虚拟化防火墙安装.doc

整理范本编辑 word 虚拟化防火墙安装使用指南虚拟化防火墙安装使用指南 天融信 TOPSEC 北京市海淀区上地东路 1 号华控大厦 100085 电话 8610 82776666 传真 8610 82776677 服务热线 8610 8008105119 整理范本编辑 word 版权声明版权声明 本手册中的所有内容及格式的版权属于北京天融信公司 以下 简称天融信 所有 未经天融信许可 任何人不得仿制 拷贝 转 译或任意引用 版权所有不得翻印 2013 天融信公司 商标声明商标声明 本手册中所谈及的产品名称仅做识别之用 手册中涉及的其他 公司的注册商标或是版权属各商标注册人所有 恕不逐一列明 TOPSEC 天融信公司 信息反馈信息反馈 整理范本编辑 word 1前言前言 1 1 1文档目的 1 1 2读者对象 1 1 3约定 1 1 4技术服务体系 1 2虚拟化防火墙简介虚拟化防火墙简介 3 3安装安装 4 3 1OVF 模板部署方式 4 3 2ISO 镜像安装方式 11 3 2 1上传vFW ISO文件 11 3 2 2创建vFW虚拟机 13 3 2 3安装vTOS操作系统 22 4TOPPOLICY 管理虚拟化防火墙管理虚拟化防火墙 28 4 1安装 TOPPOLICY 28 4 2管理虚拟化防火墙 29 5配置案例配置案例 33 5 1虚拟机与外网通信的防护 33 5 1 1基本需求 33 5 1 2配置要点 33 5 1 3配置步骤 34 5 1 4注意事项 45 5 2虚拟机之间通信的防护 46 5 2 1基本需求 46 5 2 2配置要点 46 5 2 3配置步骤 47 5 2 4注意事项 55 附录附录 A重新安装虚拟化防火墙重新安装虚拟化防火墙 56 目录目录 整理范本编辑 word 1 前言前言 本文档主要介绍虚拟化防火墙的安装 配置 使用和管理 通过阅读本文档 用户 可以了解虚拟化防火墙的基本设计思想 并根据实际应用环境安装和配置防火墙 本章内容主要包括 文档目的 读者对象 约定 技术服务体系 1 1文档目的文档目的 本文档主要介绍虚拟化防火墙的安装 配置和使用 通过阅读本文档 用户能够正 确地安装和配置虚拟化防火墙 并综合运用安全设备提供的多种安全技术有效地保护用 户虚拟化设备 实现高效可靠的安全通信 1 2读者对象读者对象 本用户手册适用于具有基本网络和虚拟化平台知识的系统管理员或网络管理员阅读 1 3约定约定 本文档遵循以下约定 表示页面内容引用 点击 选择 一个菜单项时 采用如下约定 点击 选择 高级管理高级管理 特殊对特殊对 象象 用户用户 文档中出现的提示和说明是关于用户在安装和配置虚拟化防火墙过程中需要特 别注意的部分 请用户在明确可能的操作结果后 再进行相关配置 文档中出现的接口标识是为了表示方便 不一定与设备接口名称相对应 1 4技术服务体系技术服务体系 天融信公司对于自身所有安全产品提供远程产品咨询服务 广大用户和合作伙伴可 以通过多种方式获取在线文档 疑难解答等全方位的技术支持 整理范本编辑 word 公司主页 在线技术资料 安全解决方案 技术支持中心 天融信全国安全服务热线 800 810 5119 整理范本编辑 word 2 虚拟化防火墙简介虚拟化防火墙简介 云计算是一种新兴的共享基础架构的方法 可以将巨大的系统池连接在一起以提供 各种 IT 服务 虚拟化是云计算的重要基础设施 虚拟化的目的是虚拟化出一个或多个相 互隔离的执行环境 用于运行操作系统及应用 并且确保在虚拟出的环境中操作系统与 应用的运行情况与在真实的物理设备上运行的情况基本相同 