防火墙虚拟系统概述及实现原理
一、概述
虚拟系统技术是把一台防火墙从逻辑上划分为多台防火墙,即虚拟系统。每个虚拟系统可相当于一台真实的设备,可以拥有自己的接口以及路由表等软硬件资。虚拟系统之间默认互相隔离,便于管理以及提高了安全性。
1、几方面的虚拟化
资源虚拟化:管理员可以为每个虚拟系统分配独享的系统资源以及对资源的配额进行限制,充分利用整机的资源,同时避免某个虚拟系统的业务繁忙影响其他虚拟系统的业务运行。
业务配置虚拟化:可以实现配置一个虚拟系统的业务如同配置一台物理防火墙,简化了网络的管理模式以及业务配置的复杂度。
路由表项虚拟化:每个虚拟系统都拥有独立的路由表,不同虚拟系统下的子网即使使用了相同的网段仍可以正常通信,同时,虚拟系统之间的流量相互隔离,仅在有业务需求时能够通过配置实现安全互访。
安全功能虚拟化:每个虚拟系统都可以配置独立的安全策略及其他安全功能,实现对虚拟系统下局域网的安全防护,只有属于该虚拟系统的报文才会受到该虚拟系统下配置的安全功能的影响。
2、场景
大中型企业的网络隔离:大中型企业网络一般为多地部署,防火墙数量众多,网络环境复杂,各业务部门职能权责分明,会有不同的安全需求,将会导致防火墙配置异常复杂,通过防火墙的虚拟系统,可以在实现网络隔离的基础上,使得业务管理更加清晰简便。
云计算中心安全网关:将网络资源和计算能力存放在网络云端,网络用户只需通过网络终端接入公有网络,就可以访问相应的网络资源并使用对应服务,通过配置虚拟系统,可以让部署在云计算中心出口的防火墙具备有云计算网关的能力,对用户流量进行隔离的同时提供强大的安全防护能力。
二、实现原理
1、虚拟系统类型
根系统:Public,默认存在的一个特殊的虚拟系统,即使VSYS为启用,public也依然存在,管理员默认对防火墙配置等同于对public进行配置,作用是管理其他VSYS,并为虚拟系统间通信提供服务。
虚拟系统:在防火墙上划分出来的独立运行的逻辑防火墙,需要在根系统下创建以及为其分配资源。
2、虚拟系统管理员权限
根系统管理员:虚拟系统功能启动后防火墙管理员自动成为根系统管理员,管理员的登录方式、管理权限、认证方式等均保持不变,根系统管理员负责管理和维护防火墙、配置根系统业务。
虚拟系统管理员:创建虚拟系统后,根系统管理员可以为虚拟系统创建一个或者多个管理员,虚拟系统管理员只能进入其所属的虚拟系统配置界面,根系统管理可以进入所有虚拟系统的配置界面。虚拟系统管理员用户名格式:管理员名@@虚拟系统名
3、虚拟系统的资源分配
管理员可以为每个虚拟系统分配独享的系统资源以及对资源的配额进行限制,充分利用整机的资源。
3.1、定额分配
| 资源项名称 | 说明 |
| SSL VPN虚拟网关 | 根系统最多可创建的虚拟网关数量受整机规格限制,单个虚拟系统最多可创建4个虚拟网关,所有虚拟系统和根系统最多可创建的虚拟网关数量不超过整机规格。 |
| 安全区域 | 虚拟系统安全区域的规格与根系统完全一致且相互独立,每个虚拟系统都拥有四个默认的安全区域且不能删除及修改,即trust、untrust、local、dmz。 |
| 五元组抓包队列 | 根系统有四个抓包队列,单个虚拟系统有2个抓包队列,所有虚拟系统抓包队列的总数受整机规格限制,当虚拟系统已使用的抓包队列达到整机规格的上限时,用户无法在虚拟系统中配置新的五元组抓包。 |
支持定额分配的资源项会根据系统规格在虚拟系统创建时自动分配给虚拟系统。
3.2、手工分配
3.2.1、创建虚拟系统直接分配
| 资源项名称 | 说明 |
| 公网IP地址 | 虚拟系统中配置NAT地址池或NAT服务器映射地址时需要使用公网IP地址。此时,必须使用在创建虚拟系统时为虚拟系统分配的公网IP地址,否则会导致NAT的相关配置下发失败。 公网IP地址的分配模式包括独立模式和共享模式: 在独立模式下,已分配的公网IP地址不能再分配给其他虚拟系统使用。 在共享模式下,已分配的公网IP地址可以以共享模式再次分配给其他虚拟系统使用。 无论分配模式使用的是独立模式还是共享模式,IP地址分配给虚拟系统后,根系统的 NAT地址池和NAT服务器映射地址都不能再使用该IP地址。 配置命令为虚拟系统管理视图下的assign global-ip start-address end-address { exclusive | free} |
| L2TP资源 | 表示虚拟系统下可使用的L2TP资源(组类型为LNS和LAC的L2TP)个数的总和,可理解为虚拟系统下最多支持绑定的Virtual-Template接口个数。在配置时,需要先在根系统下配置一个Virtual-Template接口,然后在虚拟系统管理员视图下使用assign interface命令将事先配置好的Virtual-Template接口绑定到虚拟系统下。 最多支持为一个虚拟系统预分配10个Virtual-Template接口,该配置项未配置时默认为0,表示虚拟系统下未分配Virtual-Template接口。 |
| 内容安全开关 | 仅支持为虚拟系统配置内容安全特性(反病毒、入侵防御、URL过滤)的使用权限,不支持为虚拟系统分配具体的资源。为虚拟系统配置URL过滤功能的使用权限后,虚拟系统可同时获得DNS过滤功能的使用权限。 配置命令为虚拟系统管理视图下的assign function { av | ips | url-filter } |
| 日志缓冲区 | 虚拟系统的日志缓冲区用于存放虚拟系统产生的日志信息(包括系统日志和业务日志),与根系统的日志缓冲区互为独立存在,防火墙上所有的虚拟系统均共享并抢占该虚拟系统日志缓冲区资源。 支持为单个虚拟系统配置系统日志及业务日志的日志缓冲区保证值,配置后同时对两种日志生效。 |
还有接口、VLAN、VXLAN也属于此类型分配。
3.2.1、通过创建资源类和绑定资源类分配
保证值:虚拟系统可使用某项资源的最小数量,一旦分配即独占。
最大值:最大数量,空闲时可额外分配于虚拟系统。
支持配置和绑定资源类方式分配的资源项:IPv4会话数、IPv6会话数、在线用户数、用户数、用户组数、安全组数、策略数、带宽策略数、IPSec隧道数、L2TP隧道数、SSL VPN并发用户数、入方向带宽、出方向带宽、整体带宽、IPv4新建会话速率、IPv6新建会话速率。
若虚拟系统绑定的资源类对某些资源未指定最大值和保证值,则虚拟系统对这些资源的使用不受限制。
资源类中的带宽资源分为入方向带宽、出方向带宽和整体带宽三类。如何判断:看该数据流的出接口或者如接口。
入方向带宽:从公网接口到私网接口的带宽。
出方向带宽:从私网接口到公网接口的带宽。
整体带宽:虚拟系统的整体带宽=入方向带宽+出方向带宽+私网接口到私网接口的带宽+公网接口到公网接口的带宽。
公网接口:分配接口时设定的公共接口(set public-interface的接口)
私网接口:未配置set public-interface的接口
