防火墙虚拟化技术介绍第一篇

防火墙虚拟化技术

防火墙虚拟化介绍

什么是虚拟化

  1. 一虚多:一台物理机上面逻辑划分出多个虚拟机,每个虚拟机有自己的软件和硬件资源。可以提示系统资源利用率、节省硬件成本、能耗、空间等等
  2. 多虚一:以交换机的虚拟化为例,通过物理连线,将多个交换机堆叠成一个交换机,能提升其可靠性并降低运维成本

    防火墙的虚拟化

    ? 防火墙的虚拟化,就是将一台物理防火墙,从逻辑上划分为多台虚拟防火墙,但是共享CPU、内存等物理资源;不同的虚拟防火墙之间,配置、转发完全隔离,从而实现功能定制、个性化管理以及资源的最大化利用

    虚拟防火墙

    ? 上一代防火墙的虚拟化是完全依赖于***实例实现的。***-instance有独立的安全区域、路由表。通过绑定不同的接口,就相当于有了一台独立的防火墙。防火墙的基本要素,能实现路由转发、能实现基于安全区域的策略配置

    虚拟系统

    ? 下一代防火墙不再是完全依赖于***实例,而是改为了VSYS,即Virtual-system。为什么不叫虚拟防火墙了?因为我们要抛弃防火墙这硬件的概念,用系统这种逻辑概念来定义防火墙的虚拟化

    从VFW到VSYS

    ? 虚拟化就是为了让管理员觉得自己得到了一台真实的防火墙,那如何才能让管理员感受到这点呢
    a) 要有自己独立的管理员账号和独立的配置界面。在上一代防火墙上,这一点也勉强算是做到了,但做的不够好。因为很多功能并不能在虚拟防火墙独立的配置界面下完成,而是需要在根防火墙下完成
    b) 虚拟防火墙要有自己独立的软件资源,如会话表数、策略数、用户数等等,这样就不用去争抢公共的资源。上一代防火墙仅能分配最大带宽、会话数等少数几个资源项,而到了下一代防火墙,支持分配的资源项则是大大地丰富了

    ? 上一代防火墙的策略配置时在下一代防火墙上完全变了。以安全策略为例,上一代防火墙配置安全策略时,只能是在根防火墙中,通过指定根防火墙的安全区域和虚拟防火墙的安全区域的域间关系来配置安全策略。这样有两个弊端,一个是所有的策略配置只能由根系统管理员来完成;二是加入虚拟防火墙后的域间关系复杂,不利于理解和配置
    ? NGFW策略配置不再依赖于复杂的域间关系,你可以像配置物理设备一样来配置虚拟系统!

    ? 下一代防火墙配置时,如果是由根系统管理员来配置,都是使用switch命令进入相应的虚拟系统的配置视图,然后使用和配置物理防火墙时完全一样的命令来进行配置。这样管理员的配置思路会清晰很多,而且也不需要再记忆两套配置命令
    ? 将VSYS1视为一台独立的防火墙,使用switch命令进入其独立的命令行配置视图。配置命令和方法和原来的物理防火墙一样。例如,配置源和目的安全区域时,不再需要带上***-instance

    ? 需要完全抛弃上一代防火墙通过指定域间关系来配置策略的思路!
    ? 将VSYS1和根系统视为两个完全独立的防火墙,配置安全策略时,按照配置两台独立防火墙的策略的思路来完成
    ? Virtualif (虚拟接口)
    ? 默认根墙为virtualif 0, 虚拟系统的虚拟接口是从1开始,系统分配

    虚拟系统原理

    依然存在的***实例

    ? 上一代的虚拟防火墙是完全依赖于***-instance实现的,而下一代防火墙的虚拟系统不再完全依赖***-instance实现。但不是说下一代的虚拟系统就完全摒弃了***-instance。每个虚拟系统创建的时候,都会对应创建一个同名称的***-instance,这个***-instance就是为了实现各个虚拟系统之间的路由隔离的。也就是说虚拟系统在底层的转发业务上还是依赖于***-instance来实现,但到了上层的业务虚拟化时,就不再依赖于***-instance了
    ? 创建虚拟系统时,会自动创建一个和虚拟系统同名的***-instance
    ? 虚拟系统下,不能创建其他的***-instance,也不能删除默认绑定的***-instance
    ? 根系统下,有一个默认的公网实例(public)
    ? 根系统下,可以创建其他的***-instance,用于***多实例的应用

    虚拟系统主要概念

    ? ***实例: ***实例最初的含义是实现***(Virtual Private Network)报文转发所需的路由、接口等信息的集合,后来在防火墙版本如USGV3R1里,演化成了虚拟防火墙,一个***实例就是一个虚拟防火墙,它包含了路由、策略、系统管理和基本工具等子系统的克隆,是一个比较自为完善的逻辑防火墙。是防火墙虚拟化的基础,一个虚拟防火墙具有一个***实例
    ? ***实例有VRF-ID和RD(Route Distinguisher)两个属性。***实例通过RD实现地址空间独立,区分不同***使用的相同地址前缀。资源、配置和业务基于这个ID划分实例。 VRF的全称是*** Route Forwarding,它是一种通过路由区分以正确转发***报文的机制
    ? 在NGFW上,我们缩小了***实例的范畴,使其只负责网络接口、路由和转发的虚拟化,虚拟系统代替***实例来履行配置、上层业务等虚拟化的职责