虚拟化技术使得系统中的 物理设施资源利用率得到明显提高 还使得系统动态部署变得更加灵活 便捷 虚拟化是未来网络的重要支撑技术 虚拟化的安全也要得到全面防护 虽然虚拟化 IT 基础设施将与物理服务器环境共同面对相同的安全挑战 但用户可以充分利用多处理 器 多核体系架构和虚拟化软件提供安全机制对其进行防护 通过采用天融信提供的虚 拟化防火墙 能够对虚拟化系统提供全面的安全解决方案 使用户可以在安全的环境下 充分的发挥虚拟化所带来的优势 帮助用户扩展虚拟化部署以保护全部关键任务系统 虚拟化防火墙 是以天融信公司具有自主知识产权的 vTOS 操作系统 virtual Topsec Operating System 为系统平台 采用开放性的系统架构及模块化的设计 融合了 防火墙 IPSEC SSLVPN 抗 DOS 攻击 IDS IPS WEB 防护等多种引擎 构建而成的 一个安全 高效 易于管理和扩展的防火墙 vTOS 操作系统是天融信自主研发的新一代系统平台 采用全模块化设计 中间层 理念 具有高效性 高安全性 高健壮性 扩展性 可移植性 模块化等特征 vTOS 操作系统能够作为主流的完全虚拟化或半虚拟化的虚拟机管理器的 Guest OS 为虚拟化 环境提供灵活 高效 全面的解决方案 虚拟化防火墙是一个具有高度综合性和集成性的高层网络安全应用系统 它利用虚 拟机管理器实现了硬件的扩展性 利用虚拟机机制实现了防火墙的高扩展性和高可用性 企业在部署虚拟化防火墙后 能够使自己的虚拟网络和物理网络具有相同的安全性 虚拟化防火墙由集中管理平台 TP 和虚拟化安全网关 vFW 构成 集中管理平 台 TP 负责安全策略的集中管理 支持安全策略的迁移功能 虚拟化安全网关 vFW 以虚拟机的形式部署在虚拟化平台上 并通过虚拟化平台接入引擎获得虚拟化 平台的网络通信数据 从而对所有虚拟机之间以及虚拟化平台本身的网络通信进行防护 整理范本编辑 word 3 安装安装 虚拟化防火墙支持 VMware vSphereESXi KVM XEN 及 Hyper V 虚拟化平台 通过在相应虚拟化平台上部署虚拟化防火墙 可以实时防护虚拟化环境中各虚拟机间 的通信以及各虚拟机与外网通信 本章主要介绍如何安装虚拟化防火墙 包括 OVF 模 板方式和 vFW ISO 文件方式 以 OVF 模板方式部署虚拟化防火墙可以直接将预先配置的虚拟化防火墙 包括 vTOS 操作系统及相关配置 添加到虚拟化环境中 而以 vFW ISO 方式安装虚拟化防 火墙需要先创建虚拟机再通过 cdrom 方式安装 vFW 但可以适应更多的虚拟化平台 下面以 VMwarevSphereESXi5 0 平台为例 介绍如何通过 VMware vSphere Client 安装虚拟化防火墙 3 1OVF 模板部署方式模板部署方式 通过 VMware vSphere Client 可以在 VMware vCenter Server 或 ESXi 主机中部署 以开放式虚拟机格式 OVF 存储的虚拟化防火墙 天融信公司提供的虚拟化防火墙 的 OVF 模板为 ova 格式 VMware vSphere Client 在导入 OVF 模板之前会进行验证 可确保 OVA 文件与其 相关联的 VMware vCenter Server 或 ESXi 兼容 采用 OVF 模板方式在 VMware vCenter Server 中安装虚拟化防火墙的具体操作步骤 如下 1 在 VMware vCenter Server 菜单栏中 选择 文件文件 部署部署 OVF 模板模板 