#原创分享#虚拟化环境下部署vAF引流方案

受虚拟化平台功能限制，无法直接把vAF透明部署在虚拟机和外部网络之间-------我倒很好奇什么功能会限制VAF的部署模式？

感谢楼主无私分享，学习学习

感谢楼主的精彩分享，有助工作!!!

为啥我按照你这个在vaf配置dnat，然后web控制界面登录不上了

一、环境介绍

1. vAF部署在某虚拟化平台中，需要对虚拟化平台的虚拟机进行安全防护

2. 受虚拟化平台功能限制，无法直接把vAF透明部署在虚拟机和外部网络之间。

二、问题分析

要使用vAF对虚拟机的对外访问或者被访问提供防护，那么必须让来回流量都经过vAF

三、解决方法

1. 对于虚拟机上网的防护

（1）虚拟机的网关地址配置成vAF的地址，如上图vm1配置网关地址为192.168.0.200

（2）vAF配置snat，确保外部网络看到的这一条数据的源IP是vAF的IP，确保回包也经过vAF，接着vAF再把流量转发给vm

（3）vAF安全、NAT策略配置，所有策略的源目区域都是vAF业务口的区域，IP地址按正常路由模式的逻辑进行配置

2. 对于虚拟机被访问的防护

（1）vAF上配置dnat，把vm提供服务的端口映射到vAF的IP，外部网络访问目标服务的时候直接访问vAF映射后的IP端口，VM的网关地址配合为vAF的地址，VM回包会给到vAF，这样可以实现对外部访问vm的安全防护。

       这一步其实做双向地址转换也可以，但是做了双向地址转换VM就看不到客户的真实源IP。

（2）vAF安全、NAT策略配置，所有策略的源目区域都是vAF业务口的区域，IP地址按正常路由模式的逻辑进行配置

四、总结

1.AF的安全防护功能要生效，必须要主机的来回流量均经过AF

2.AF单臂模式引流的核心思路是地址转换策略