总体介绍
• 虚拟防火墙(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。每个虚拟防火墙相当于一台真实的设备,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟防火墙管理员进行配置和管理。
虚拟防火墙特点:
• 管理独立
每个虚拟防火墙由独立的管理员进行管理,使得多个虚拟防火墙的管理更加清晰简单,所以非常适合大规模的组网环境。
• 表项独立
每个虚拟防火墙拥有独立的配置及路由表项,这使得虚拟防火墙下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。
• 资源固定
可以为每个虚拟防火墙分配固定的防火墙资源,保证不会因为一个虚拟防火墙的业务繁忙而影响其他虚拟防火墙。
• 流量隔离
虚拟防火墙之间的流量相互隔离,更加安全。在需要的时候,虚拟防火墙之间也可以进行安全互访。
• 虚拟防火墙实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。
应用场景
• 通常大中型企业的网络为多地部署,设备数量众多,网络环境复杂。而且随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越清晰,每个部门都会有不同的安全需求。这些将导致防火墙的配置异常复杂,管理员操作容易出错。通过防火墙的虚拟化技术,可以在实现网络隔离的基础上,使得业务管理更加清晰和简便。
• 通过多个虚拟防火墙将各部门的网络隔离开来。各部门的虚拟防火墙由本部门的IT管理员管理。各管理员可以根据自身部门要求配置不同的上网认证策略、安全策略、带宽策略等。
• 各部门之间可以根据权限互相访问,不同部门的管理员权限区分明确。各部门通过共享根防火墙的接口进行Internet互联。企业内网用户可以根据不同部门的权限访问Internet的特定网站(或者内网资源)。
• 新兴的云计算技术,其核心理念是将网络资源和计算能力存放于网络云端。网络用户只需通过网络终端接入公有网络,就可以访问相应的网络资源,使用相应的服务。在这个过程中,不同用户之间的流量隔离、安全防护和资源分配是非常重要的一环。通过配置虚拟防火墙,就可以让部署在云计算中心出口的防火墙具备云计算网关的能力,对用户流量进行隔离的同时提供强大的安全防护能力。
虚拟防火墙原理
• NGFW上存在两种类型的虚拟防火墙:
• 根防火墙(public):
o 根防火墙是防火墙上缺省存在的一个特殊的虚拟防火墙。即使虚拟防火墙功能未启用,根防火墙也依然存在。此时,管理员对防火墙进行配置等同于对根防火墙进行配置。启用虚拟防火墙功能后,根防火墙会继承先前防火墙上的配置。
o 在虚拟防火墙这个特性中,根防火墙的作用是管理其他虚拟防火墙,并为虚拟防火墙间的通信提供服务。
• 虚拟防火墙(VSYS):
虚拟防火墙是在防火墙上划分出来的、独立运行的逻辑设备。
• 为了实现每个虚拟防火墙的业务都能够做到正确转发、独立管理、相互隔离,防火墙主要实现了几个方面的虚拟化:
• 资源虚拟化:每个虚拟防火墙都有独享的资源,包括接口、VLAN、策略和会话等。根防火墙管理员分配给每个虚拟防火墙,由各个虚拟防火墙自行管理和使用。
• 配置虚拟化:每个虚拟防火墙都拥有独立的虚拟防火墙管理员和配置界面,每个虚拟防火墙管理员只能管理自己所属的虚拟防火墙。
• 安全功能虚拟化:每个虚拟防火墙都可以配置独立的安全策略及其他安全功能,只有属于该虚拟防火墙的报文才会受到这些配置的影响。
• 路由虚拟化:每个虚拟防火墙都拥有各自的路由表,相互独立隔离。目前仅支持静态路由的虚拟化。
