11.neteyefirewall5200_虚拟系统教程解析.pptVIP

虚拟系统 课程目标 了解虚拟系统 了解资源管理 了解虚拟系统管理员 了解管理IP 了解虚拟系统切换 虚拟系统实验配置 虚拟系统 一台NetEye FW5200防火墙可以被逻辑地划分成多个虚拟防火墙，每个虚拟防火墙拥有自己的管理员、审计员、安全策略等。这些虚拟防火墙被称为虚拟系统（Virtual System，Vsys）。 NetEye FW5200在没有创建任何Vsys时，是一个单独的物理防火墙，称为Root Vsys。根系统管理员可以创建Vsys，管理每个Vsys的资源。 虚拟系统（续） 根系统管理员创建一个Vsys时，最基本的操作是新建Vsys、为Vsys分配资源，及进一步为该Vsys创建Vsys管理员、管理IP。当一个Vsys被创建后，Web和SSH服务是默认开启的。 NetEye FW5200划分了不同的Vsys以后，将会把相关的资源独立地划分给各个Vsys，各个Vsys将独占自己的资源。 同一系统之内的各个Vsys之间是不可以相互访问的。 SNMP、VPN、HA和NTP校时功能不支持Vsys。 虚拟系统配置 以管理员身份登录防火墙，选择 “系统”“配置” “虚拟系统”，进入虚拟系统页面。如下图所示： 虚拟系统配置（续） 创建虚拟系统：在虚拟系统页面中的添加虚拟系统区域创建虚拟系统。如下同所示： 虚拟系统配置（续） 查看虚拟系统：在虚拟系统页面中查看创建结果。如下图所示： 虚拟系统配置（续） 编辑虚拟系统：在虚拟系统页面中点击虚拟系统的名称，进入编辑页面。如下图所示： 资源管理 NetEye FW5200可划分给虚拟系统的资源包括接口资源、会话资源和规则资源。 接口资源：三层接口。 会话资源：通过NetEye FW5200建立的连接，以及与NetEye FW5200建立的连接。 规则资源：安全策略，NAT规则和路由。 接口资源 在NetEye FW5200中，划分给Vsys的接口都是三层接口。 可以划分到Vsys的三层接口包括： VLAN接口； 设置成三层工作模式的物理接口； 设置成三层工作模式的以太网通道； 设置成三层共享工作模式的物理接口。 接口资源配置 在Vsys中添加/删除接口：在虚拟系统编辑页面的三层接口区域中添加/删除接口。如下图所示： 会话资源和规则资源 NetEye FW5200的会话资源和规则资源对于所有Vsys来说是共享的，即这些资源将按照实际需要被动态地分配给每个虚拟系统，从而保证资源需求尽可能地得到满足。 根管理员可以为每个虚拟系统设定最大资源限制。 如果某个虚拟系统的最大资源限制由一个较高的值被修改为较低的值，对于该系统正在占用的过多资源并不会立即收回，但是再申请资源就会失败，在NetEye FW5200重新启动后，多出的资源会被收回。 会话资源和规则资源（续） 如果某个虚拟系统的最大资源限制由一个较低的值被修改为较高的值，该虚拟系统的最大资源限制立即生效。 在最大资源限制的范围内，每个Vsys能够得到申请的所有资源。然而在某些极端情况下，申请的资源未必可以得到。例如所有资源均已被占用，在这种情况下，只能等待其他虚拟系统释放资源。 Vsys root的最大资源限制为100%，不可以被修改。 会话资源和规则资源配置 修改最大资源限制：在虚拟系统编辑页面中的最大资源限制区域中修改最大资源限制。如下图所示： 虚拟系统管理员 Vsys管理员有根系统管理员创建。 Vsys管理员只管理其对应的虚拟系统： 为虚拟系统设置特有的策略； 创建Vsys审计员； 维护虚拟系统信息； 监控对应虚拟系统的信息，包括接口、路由、接口流量、DVMRP、IGMP Snooping 状态、系统状态、硬件信息和插槽状态等。 虚拟系统管理员（续） 根系统管理员缺省管理的是根系统，但是根系统管理员可以追加成为多个虚拟系统管理员。 虚拟系统管理员可以被授权管理多个虚拟系统，管理多个虚拟系统的管理员登录NetEye FW5200后可随时在其管理的虚拟系统间进行切换，但是需要提供管理员的密码。 虚拟系统管理员配置 以管理员身份登录防火墙，选择 “系统”“配置” “服务配置”“管理用户”, 进入管理用户页面。如下图所示： 虚拟系统管理员配置（续） 创建Vsys管理员：在管理用户页面中的添加用户区域中创建Vsys管理员。如下图所示： 虚拟系统管理员配置（续） 查看Vsys管理员：在管理用户页面中查看创建的结果。如下图所示： 虚拟系统管理员配置（续） 编辑Vsys管理员：在管理用户页面中点击Vsys管理员的名称，进入编辑页面。如下图所示： 管理IP NetEye FW5200的Vsys管理员通过管理IP来远程访问和管理NetEye FW5200 。管理IP是虚拟系统的一个三层接口IP，每一个虚拟系统只能设置一个管理IP。 根系统管理员在创建虚拟