虚拟系统培训文档.pptx

虚拟系统培训文档测试部：涂建伟2007/04/12培训内容虚拟系统设计需求虚拟系统工作原理竞争对手产品典型应用虚拟系统配置说明虚拟系统FAQ虚拟系统设计需求虚拟系统设计的动机 将一台物理设备虚拟成多台逻辑上相互独立的虚拟设备，以满足某些行业对防火墙的使用需要 虚拟系统设计需求如教育行业，不同科系的网络合在一起，共用一台出口设备，需要管理员给这些科系分别配置访问权限虚拟系统设计需求电信机房中托管着很多不同企业的服务器，其上运行业务也各有不同虚拟系统设计需求问题一 不同公司或科系的网络混在一起，为网络病毒大面积的传播提供了有利条件虚拟系统设计需求问题二 不同公司或科系的网络混在一起，彼此之间可以相互访问，一旦一部分发生了安全漏洞，会导致整个网络存在安全漏洞虚拟系统设计需求问题三 随着公司和科系部门的增加，对防火墙的配置管理难度也在不断的增加，配置维护的管理工作量也在不断的加大虚拟系统工作原理虚拟系统的基本理论前提 共享一台防火墙设备的用户流量是可以通过某种方式明确划分的 虚拟系统工作原理流量划分方式分为两种： 1、按照接口独享划分 2、按照VLAN来划分虚拟系统工作原理按照接口独享方式划分 虚拟设备只拥有独占的网络接口，虚拟设备之间没有共享的网络接口 只接收和转发递送到虚拟设备所属接口上的流量，这里的网络接口可以是物理接口也可以是虚拟接口（如vlan接口或子接口）。 虚拟系统工作原理按照VLAN方式来划分 可以定义一个vlan虚接口是某虚拟系统独占，该vlan下所接收的流量都属于某虚拟系统所有（vlan本身就具有这种特性） trunk接口在本质上却是共享，这里我们只能通过vlanid来区分流量的归属 虚拟系统工作原理总结出流量划分的规则是：每个虚拟系统都定义自己所需要管理的独占网络接口和vlanid虚拟系统独占接口上接收到的流量归属于该接口所属的虚拟系统处理从trunk口上进入的流量归属于该流量vlanid所属的虚拟系统处理虚拟系统工作原理 按照上面的规则，流量在进入系统之后就可以进行明确划分，划分之后会流经TOS中其他模块进行的后续处理 虚拟系统工作原理 如下图所示： 不同系统的流量在流经SE，路由等模块是只匹配属于本虚拟系统的规则，忽略其他虚拟系统的规则。 虚拟系统工作原理原有系统的数据处理示意图 接口没有子接口之分，所有接口包括VLAN接口收上来的报文都由TOS系统按统一流程的处理，不同接口之间的流量不作区分，在处理上是处于同等的地位原始的TOS系统中，防火墙规则和路由转发规则都没有做出划分，所有规则都会应用于所有流经该模块的流量虚拟系统工作原理虚拟系统的数据处理示意图 虚拟系统工作原理设备上存在子接口,在使用上把每个实接口、子接口、VLAN接口都作同等对待，接口属性独立存在 虚拟系统工作原理系统间的流量互不相干，流量管理也是独立存在，互不影响 虚拟系统工作原理目前功能模块只有PF、FW、NAT支持虚拟系统虚拟系统工作原理流量的vsid和规则的vsid要匹配，如果不相同，则该规则不应用于该流量 虚拟系统工作原理连接表实现对VSID的支持虚拟系统工作原理对象支持虚拟系统虚拟系统工作原理静态和策略路由表支持虚拟系统 对多播路由的支持后续版本中完成虚拟系统工作原理虚拟系统有独立的管理帐户虚拟系统工作原理虚拟系统之间的配置完全独立 虚拟系统工作原理管理权限有限部分系统信息（只读）独占接口的配置（只读）路由规则（只读）对象配置（读写） PF规则（读写）FW规则（读写）NAT规则（读写）而对于其他的配置项目，比如DPI等，以后相关模块对虚拟系统支持之后逐步开放虚拟系统工作原理虚拟系统之间的通讯 目前不支持！！！竞争对手产品清华紫光的unisgate电信级安全网关NETSCREEN的高端产品系统 NETSCREEN已经实现全部功能的支持同时还支持虚拟系统的配置独立典型应用一：透明方式设备以纯透明方式接入用户使用两个TRUNK接口ETH0、ETH1，支持的VLAN为vlan10和vlan20Vlan10属于虚拟系统10，vlan20属于虚拟系统20两个虚拟系统访问权限不同：虚拟系统10只允许访问web服务，虚拟系统20只允许访问smtp和pop3 典型应用一：配置案例使用超级管理员登录在用户认证--管理员处--添加虚拟系统管理员 添加两个虚拟系统管理员vs10和vs20分别管理虚拟系统10和20典型应用一：配置案例添加VLAN10和VLAN20，修改它们的虚系统号为10和20修改eth0和eth1为交换接口TRUNK模式配置它们支持vlan10和vlan20 典型应用一：配置案例使用虚拟系统10管理员登录管理设备添加虚拟系统10的子网对象 添加虚拟系统10的自定义服务对象典型应用一：配置案例添加两条访问控制规则，只开放WEB的访问权限使用虚