如下图所 示 整理范本编辑 word 2 点击 浏览 导入本地存储的 OVF 模板 如下图所示 在计算机本地选择虚拟化防火墙的 OVF 模板 点击 打开 如下图所示 整理范本编辑 word 3 点击 下一步 查看 OVF 模板的详细信息 如下图所示 整理范本编辑 word 4 点击 下一步 设置部署的虚拟化防火墙名称以及虚拟化防火墙在 VMware vCenter Server 中清单的位置 如下图所示 5 点击 下一步 选择运行此虚拟化防火墙模板的主机或集群 如下图所示 整理范本编辑 word 6 点击 下一步 如下图所示 仅当此虚拟化防火墙所在的 ESXi 主机部署了资源池 该页面才显示 选择相应的 虚拟池 点击 下一步 如下图所示 整理范本编辑 word 在设置虚拟机磁盘格式时 各项参数的具体说明如下表所示 选项说明 厚置备延迟 置零 以默认的厚格式创建虚拟磁盘 创建 vFW 过程中为 vFW 磁盘分配所需空间 创建 vFW 时不会擦除物理设备上保留的任何数据 但从 vFW 首次执行写操 作时会按需将其置零 厚置备置零 创建支持群集功能的厚磁盘 创建 vFW 时为 vFW 磁盘分配所需空间 创建 vFW 过程中会将物理设备上保留的数据置零 精简置备 精简置备的磁盘只使用该磁盘最初所需要的数据存储空间 若虚拟机使用过 程中需要更多空间 它可以增长到为其分配的最大容量 7 设置虚拟磁盘格式 点击 下一步 如下图所示 8 选择目标网络 点击 下一步 如下图所示 整理范本编辑 word 9 点击 完成 系统将自动部署虚拟化防火墙 如下图所示 部署 vFW 成功后 如下图所示 点击 关闭 即完成了虚拟化防火墙的安装 若在 部署 OVF 模板 的 即将 完成 页面中勾选了 部署后打开电源 P 系统将自动打开部署的虚拟化防火墙 电源 Comment zmz1 整理范本编辑 word 3 2ISO 镜像安装方式镜像安装方式 用户可以通过天融信公司提供的 vFW ISO 文件安装虚拟化防火墙 在 WMwarevSphere Client 中采用 vFW ISO 文件安装虚拟化防火墙的具体操作步骤 包括 上传 vFW ISO 文件至 VMware vCenter Server 存储器 创建操作系统为 Linux 且 版本号为 2 6 x Linux 32 位 的虚拟机 引用 vFW ISO 文件以及启动 vTOS 操作系统 的安装进程 3 2 1 上传上传 vFW ISO 文件文件 通过 VMware vSphere Client 安装虚拟化防火墙时 需从数据储存器中引用 vFW ISO 文件 因此在安装虚拟化防火墙前 需将天融信公司的 vFW ISO 文件通过 VMware vSphere Client 上传至 VMware vCenter Server 中 上传 vFW ISO 文件的具体操 作步骤如下所示 1 在清单列表中选择一个 ESXi 主机 激活 配置 页签 如下图所示 2 在 硬件 选项卡中选中 存储器 在 数据存储 菜单栏中右键选择待上 传 vFW ISO 文件的存储器 如下图所示 整理范本编辑 word 3 在存储器右键菜单栏中选择 浏览数据存储 如下图所示 4 点击 创建文件夹用于存放 vFW ISO 映像文件 选中新建的文件夹 点击图标 选择 上载文件 然后在计算机本地选择存放的 vFW ISO 文件 点击 打开 如下图所示 整理范本编辑 word 5 点击 是 界面将显示上传 vFW ISO 文件的进度 如下图所示 上传完成后 vFW ISO 文件将存储至所选择的数据存储器相应的文件夹下 