW、PF RULE，還沒有明確支持DPI、AV等模塊，使用時(shí)應(yīng)該盡可能不啟用這些模塊（包括協(xié)議支持）,虛擬系統(tǒng)FAQ,啟用DPI的FTP協(xié)議支持后，在部分虛擬系統(tǒng)NAT環(huán)境下可能無法使用FTP的主動(dòng)模式，只用切換成FTP的被動(dòng)模式就可以正常進(jìn)行數(shù)據(jù)傳送,虛擬系統(tǒng)FAQ,虛擬系統(tǒng)只支持WEBUI的管理，可以通過根系統(tǒng)下添加虛擬管理員來對(duì)虛擬系統(tǒng)進(jìn)行配置管理，CLI不支持虛擬系統(tǒng)管理員登錄（注：根系統(tǒng)下管理員可以在CLI下進(jìn)行虛擬系統(tǒng)的配置管理體，但不推薦使用）,虛擬系統(tǒng)FAQ,PF SERVICE的規(guī)則對(duì)各虛擬系統(tǒng)都可以生效，在根系統(tǒng)下配置就可以控制虛擬系統(tǒng)的管理權(quán)限