• 从而使每个虚拟防火墙的管理员都像在使用一台独占的设备。
虚拟专用网路实例
• 虚拟专用网路-Instance的概念最初是在BGP/MPLS 虚拟专用网路中引入的,其主要作用是隔离虚拟专用网路路由与公网路由,以及隔离不同虚拟专用网路的路由。使用虚拟专用网路-Instance,可以在一台路由器上虚拟出多台相互独立的路由器,在IP网络中实现路由隔离。在防火墙中,也有虚拟专用网路-Instance。
NGFW上的虚拟专用网路实例包括如下两种形态:
• 创建虚拟防火墙时自动生成的虚拟专用网路实例
o 创建虚拟防火墙时,会自动生成相同名字的虚拟专用网路实例。该虚拟专用网路实例的主要作用是业务隔离和路由隔离(静态路由)。
o 也就是说虚拟防火墙在底层的转发业务上还是依赖于虚拟专用网路-instance来实现,但到了上层业务虚拟化时,就不再依赖于虚拟专用网路-instance了。管理虚拟防火墙的就好像管理一台真正独立的设备一样,配置只需要在虚拟防火墙下操作,且配置无需与虚拟专用网路-instance挂钩,极大简化了管理员的工作。
• 管理员手动创建的虚拟专用网路实例
o 管理员使用ip 虚拟专用网路-instance命令手动创建的虚拟专用网路实例,该虚拟专用网路实例主要用于MPLS场景中,作用是路由隔离。没有实现虚拟化的功能需要使用虚拟专用网路实例来配置多实例功能,如动态路由、组播、IPSec 虚拟专用网路、L2TP 虚拟专用网路等。我们所说的用来进行路由隔离的虚拟专用网路实例,指的就是管理员手动创建的虚拟专用网路实例。
管理员
根防火墙管理员
• 启用虚拟防火墙功能后,设备上已有的管理员将成为根防火墙的管理员。管理员的登录方式、管理权限、认证方式等均保持不变。根防火墙管理员负责管理和维护设备、配置根防火墙的业务。
• 只有具有虚拟防火墙管理权限的根防火墙管理员才可以进行虚拟防火墙相关的配置,如创建、删除虚拟防火墙,为虚拟防火墙分配资源等。
虚拟防火墙管理员
• 创建虚拟防火墙后,根防火墙管理员可以为虚拟防火墙创建一个或多个管理员。虚拟防火墙管理员的作用范围与根防火墙管理员有所不同:虚拟防火墙管理员只能进入其所属的虚拟防火墙的配置界面,能配置和查看的业务也仅限于该虚拟防火墙;根防火墙管理员可以进入所有虚拟防火墙的配置界面,如有需要,可以配置任何一个虚拟防火墙的业务。
• 为了正确识别各个管理员所属的虚拟防火墙,虚拟防火墙管理员用户名格式统一为“管理员名@@虚拟防火墙名”。
资源分配
• NGFW资源分配支持定额分配或手工分配,其他的资源项则是各个虚拟防火墙一起共享抢占。
定额分配
• 此类资源直接由防火墙按照规格自动进行分配。
• 资源列表:SSL 虚拟专用网路虚拟网关,安全区域。
手工分配
• 此类资源由用户通过命令行或Web界面中的资源类手动分配。
• 资源列表:接口,VLAN,公网IP,IPv4会话数,IPv6会话数,IPv4新建会话速率,IPv6新建会话速率,在线用户数,SSL 虚拟专用网路并发用户数,用户数,用户组,安全组数,策略数,带宽。
• 手工分配资源时可配置保证值和最大值
• 保证值:虚拟防火墙可使用某项资源的最小数量。这部分资源一旦分配给虚拟防火墙,就被该虚拟防火墙独占。
• 最大值:虚拟防火墙可使用某项资源的最大数量。虚拟防火墙可使用的资源能否达到最大值视其他虚拟防火墙对该项资源的使用情况而定。
• 共享抢占资源:地址和地址组,地区和地区组,自定义服务和自定义服务组,自定义应用和自定义应用组,NAT地址池,时间段,带宽通道,静态路由条目,各种表项,如Server-map表、IP-MAC地址绑定表、ARP表、MAC地址表等。
流量计算
