【vAF】虚拟下一代防火墙vAF专区
  

彩虹 71607人觉得有帮助

{{ttag.title}}
本帖最后由 彩虹 于 2023-10-11 18:29 编辑

vAF虚拟下一代防火墙专区-技服

vAF组件提供如下格式镜像,适配情况如下,针对其他私有云平台或者虚拟化平台,研发未进行环境适配,存在部署不成功/功能不生效以及其他未知问题,如若需要交付务必进行测试POC验证后交付。详细支持情况请游览适配列表
提供Qcow2、VHD格式镜像,适配(阿里、腾讯、华为、天翼、移动、联通、有孚等)公有云平台
提供OVA格式镜像,适配VMware ESXI 6.5版本以上平台
信创虚拟防火墙,操作系统为PlatOS,系统基于麒麟Kylin v10自主开发,适配信创ARM/X86架构,X86只支持海光芯片环境,详情请仔细阅读镜像说明
虚拟防火墙发布版本如下:
<
产品版本备注
云下一代防火墙
(vAF-老架构)
vAF8032 R1停止推广----暂停发布
vAF8035 R1正式发布----公有云(不推广)
vAF8036-VM专用正式发布----VMware ESXI
云下一代防火墙
(vAF-新架构)
vAF8060-新架构内部发布----公有云/VMware ESXI
vAF8071-信创内部发布----信创ARM:HCI/CSSP/华为云鲲鹏计算
vAF8073-信创正式发布----信创X86:海光CSSP
vAF8081正式发布----信服云平台SCP
vAF8086待发布----ARM/X86
>

云安全方案介绍:点击跳转

vAF高可用双机方案:
目前公有云vAF双机支持情况取决于平台功能限制【平台是否有高可用虚拟IP功能】,目前已验证支持双机主备的平台有:华为公有云、阿里公有云、天翼公有云、有孚云、移动合云(华为)、
其他云平台还未测试通过,实际支持情况以POC为准
高可用部署资料下载:
阿里云防火墙部署场景04----高可用HA.pptx (5.17 MB, 下载次数: 21)
华为云防火墙部署场景06----高可用HA.pptx (8.66 MB, 下载次数: 27)

====
新架构vAF与硬件对齐,可使用硬件版本AF升级包升级版本,详情请看AF升级路线图

支持情况适配镜像老架构
(不推荐)
镜像格式备注说明
HCI支持vAF8060vAF8086(centos)vAF8086(platos)
OVA/VMA虚拟机需要开启host cpu选项
CSSP支持vAF8073(海光X86)vAF8086(centos)vAF8086(platos)
VMA
SCP/托管云支持vAF8081vAF8086(centos)vAF8086(platos)
VMA/Qcow2
VMware ESXI支持vAF8060vAF8086(centos)
vAF8036OVA1、只支持VMware ESXI 6.5以上版本
2、初始部署只支持2C4G开机,授权之后方可扩容至授权CPU
阿里云支持vAF8060vAF8086(centos)vAF8086(platos)vAF32R1
/35R1
Qcow2
华为云支持vAF8060vAF8086(centos)vAF8086(platos)Qcow2关闭平台网卡(源/目的检测)功能,数据才能正常转发不会被平台丢弃
腾讯云支持vAF8060vAF8086(centos)vAF8086(platos)Qcow2
移动云支持vAF8060vAF8086(centos)vAF8086(platos)Qcow21、关闭平台网卡(源/目的检查)功能,数据才能正常转发不被平台丢弃
2、移动云引流:不支持路由表引流至AF,虚拟机手动修改网关指向AF实现引流
3、不能开启ARP欺骗功能,否则会导致ARP表只有网关的MAC,AF只能跟网关通信
4、移动云上公网443端口需要备案,AF默认443端口可通过在同VPC内的PC修改
天翼云支持vAF8060vAF8086(centos)vAF8086(platos)Qcow21、天翼云部分地区无法DHCP获取IP,需要进入sfcli手动配置静态IP
2、天翼云引流:部分区域不支持路由表引流至AF,虚拟机手动修改网关指向AF
3、关闭平台网卡(源/目的检查)功能,数据才能正常转发不被平台丢弃
4、天翼云上公网443端口需要备案,AF默认443端口可通过在同VPC内的PC修改
联通云支持vAF8060vAF8086(centos)vAF8086(platos)Qcow21、联通云引流:云主机修改网关,需要平台开通放通流表(否则数据不被平台转发)
2、联通云上公网443端口需要备案,AF默认443端口可通过在同VPC内的PC修改
有浮云支持vAF8060vAF8086(centos)vAF8086(platos)
Qcow21、有孚平台隐藏相关参数,导致vAF被识别为硬件,需要打包将AF修复为虚拟墙
2、有孚平台限制问题,需要将接口MTU更改为1450方可正常通讯
百度云支持vAF8060vAF8086(centos)vAF8086(platos)vAF32R1
/35R1
Qcow2百度云引流:AF部署在独立的子网,其他业务子网路由表添加默认路由指向vAF
青云支持vAF8060vAF8086(centos)vAF8086(platos)
Qcow2青云引流:不支持平台路由表引流至AF,需要虚拟机手动修改网关指向AF实现引流
浪潮云支持vAF8060vAF8086(centos)vAF8086(platos)
Qcow21、浪潮云共用一张路由表,无法配置引流路由,不支持代理子网其他服务器上网;2、必须配置双向地址转换(配置DNAT平台不转发)发布对外业务访问云上服务器
华为私有云fusion computer已有项目支持vAF8060