在虚拟系统互访中,虚拟接口默认为公网接口。
例子①:创建资源类r1,会话保证值1000、会话最大值5000、用户数300、用户组数10、策略数300、整体带宽限制为10Mbit/s。
[USG]vsys enable
[USG]display resource global-resource
2024-02-07 06:37:19.260
Global resource table:
------------------------------------------------------------
Global-Number Remained-Number
session 5000 5000
session-rate 6000 6000
ipv6 session 128 128
ipv6 session-rate 10000 10000
bandwidth 10 10
policy 1000 1000
traffic-policy 16 16
ssl--concurrent 100 100
online-user 500 500
user 500 500
user-group 128 128
security-group 500 500
-tunnel 200 200
ipsec-tunnel 10 10
------------------------------------------------------------
[USG]resource-class r1
[USG-resource-class-r1]resource-item-limit ?
bandwidth Indicate bandwidth
ipsec-tunnel Indicate ipsec tunnel numbers
ipv6 Indicate IPv6
-tunnel Indicate the number of L2TP tunnels
online-user Indicate the number of online users
policy Indicate the number of policies
security-group Indicate the number of security groups
session Indicate the number of sessions
session-rate Indicate new sessions per second
ssl--concurrent Indicate the ssl
traffic-policy Indicate the number of traffic policies
user Indicate the number of users
user-group Indicate the number of user groups
[USG-resource-class-r1]resource-item-limit session reserved-number 1000 maximum
5000
[USG-resource-class-r1]resource-item-limit user reserved-number 300
[USG-resource-class-r1]resource-item-limit user-group reserved-number 10
[USG-resource-class-r1]resource-item-limit policy reserved-number 300
[USG-resource-class-r1]resource-item-limit bandwidth 10 entire例子②:利用例子①的资源类,创建虚拟系统vsysa并分配资源。
[USG]vsys name vsysa
[USG-vsys-vsysa]assign resource-class r1
[USG-vsys-vsysa]assign interface GigabitEthernet 1/0/1
[USG]switch vsys vsysa
sys
Enter system view, return user view with Ctrl+Z.
[USG-vsysa]] 3.3、共享抢占
共享抢占,即不可分配。
地址、地址组、NAT地址池、证书、时间段、自定义服务/服务组、自定义应用/应用组、地区/地区组、带宽通道、静态路由条目、Server-map表、IP-MAC表、ARP表、MAC表等表项。
4、虚拟系统的分流
4.1、基于接口分流
防火墙工作在第三层,根据组网需要,将G1/0/1、G1/0/2、G1/0/3接口分别分配给虚拟系统vsysa、vsysb、vsysc,作为其专属的内网接口,接口分配给虚拟系统后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。
[USG]vsys enable
[USG]vsys name vsysa
[USG-vsys-vsysc]assign interface GigabitEthernet 1/0/1
Info: All related configurations on this interface are removed.
[USG]vsys name vsysb
[USG-vsys-vsysb]assign interface GigabitEthernet 1/0/2
Info: All related configurations on this interface are removed.
[USG]vsys name vsysc
[USG-vsys-vsysc]assign interface GigabitEthernet 1/0/3
Info: All related configurations on this interface are removed.4.2、基于VLAN分流
防火墙工作在第二层,根据组网需要,内网接口为Trunk接口并允许VLAN 10、20、30报文通过,且通过不同虚拟系统处理。
[USG]vlan batch 10 20 30
Info: This operation may take a few seconds. Please wait for a moment...done.
[USG]vsys name vsysa
[USG-vsys-vsysa]assign vlan 10
[USG-vsys-vsysa]vsys name vsysb
[USG-vsys-vsysb]assign vlan 20
[USG-vsys-vsysb]vsys name vsysc
[USG-vsys-vsysc]assign vlan 30参考资料:防火墙和VPN技术与实践——李学昭