    虚拟系统关键技术

    ? 虚拟化的基础是资源、配置和业务的虚拟化
    ? 使用ID区分是实现虚拟化的关键技术

    ? 虚拟化时使用了***实例的ID来区分报文、管理员、配置等等属于哪个虚拟防火墙。NGFW上创建虚拟系统时自动生成的***实例的ID固定为某一段值

    虚拟系统依赖关系

    虚拟系统系统管理

    ? 根系统
    缺省存在的一个特殊的虚拟系统,未配置其他虚拟系统时,根系统就等同于防火墙自身
    ? 根系统管理员
    配置根系统的业务外,还可以创建虚拟系统,并为虚拟系统分配资源和创建虚拟系统管理员
    ? 虚拟系统
    逻辑上划分出来的虚拟设备
    ? 虚拟系统管理员
    配置虚拟系统的业务


    ? 虚拟系统管理员在设置本系统时,将本系统的VSYS ID置入各业务的配置,用以区分不同虚拟系统的配置信息,即配置虚拟化
    ? 虚拟系统管理员只能设置和查看本系统的配置;根系统管理员可以切换至虚拟系统来设置和查看虚拟系统的配置
    ? 虚拟系统和根系统的配置分区域地保存在一个配置文件里

    虚拟系统资源分配

    ? 资源是指业务正常运转所必需的硬件、软件表项等各种形态的计算和存储单元。虚拟系统对资源的占用有两种方式:限额使用和共享抢占
    ? 对于关键资源两种均可选,对于非关键资源只有共享抢占方式
    ? 关键资源包括会话、一体化策略、用户、用户组、在线用户和带宽,其他为非关键资源
    ? 资源分配的目的是为了单个虚拟系统抢占了过多的资源,导致其他虚拟系统无法工作

    ? 限额使用的资源有两种方式
    a) 手工分配限额:手工配置数量 如会话、用户、策略等
    b) 自动分配限额:虚拟系统创建的时候就固定分配给虚拟系统了 如安全区域在虚拟系统创建时就固定分配8个
    ? 共享抢占资源:所有虚拟系统+根系统一起抢占,共用整机的资源 =没有做分配
    a) 如:地址和地址组、NAT地址池、时间段、各种表项等

    虚拟系统转发

    ? 报文在入接口上被打上标记,此标记即为接口所属虚拟系统ID
    ? 通过虚拟系统ID来查找其对应的FIB表、策略或者规则等,来正确处理报文

    ? 跨虚拟系统转发主要用于不同虚拟系统管辖的网络间相互通信的场景,流量在物理防火墙内就需要完成转发,虚拟系统间报文的通信像物理防火墙之间通信一样。通过虚拟接口技术可以实现数据包跨虚拟系统的转发
    ? 虚拟系统和根系统通过虚拟接口通信。虚拟系统间访问通过根系统中转。配置时,将各个虚拟系统当成独立的设备
    ? 创建虚拟系统时系统自动为其创建的一个虚拟接口,作为虚拟系统自身与其他虚拟系统之间通信的接口。与设备上其他的接口不同的是,虚拟接口不配置IP地址也能生效。虚拟接口名的格式为“Virtualif+接口号”,根系统的虚拟接口名为Virtualif0,其他虚拟系统的Virtualif接口号从1开始,根据系统中接口号占用情况自动分配
    ? 各个虚拟系统的虚拟接口和根系统的虚拟接口之间默认通过一条“虚拟链路”连接。将虚拟接口加入安全区域并按照配置一般设备间互访的思路配置路由和安全策略,就能实现虚拟系统与根系统之间的互访
    ? 由于每个虚拟系统和根系统都是连通的,可以将根系统视为一台连接多个虚拟系统的“路由器”,通过这台“路由器”的中转,可以实现两个虚拟系统之间的互访

原文地址:https://blog.51cto.com/13817711/2484839

时间: 2024-11-15 01:09:21

防火墙虚拟化技术介绍第一篇的相关文章

防火墙虚拟化技术介绍第二篇

虚拟系统基本配置 启动虚拟系统 执行vsys enable(系统视图下)命令启用虚拟系统功能 vsys enable ----------------虚拟系统开启 规划资源 ? 由于NGFW上所创建的虚拟系统会共同使用NGFW的资源,为避免因某个虚拟系统占用大量资源,导致其他虚拟系统无法获取资源.业务无法正常运行的情况,需要对单个虚拟系统允许使用的资源进行约束? 虚拟系统的资源分配是通过在资源类中规划资源数,再将资源类绑定虚拟系统来实现的.一个资源类可以同时被多个虚拟系统绑定? 当多个虚拟系统的