公网接口主要用于统计虚拟防火墙的流量。公网接口指接口下配置了set public-interface命令的接口。私网接口则是指未配置set public-interface的接口。
• 虚拟防火墙A有两个公网接口和两个私网接口。虚拟防火墙A入方向流量、出方向流量和整体流量如下:
• 入方向(inbound)流量:从公网接口流向私网接口的流量。受入方向带宽的限制。
• 出方向(outbound)流量:从私网接口流向公网接口的流量。受出方向带宽的限制。
• 整体(entire)流量:虚拟防火墙的全部流量 = 入方向流量 + 出方向流量 + 私网接口到私网接口的流量 + 公网接口到公网接口的流量。整体流量受整体带宽的限制。
• 在跨虚拟防火墙转发的场景中,Virtual-if(虚拟接口)接口默认为公网接口。
分流
• 用于确定报文与虚拟防火墙归属关系的过程称为分流。通过分流能将进入设备的报文送入正确的虚拟防火墙处理。
• 防火墙支持基于接口分流和基于VLAN分流两种分流方式。
• 基于接口的分流方式:接口工作在三层。
• 基于VLAN的分流方式:接口工作在二层。
• FW上未配置虚拟防火墙时,报文进入防火墙后直接根据根防火墙的策略和表项(会话表、MAC地址表、路由表等)对其进行处理。FW上配置了虚拟防火墙时,每个虚拟防火墙都相当于一台独立的设备,仅依据虚拟防火墙内的策略和表项对报文进行处理。因此,报文进入防火墙后,首先要确定报文与虚拟防火墙的归属关系,以决定其进入哪个虚拟防火墙进行处理。我们将确定报文与虚拟防火墙归属关系的过程称为分流。
虚拟接口
• 虚拟接口是创建虚拟防火墙时防火墙自动为其创建的一个逻辑接口,作为虚拟防火墙自身与其他虚拟防火墙之间通信的接口。各个虚拟防火墙以及根防火墙的虚拟接口之间默认通过一条“虚拟链路”连接。通过将虚拟接口加入安全区域并按照配置一般设备间互访的思路配置路由和策略,就能实现虚拟防火墙和根防火墙的互访、虚拟防火墙之间的互访。
• 虚拟接口的链路层和协议层始终是UP的。虚拟接口可以不配置IP地址,但必须要加入安全区域,否则无法正常工作。虚拟接口名的格式为“Virtual-if+接口号”,根防火墙的虚拟接口名为Virtual-if0,其他虚拟防火墙的Virtual-if接口号从1开始,根据防火墙中接口号占用情况自动分配。
虚拟防火墙与跟防火墙的通信
• 虚拟防火墙vsysa下10.3.0.0/24网段的用户通过根防火墙的公网接口GE1/0/1访问Internet服务器3.3.3.3。
• 客户端向服务器发起连接。
• 首包到达防火墙后,基于接口分流,被送入虚拟防火墙vsysa。vsysa按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果vsysa不允许转发报文,则丢弃报文,流程结束;如果vsysa允许转发报文,则将报文送入根防火墙中处理。同时,vsysa会为这条连接建立会话。
• 根防火墙的虚拟接口Virtual-if0收到报文后,根防火墙按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果根防火墙不允许转发报文,则丢弃报文,流程结束;如果根防火墙允许转发报文,则将报文发往服务器。同时,根防火墙会为这条连接建立如下会话。
• 报文经过路由转发后,到达目的服务器。
• 回程报文到达防火墙根防火墙后匹配会话表转发到虚拟防火墙A,虚拟防火墙A上必须要有内网的路由。根防火墙中不需要针对服务器回应的报文配置回程路由。服务器回应的报文在根防火墙中匹配会话表后,直接发送到虚拟防火墙中处理。
虚拟防火墙与虚拟防火墙之间的通信类似虚拟防火墙与跟防火墙之间的通信