3 2 2 创建创建 vFW 虚拟机虚拟机 vFW 虚拟机需要配置预留最小 1G 内存 1G 虚拟硬盘 2 个虚拟网卡 关于配置 虚拟防火墙的内存见步骤 8 和 15 创建 vFW 虚拟机的具体操作步骤如下所示 1 在 VMware vSphere Client 清单中选择特定数据中心 ESXi 主机 集群或资源 池 选择右键菜单 新建虚拟机新建虚拟机 如下图所示 如果选择 典型 选项 则虚拟机的硬件版本默认为运行此虚拟机的 ESXi 主机的 硬件版本 如果选择 自定义 选项 用户可以自定义虚拟机的硬件版本 整理范本编辑 word 2 选择 自定义 选项 点击 下一步 如下图所示 3 在 名称 文本框中输入不多于 80 个字符的名称 不区分大小写 然后在 清单位置 中选择数据中心的根目录 点击 下一步 如下图所示 整理范本编辑 word 仅当运行此虚拟机的 ESXi 主机上配置了资源池 才显示该页面 选择也可不选择需在主机上运行该虚拟机的资源池 然后点击 下一步 如下 图所示 4 选择目标主机或集群已配置的数据存储器来存储该虚拟机 然后点击 下一步 如下图所示 整理范本编辑 word 5 根据 ESXi 主机运行的版本选择相应的虚拟机版本 一般选择最新的虚拟机版 本 点击 下一步 如下图所示 6 在 客户机操作系统 下勾选 Linux L 然后在 版本 下拉菜单中选择 其他 2 6 x Linux 32 位 点击 下一步 如下图所示 整理范本编辑 word 内核总数 虚拟插槽数 每个虚拟插槽的内核数 此处设置的内核总数需等于或小 于 ESXi 主机上逻辑 CPU 的数量 一般默认值就可以了 7 在 虚拟插槽数 下拉菜单中选择一个值 在 每个虚拟插槽的内核数 下拉 菜单中选择一个值 点击 下一步 如下图所示 整理范本编辑 word 8 配置该虚拟化防火墙的内存大小 建议设置为 1GB 请参考步骤 15 配 置内存为预留 点击 下一步 如下图所示 整理范本编辑 word 9 在 您要连接多少个网卡 下拉菜单中选择至少 2 块网卡 建议选择 3 块网卡 一块用于管理网络 其余 2 块用于业务网络 然后在 网络 及相应的 适配器 的下拉菜单中选择相应的适配器类型 建议选择 E1000 最后勾选 打开电源 时连接 点击 下一步 如下图所示 创建虚拟机向导会根据 客户机操作系统 页面上选择的虚拟机操作系统版本预 先选定正确的默认 SCSI 控制器 10 直接点击 下一步 如下图所示 整理范本编辑 word 11 点击 下一步 如下图所示 12 设置虚拟磁盘的大小 建议选择 1GB 然后选择磁盘格式 建议选择精简 置备 和用户存储虚拟磁盘文件的位置 点击 下一步 如下图所示 整理范本编辑 word 13 接受默认设备节点 点击 下一步 如下图所示 Comment zmz2 整理范本编辑 word 14 页面中显示了新建虚拟机的全部配置 点击 完成 即可完成创建虚拟机 15 配置内存预留 使用 vCenter 选择上述创建的虚拟机 点击编辑设置 选择资源选项卡 在内存 处钩选预留所有客户机内存 3 2 3 安装安装 vTOS 操作系统操作系统 成功创建虚拟机后 新建的虚拟机具备运行虚拟化防火墙 vTOS 操作系统的硬件 支持功能 通过 VMware vSphere Client 在虚拟机中安装虚拟化防火墙 vTOS 操作系统 的具体操作步骤如下 1 虚拟机属性设置 a 在 VMware vSphere Client 清单中选择新创建的虚拟机 选择右键菜单 编辑设 置 如下图所示 整理范本编辑 word