【NodeJs】我的NodeJs技术总结——第一篇

既然是我的技术总结,那就是以我的技术水平为基础的,写浅了大家不要笑话,如果有错误的地方还望指正. 这第一篇就谈谈NodeJs的一些编程细节吧. 1.遍历数组 for (var i=0, l=arr.length; i<l; i++) 这样写的一个好处就是让每次循环少一步获取数组对象长度的操作,数组长度越长,价值越明显. 2.判断变量的真假 if (a) {...} //a='', a='0', a=[], a={} if条件判断的结果分别是:false, true, true, true.这个结

elasticsearch技术实战——第一篇(使用篇)

为了提高搜索命中率和准确率,改善现有羸弱的搜索功能,公司决定搭建全文搜索服务.由于之前缺乏全文搜索使用经验,经过一番折腾,终于不负期望按期上线.总结了一些使用心得体会,希望对大家有所帮助.计划分三篇: 第一篇(使用篇),主要讲解基本概念.分词.数据同步.搜索API. 第二篇(配置及参数调优篇),主要围绕JVM参数调优.异常排查.安全性等方面讲解. 第三篇(倒排索引原理篇),知其然知其所以然. 一.技术选型 说到全文搜索大家肯定会想到solr和elasticsearch(以下简称es),两者都是基

虚拟化技术之虚拟化技术介绍及Xen的应用实现

虚拟化技术是什么: 在计算机中,虚拟化(英语:Virtualization)是一种资源管理技术,是将计算机的各种实体资源,如服务器.网络.内存及存储等,予以抽象.转换后呈现出来,打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源.这些资源的新虚拟部份是不受现有资源的架设方式,地域或物理组态所限制.一般所指的虚拟化资源包括计算能力和资料存储.--转自百度百科 为什么需要虚拟化:  虚拟化技术在近几年来非常的火热, 实际上在上个世纪60年代, 就已经有了虚拟化的实现.由于

虚拟化技术介绍

什么是虚拟化? 虚拟化(英语:Virtualization)是一种资源管理技术,是将计算机的各种实体资源,如服务器.网络.内存及存储等,予以抽象.转换后呈现出来,打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源.这些资源的新虚拟部份是不受现有资源的架设方式,地域或物理组态所限制.一般所指的虚拟化资源包括计算能力和资料存储. 为什么要用虚拟化? 1.基础架构的利用率,通过将基础架构资源池化并打破一个应用一台物理机的限制,虚拟化大幅提升了资源利用率.通过减少额外硬件的采

虚拟化技术介绍、Xen的简单实现

虚拟化是什么? 虚拟化是一种资源管理技术, 是将计算机的各实体资源, 如服务.网络.内存及存储等, 予以抽象.转换后呈现出来, 打破实体之间的不可切割的障碍, 使用户可以比原本的配置更好的方式来应用这些资源.这些资源的新虚拟部分是不受现有资源的架设方式, 地域或物理配置所限制.一般情况下, 虚拟化资源包括计算能力和数据存储 -<转自维基百科> 为什么需要虚拟化? 虚拟化技术在近几年来非常的火热, 实际上在上个世纪60年代, 就已经有了虚拟化的实现.由于计算机的发展遵循了摩尔定律数十年之久. 在

openstack成长之旅 - 2 虚拟化技术介绍及KVM安装

openstack作为一个开源的云计算平台,利用虚拟化和底层的存储服务,提供了可扩展.灵活.适应性强的云计算服务,因此学好虚拟化技术就是掌握openstack开源云计算平台的关键,今天就说说虚拟化技术. 相信只要是现在做IT行业的人,多多少少的应该都会知道些虚拟化,若是你知道,那么我很郑重的告诉你 "你OUT了",对于现在来说虚拟化已经相对于成熟了,出现了很多开源的虚拟化软件,就像我们平时自己做实验的vmware workstation,virtualbox等等,都是可以虚拟出主机来帮

Xen、OpenVZ、KVM、Hyper-V、VMWare虚拟化技术介绍

国内外vps主机提供商所提供的主机大多是基于Xen.OpenVZ.KVM.Hyper-V.VMWare五种虚拟化技术. 一.Xen 官网:http://xen.org/ Xen 由剑桥大学开发,它是基于硬件的完全分割,物理上有多少的资源就只能分配多少资源,因此很难超售.可分为Xen-PV(半虚拟化),和Xen-HVM(全虚拟化). Xen是不能超售内存和硬盘的,当母服务器只有16G内存以及100G硬盘时,当开Xen架构(任意一个虚拟化)的1G内存.25G硬盘的子机时,会直接占用服务器1G内存,以

C++几个常用类介绍第一篇

 一.常用的C++MFC类 1.CString 网址:http://baike.baidu.com/link?url=PDpqZHn6cNhR4uoOpyxeTT7O6Vv1F15q4kgAomDiFwGP_lnXxUYkZsdSZ_FdThwKs0tLJkb-1ZcQVG_Qg9Wdeq 1)字符串连接能体现出 CString 类型方便性特点的一个方面就是字符串的连接,使用 CString 类型,你能很方便地连接两个字符串,正如下面的例子: CString gray("Gray"