本帖最后由 山东_朱文鑫 于 2022-9-25 19:14 编辑
大家好,我是大白,正所谓立志欲坚不欲锐,成功在久不在速。。优质的帖子也在尽力中提供,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。
大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!
通过前几天发的深信服新一代架构的防火墙系统引起了大家的兴趣,不得不说本次的防火墙亮点很多,无论从硬件包装以及系统的功能拓展等等,特别值得一提的就是我们的新一代架构的防火墙中的虚拟系统功能,我也没想到引发了大家的热议,以及好多的私信更新,今天也是根据之前的承诺,给大家提前奉上新架构防火墙的虚拟系统介绍。
首先我们要了解一下深信服下一代防火墙的虚拟系统是什么:
虚拟系统(Virtual System),简称为VSYS(有厂商又称为lsys,逻辑系统),能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可以拥有独立的系统资源,且能够实现防火墙的大部分功能。每个虚拟防火墙系统之间相互独立,不允许直接相互通信。
防火墙虚拟系统架构的原理简介:
AF设备上存在两种类型的虚拟系统:
根系统(Public):
根系统是AF设备上缺省存在的一个特殊的虚拟系统。即使虚拟系统功能未启用,根系统也依然存在。此时,管理员对AF设备进行配置等同于对根系统进行配置。启用虚拟系统功能后,根系统会继承先前AF设备上的配置。在虚拟系统这个特性中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务。
虚拟系统(VSYS):
虚拟系统是在AF设备上划分出来的、独立运行的逻辑设备。虚拟系统划分的逻辑结构如下图所示。
*这个通俗一点理解就是HCI系统里面承载了多个虚拟机,所以根系统与虚拟系统是包含关系,虚拟系统跟虚拟系统之间是并行关系,也就是说,我们的根系统挂了,你的虚拟系统也没法用,虚拟系统其中一个挂了不影响另外的虚拟系统,整体的结构很像嵌套式虚拟化,但是还是有一些不一样的。
深信服在考虑到设备之间的隔离也是考虑了多方面,通过各种技术方式进行了一个设备的优化实现了多个方面,这个我们就不一一进行叙述了,后续根据需求会发一下深信服新架构防火墙虚拟系统的原理详细说明。
虚拟系统我们再详细的看一下设备的配置:
整个的虚拟系统模块分为两部分一个是虚拟系统管理还有一个就是资源池。
虚拟系统管理:(虚拟系统管理用于启用虚拟系统功能,并在此新增虚拟系统,进行资源池分配,划分 物理接口、子接口和VLAN接口。)
使用虚拟系统必须勾选启用虚拟系统功能,以及资源查看跟新增界面:
资源查看:
资源池:(管理虚拟系统资源的分配以及对象资源的限制参数)
如上就是新架构防火墙的配置界面:
这个系统不仅仅在设备的高可用性上有了新的提升,也实现了一墙多用,分人管理,同网段下不同区域的通信需求等场景。
下面我就按照需求场景帮大家进一步指导理解一下配置,以及适用的场景:
客户购买了AF做网关部署在集团公司网络出口,有研发网络和业务网络通过该出口访问互联网,两个网络网段都为192.168.1.0/24,需要在AF上虚拟出两个防火墙进行单独管理,两个网络间不需要互访,业务网络可以访问互联网所有应用,研发网络只能访问互联网网页服务。
配置思路:
1.进入【系统】-【虚拟系统】-【虚拟系统管理】,启用虚拟系统并划分“yanfa”和“yewu”两个虚拟系统,并分配对应的物理接口;
2.进入“yanfa”虚拟系统配置接口、地址转换、路由和应用控制策略等配置;
3.进入“yewu”虚拟系统配置接口、地址转换、路由和应用控制策略等配置;
4.在根系统下配置配置接口、地址转换、路由和应用控制策略等配置。
1. 进入【系统】-【虚拟系统】-【虚拟系统管理】,启用虚拟系统;
2. 点击<新增>,配置“yanfa”虚拟系统,关联资源(可使用默认资源池“Resource”也可根据客户实际需要分配资源池),并分配物理接口eth3;
3. 点击<新增>,配置“yewu”虚拟系统,关联资源(可使用默认资源池“Resource”也可根据客户实际需要分配资源池),并分配物理接口eth4;