vAF32R1
/35R1
Qcow2
华为私有云HCSO已有项目支持vAF8060

Qcow2
华三CAS/UIS-Cloud(超融合)按项目适配vAF8060

Qcow2UIS-Cloud部署vAF,CPU类型需要选择设置成 ”直通模式“
紫光云已有项目支持vAF8060


Qcow2紫光平台隐藏相关参数,导致vAF被识别为硬件,需要打包将AF修复为虚拟墙
其他/所有云平台 按需POC推荐使用新架构镜像测试
1.通过多云授权,需要安全组放通7443端口
2.公有云镜像ETH0默认为DHCP口
3.在云平台上删除网卡,在AF上依然可以看到对应网卡,忽略不使用即可
4.E1000网卡性能较差,不推荐使用
====


vAF支持的授权方式:(不支持独立在线授权)
1、云安全中心平台在线授权(csc.sangfor.com.cn):云安全中心平台只支持给vAF8.0.32R1版本以上授权
2、CSSP4013C平台授权:云内资源池、移动云市场订单授权使用cssp下发授权
3、HCI、CSSP、SCP等平台授权:对应平台产品授权,授权机制与vls接口相同
4、vLS授权服务器授权:(包含统一在线授权、uKey授权)优先使用云安全中心平台授权
5、云图离线授权方式:VMware平台vAF使用、特殊场景使用(老架构公有云镜像不支持云图离线,需要更换使用离线定制镜像[8035R1_offline];新架构镜像可以后台切换为云图离线)
6、云图在线授权方式:(vAF8086新增)使用授权中心在线授权码激活
PS:1-4为云防火墙虚拟授权模式、5为云防火墙离线授权方式;防火墙授权方式取决于云平台属性(部分云平台可能被AF识别为硬件)
判断方法:
①、WEB控制台判断:授权管理页面有无硬件信息导出界面
②、后台判断:
输入命令:
kvm_detect          ----先运行kvm检测(无回显)
echo $?                ----回显数字1,为虚拟平台;回显数字0,为硬件平台

授权管理界面区别:
虚拟授权:
云图离线授权:

注意:vAF授权到期后或授权中断之后,基础功能、安全功能可以继续生效使用(如NAT、应用控制策略、安全防护策略等),但是SSL/IPSEC VPN功能无法继续使用,且控制台无法继续登陆(新架构可以正常登陆);
当授权超过30天还未续期或恢复,那vAF设备将失效,此时基础功能也无法继续使用。

