防火墙虚拟系统介绍
一、虚拟系统的介绍
虚拟系统概念
虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。您可以从逻辑上将一台FW设备划分为多个虚拟系统。每个虚拟系统相当于一台真实的设备,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟系统管理员进行配置和管理。
虚拟系统特点
虚拟系统具有以下特点:
•每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。
•每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。
•可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。
•虚拟系统之间的流量相互隔离,更加安全。在需要的时候,虚拟系统之间也可以进行安全互访。
•虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。 虚拟系统可以用于大中型企业的网络隔离和云计算中心的安全网关。
二、原理概述
1、虚拟系统的资源分配
合理地分配资源可以对单个虚拟系统的资源进行约束,避免因某个虚拟系统占用过多的资源,导致其他虚拟系统无法获取资源、业务无法正常运行的情况。
安全区域、策略、会话等实现虚拟系统业务的基础资源支持定额分配或手工分配,其中
•定额分配:此类资源直接按照系统规格自动分配固定的资源数,不支持用户手动分配。
•手工分配:此类资源支持用户通过命令行或Web界面中的资源类界面手动分配。
2、虚拟系统的分流
通过分流能将进入设备的报文送入正确的虚拟系统处理。
FW上未配置虚拟系统时,报文进入FW后直接根据根系统的策略和表项(会话表、MAC地址表、路由表等)对其进行处理。FW上配置了虚拟系统时,每个虚拟系统都相当于一台独立的设备,仅依据虚拟系统内的策略和表项对报文进行处理。因此,报文进入FW后,首先要确定报文与虚拟系统的归属关系,以决定其进入哪个虚拟系统进行处理。我们将确定报文与虚拟系统归属关系的过程称为分流。
FW支持基于接口分流、基于VLAN分流和基于VNI分流三种分流方式。接口工作在三层时,采用基于接口的分流方式;接口工作在二层时,采用基于VLAN的分流方式;虚拟系统和VXLAN结合使用时,采用基于VNI的分流方式。
三、配置案例-虚拟系统实现云计算中心网关
组网需求:
如图1所示,某云计算数据中心采用FW用于网关出口的安全防护,实际的要求如下:
•每个购买云服务的企业或个人都属于数据中心的客户,可以独自管理和访问属于自己的服务器资源。
•FW虽然只有一个公网接口,但是公网IP地址数量比较充足。通过在FW上配置服务器映射(NAT Server),客户可以通过独立的公网IP地址访问属于自己的服务器资源。
配置脚本:
sysname FW
#
vsys enable
#
nat server publicserver_vsysa 0 protocol tcp global 1.1.1.2 8080 inside 10.3.0.2 www no-reverse
nat server publicserver_vsysb 1 protocol tcp global 1.1.1.3 8080 inside 10.3.1.2 www no-reverse
#
resource-class r1
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit bandwidth 20 entire
#
resource-class r2
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit bandwidth 30 entire
#
vsys name vsysa 1
assign resource-class r1
assign interface GigabitEthernet1/0/2.1
#
vsys name vsysb 2
assign resource-class r2
assign interface GigabitEthernet1/0/2.2
#
interface GigabitEthernet1/0/1
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2.1
vlan-type dot1q 10
ip binding vpn-instance vsysa
#
interface GigabitEthernet1/0/2.2
vlan-type dot1q 20
ip binding vpn-instance vsysb
#
interface Virtual-if0
ip address 172.16.0.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface Virtual-if0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsysa
ip route-static 10.3.1.0 255.255.255.0 vpn-instance vsysb
#
security-policy
rule name internet_to_server
source-zone untrust
destination-zone trust
destination-address 10.3.0.0 16
action permit
#
return
虚拟系统vsysa的配置脚本
#
interface GigabitEthernet1/0/2.1
vlan-type dot1q 10
ip address 10.3.0.1 255.255.255.0
ip binding vpn-instance vsysa
#
interface Virtual-if1
ip address 172.16.1.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/2.1
#
firewall zone untrust
set priority 5
add interface Virtual-if1
#
ip route-static 0.0.0.0 0.0.0.0 public
#
security-policy
rule name internet_to_server
source-zone untrust
destination-zone trust
destination-address 10.3.0.0 24
action permit
#
return
虚拟系统vsysb的配置脚本
#
interface GigabitEthernet1/0/2.2
vlan-type dot1q 20
ip address 10.3.1.1 255.255.255.0
ip binding vpn-instance vsysb
#
interface Virtual-if2
ip address 172.16.2.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/2.2
#
firewall zone untrust
set priority 5
add interface Virtual-if2
#
ip route-static 0.0.0.0 0.0.0.0 public
#
security-policy
rule name internet_to_server
source-zone untrust
destination-zone trust
destination-address 10.3.1.0 24
action permit
#
return