4. 进入“yanfa”虚拟系统【网络】-【接口】-【物理接口】配置eth3的区域和IP地址。
5. 在“yanfa”虚拟系统【网络】-【接口】-【虚拟接口】配置vsysif1的区域和IP地址。
6. 在“yanfa”虚拟系统【网络】-【路由】-【静态路由】配置默认路由指向根系统“public”。
7. 在“yanfa”虚拟系统【策略】-【访问控制】-【应用控制策略】新增放通对应区域http、https和dns服务
8. 在“yanfa”虚拟系统【策略】-【地址转换】-【IPv4地址转换】配置源地址转换。
9. 切换到“yewu”虚拟系统【网络】-【接口】-【物理接口】配置eth4的区域和IP地址。
10. 在“yewu”虚拟系统【网络】-【接口】-【虚拟接口】配置vsysif2的区域和IP地址。
11. 在“yewu”虚拟系统【网络】-【路由】-【静态路由】配置默认路由指向根系统“public”。
12. 在“yewu”虚拟系统【策略】-【访问控制】-【应用控制策略】新增放通对应区域所有服务。
13. 在“yewu”虚拟系统【策略】-【地址转换】-【IPv4地址转换】配置源地址转换。
14. 切换到“public”根系统【网络】-【接口】-【物理接口】配置互联网出口eth1的区域和IP地址。
15. 在根系统【网络】-【接口】-【虚拟接口】配置vsysif0的区域和IP地址。
16. 在根系统【网络】-【路由】-【静态路由】配置默认路由指向互联网出口下一跳,并配置静态路由分别指向vsys1和vsys2,目的IP是vsys1和vsys2的接口地址。
17. 在根系统【策略】-【访问控制】-【应用控制策略】新增放通对应区域所有服务。
18. 在根系统【策略】-【地址转换】-【IPv4地址转换】配置源地址转换。
如上完成配置:
下面解答一下相关的问题以及说明:
说明:
根系统和虚拟系统间的区域都是独立管理,两者不存在引用关系;
虚拟系统目前只能支持传统防火墙的功能;
虚拟系统管理员只能管理对应的虚拟系统,根系统管理员可以管理所有系统;
在多个管理员进行配置操作时,有可能会造成策略下发失败或者变慢;
虚拟系统管理员登录账号格式为”用户名@@虚拟系统名称”
虚拟防火墙支持数量和内存大小相关:4G内存型号(最大6个,正常使用推荐1个)、8G内存型号(最大6个,正常使用推荐3个)、16G内存型号(最大10个,正常使用推荐5个)、32G内存型号(最大32个,正常使用推荐16个)、40G及以上型号(最大225个,正常使用推荐25个)。
解答:
问:既然虚拟墙可以看做完全独立的墙,那我如果虚拟墙网口ip配置一致不会冲突吗?
答:会,当然会,虚拟墙可以配置一样的地址,但是由于网络数据包以及数据通信原理的原因,根据具体通信拓扑就会导致地址冲突
问:虚拟墙与根系统墙是完全独立关系还是包含关系?例如我admin的起始系统挂了,这些虚拟墙还能用吗?
答:包含关系,虚拟墙被根系统承载,根系统崩溃,虚拟墙也无法使用。
问:如果两台防火墙做主备,备机也会同步主机配置的虚拟墙吗?
答:虚拟系统的配置会进行同步。
问:现有的VAF支持新架构版本嘛?
答:截止到到目前VAF暂无新架构系统版本。
问:系统的直通对虚拟墙生效吗?
答:根系统的直通对虚拟系统不生效,虚拟系统有单独的直通。
问:那我两个虚拟墙,实体系统没有配置任何拒绝策略,我两个虚拟墙配置了相同的拒绝策略,请问两个虚拟墙配置上冲突吗?以及这种情况他会匹配哪个虚拟墙?是随机还是由建立顺序决定?
答:配置相同的策略,不会冲突,根系统会给虚拟系统划分资源和接口,访问的是虚拟系统的接口,数据就会直接到虚拟系统,匹配虚拟系统的策略。
以上就是目前深信服新架构NGAF重磅功能之虚拟系统案例需求配置分享,后续还会出一下新架构的虚拟系统的原理以及新架构防火墙与老架构防火墙的差异化功能,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!
励志分享超清壁纸语句~~:
追求真理比占有真理更难能可贵。——爱因斯坦
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!  | 
发表于 2024-3-27 12:10
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术专家1级 