注意:
公有云环境默认不支持离线授权,需要使用请阅读下述风险,并需要使用离线定制镜像(新架构无需更换镜像)
公有云vAF默认不使用离线授权,特殊项目情况才使用离线授权,离线授权风险如下:如需使用离线授权请联系400获取离线版镜像)
授权丢失风险问题:(授权丢失会导致设备成为未激活状态,会影响业务使用)
①离线授权如果vaf硬件一旦发生改动(譬如网卡新增删除,虚拟机漂移等),设备网关ID会改变,会导致授权丢失,需要恢复授权只能重新开(网关ID不同,设备硬件信息文件不同,所开的授权文件不同)
②离线授权无法回收授权,授权丢失之后为未知状态无法找回,只能重新开通授权文件
授权无法限制问题:
通过计算出来的网关序列号进行授权,授权后不受带宽的限制,仅仅受时间限制,离线授权无法控制设备带宽,无法开v100 v200等(客户想使用多大带宽只与虚拟机配置性能有关,不被授权限制)

============================================================================================================================================
下单指引:
1、下单到安全BG产品---NFV---VAF/VSSL/VDAS等
-----授权方式为:独立在线授权、或者vLS授权(统一在线/UKey离线)(vLS授权需要部署vLS授权服务器)
独立在线:授权序列号开出 填入组件(ssl/das/ac等)自身导入激活
统一在线/UKey:授权序列号开出 填入vLS授权服务器
【注意:vAF不支持独立在线】

2、下单到安全BG产品---多云安全平台---云下一代防火墙/云日志审计/云数据库审计等
-----授权方式为:多云平台在线授权(云图安全中心csc.sangfor.com.cn)授权应用开到多云平台导入

3、下单到安全BG产品---云内安全资源池-软件(买断/点卡)
-----授权方式为:CSSP 4013C下发授权(需要部署cssp平台)授权文件开到CSSP导入

4、下单到云BG产品---aSec-NFV---vAF/vAC/vDAS/vSSL等
-----授权方式为:组件均需要部署在HCI中的设备模板,HCI下发授权,授权文件开到HCI导入
============================================================================================================================================

vAF下一代防火墙配置规格要求:vAF8.0.60版本以下不支持数据盘、只需要系统盘即可
注意:移动公有云防火墙系统盘要求需要81G+(通常使用90G)
原因:由于移动平台原因,识别镜像时可能会多出1G,导致镜像大小为81G,如果虚拟机只给80G会导致无法开机

<
产品所需资源配置(CPU内存  系统盘)吞吐量/型号备注
下一代防火墙(vAF8.0.32R1)2C4G  80G系统盘100M/200M
4C8G  80G系统盘400M
8C16G  80G系统盘800M/1.6G
云下一代防火墙(vAF8.0.35R1)2C4G  80G系统盘5M-200M注意:
防火墙CPU内存规格比必须为1:2,譬如2C4G、4C8G,不能是4C16G
4C8G  80G系统盘300M-400M
8C16G  80G系统盘500M-800M
12C24G  80G系统盘900M-1G
12C24G  80G系统盘1.5G
16C32G  80G系统盘2G
下一代防火墙(vAF8.0.60)2C4G  80G系统盘5M-200M注意:
1:防火墙CPU内存规格比必须为1:2,譬如2C4G、4C8G,不能是4C16G
2:VMware平台防火墙CPU规格只有2C、4C、8C、16C4种组合
且初始开机只能以2C4G规格开机
4C8G  80G系统盘300M-400M
8C16G  80G系统盘500M-800M
12C24G  80G系统盘900M-1G
12C24G  80G系统盘1.5G
16C32G  80G系统盘2G
下一代防火墙(vAF8.0.86)2C4G  120G系统盘5M-200M注意:
1:防火墙CPU内存规格比必须为1:2,譬如2C4G、4C8G,不能是4C16G
2:VMware平台防火墙CPU规格只有2C、4C、8C、16C4种组合
且初始开机只能以2C4G规格开机
3:新增云图授权中心在线激活码激活方式(36位激活码激活)
4C8G  120G系统盘300M-400M
8C16G  120G系统盘500M-800M
12C24G  120G系统盘900M-1G
12C24G  120G系统盘1.5G
16C32G  120G系统盘2G


PS:镜像说明--必读
<
vAFvAF8035R1:vAF8035R1_for_公有云阿里、腾讯、华为、天翼、联通等公有云使用,支持多云安全中心授权
vAF8035R1_for_移动云移动logo定制防火墙,无深信服字样。移动云市场订单使用,支持多云安全中心授权
vAF8035R1_对接云图版本支持云图对接并下发策略(公有云版本vaf不支持下发策略),支持多云安全中心授权
vAF8036:vAF8036国内VMware版本使用,只支持ESXI 6.5/6.7/7.0版本以上VMware使用
vAF(新架构)vAF8060:(X86)vAF_8.0.60_for_KVM-Qcow2支持阿里、华为、腾讯、百度、天翼、移动、联通、有孚、青云等公有云部署,支持多云安全中心授权
vAF_8.0.60_for_KVM-vhdvhd格式支持公有云部署,zip压缩包需要解压使用,支持多云安全中心授权
vAF_8.0.60_for_vmware-OVA支持在VMware ESXI 6.5及以上版本使用
v8.0.71(信创ARM)vAF_8.0.71.20230206.qcow2支持在信创ARM 华为云鲲鹏计算部署
v8.0.71:(信创ARM)vAF_8.0.71_for_hci_cssp.vma支持在信创ARM HCI/CSSP
vAF8073:(信创X86)vAF8.0.73_20221009.vma支持在海光版CSSP上部署(注意:该镜像无法授权SDWAN(非组网客户可以使用))
vAF8081:vAF_8.0.81_20230106_for_scp.vma支持在SCP云管平台(托管云)部署

资料下载:
vAF部署指导:
SANGFOR_vAF8060_部署实施指导for阿里云.pdf (2.75 MB, 下载次数: 72)
SANGFOR_vAF8060_部署实施指导for华为云.pdf (2.82 MB, 下载次数: 48)
SANGFOR_vAF8060_部署实施指导for腾讯云.pdf (2.75 MB, 下载次数: 36)
SANGFOR_vAF8060_部署实施指导for_VMware.pdf (1.24 MB, 下载次数: 155)

SANGFOR_vAF8086_部署实施指导for_HCI.pdf (1.62 MB, 下载次数: 93)
SANGFOR_vAF8086_部署实施指导for_VMware.pdf (1.26 MB, 下载次数: 76)
SANGFOR_vAF8086_部署实施指导for_阿里云.pdf (3.03 MB, 下载次数: 34)
SANGFOR_vAF8086_部署实施指导for_华为云.pdf (3.05 MB, 下载次数: 23)

VMware_SANGFOR_vAF8086_高可用部署指导.pdf (2.38 MB, 下载次数: 15)

vLS授权使用指导:
深信服虚拟化授权管理系统VLS_2.2使用指导.pdf (3.02 MB, 下载次数: 48)

打赏鼓励作者,期待更多好文!

打赏
43人已打赏

dhf 发表于 2023-7-17 10:08
  
每日打卡学习,感谢分享,学习了!!!
咿咿呀 发表于 2023-5-29 11:03
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
头像被屏蔽
新手078326 发表于 2023-5-22 10:21
  
提示: 作者被禁止或删除 内容自动屏蔽
韩_鹏 发表于 2023-5-22 10:20
  
g感谢分享                                      
头像被屏蔽
司马缸砸了光 发表于 2023-5-22 10:19
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手612152 发表于 2023-5-22 10:17
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手031815 发表于 2023-5-22 10:14
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手741261 发表于 2023-5-22 10:10
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手780102 发表于 2023-5-22 10:07
  
提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
纪元平台
【 社区to talk】
每日一问
产品连连看
新版本体验
社区新周刊
GIF动图学习
标准化排查
干货满满
自助服务平台操作指引
技术咨询
功能体验
社区帮助指南
每周精选
秒懂零信任
技术笔记
技术盲盒
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
2
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人