b 在虚拟机属性页面中的 硬件 页签下选择 CD DVD 驱动器 如下图所示 整理范本编辑 word c 在 设备状态 下勾选 打开电源时连接 此项必须勾选 否则新建的虚拟 机打开电源时不能连接 vFW ISO 映像文件 不能安装虚拟化防火墙 vTOS 操作系统 在 设备类型 中勾选 数据存储 ISO 文件 点击 浏览 如下图所示 d 在相应的数据存储器中选择已上传的 vFW ISO 文件 点击 确定 即可将 vFW ISO 文件导入至虚拟机中 2 安装虚拟化防火墙 vTOS 操作系统 a 在 VMware vSphere Client 清单中选择将在其上运行虚拟化防火墙的虚拟机 选 择右键菜单 电源 中的 打开电源 然后激活 vFW 虚拟机中的 控制台 页签 虚拟机进入确认安装虚拟化防火墙 vTOS 操作系统界面 如下图所示 整理范本编辑 word b 按确认 VMware vCenter Server 将自动加载 vFW ISO 文件并启动 虚拟化防火墙安装进程 vTOS 操作系统安装成功后 如下图所示 整理范本编辑 word c 输入 r 并按 系统将重启并进入虚拟化防火墙系统欢迎界面 如下图所示 虚拟机自动加载 vTOS 操作系统文件及配置文件 启动虚拟化防火墙 如下图所 示 整理范本编辑 word 虚拟化防火墙启动成功后 进入登陆界面 如下图所示 d 输入用户名密码 默认为 superman talent 并按 Enter 回车 管理员即 可登录天融信虚拟化防火墙 4 天融信虚拟化防火墙的管理与防火墙系天融信虚拟化防火墙的管理与防火墙系 统管理方式一致 除统管理方式一致 除 vFW 的转发功能需的转发功能需 由由 TopPolicy 保活 保活 关于天融信虚拟化 关于天融信虚拟化 防火墙的管理具体请参见防火墙的管理具体请参见 网络卫士防网络卫士防 火墙系统命令行手册火墙系统命令行手册 和和 网络卫士防网络卫士防 火墙系统用户手册火墙系统用户手册 关于虚拟化防火墙 关于虚拟化防火墙 防护各虚拟机间的通信以及防护各虚拟防护各虚拟机间的通信以及防护各虚拟 机与外网的通信 具体请参见机与外网的通信 具体请参见 5 配置案配置案 例例 整理范本编辑 word 4 1虚拟机与外网通信的防护虚拟机与外网通信的防护 4 1 1 基本需求基本需求 在关键虚拟设备前部署上虚拟化防火墙 就可以对关键虚拟服务器与外网之间的 通信进行防护 例如如下环境 vFW 保护 VM1 与外界的通信 vSwitch0 为管理口虚拟交换机 vSwitch1 连接虚拟化防火墙 vFW 与虚拟机 VM1 vSwitch2 为连接外网虚拟交换机 图 4 1 虚拟机与外网通信的防护示意图 4 1 2 配置要点配置要点 1 安装虚拟化防火墙 vFW 及虚拟机 VM1 2 创建并配置连接虚拟化防火墙和虚拟机的 vSwitch1 3 将虚拟防火墙 虚拟机与 vSwitch1 相连接 4 创建并配置管理口虚拟交换机 vSwitch0 5 连接 vFW 与虚拟交换机 vSwitch0 6 创建并配置连接外网虚拟交换机 vSwitch2 7 连接 vFW 与虚拟交换机 vSwitch2 整理范本编辑 word 8 查看网络信息 4 1 3 配置步骤配置步骤 1 安装虚拟化防火墙 安装虚拟化防火墙 vFW 及虚拟机及虚拟机 VM1 安装虚拟化防火墙 vFW 此处命名为 vfwtest 及虚拟机的具体操作请参见 3 安装 2 创建并配置连接虚拟化防火墙和虚拟机的 创建并配置连接虚拟化防火墙和虚拟机的 vSwitch1 1 在左侧导航树上选中虚拟防火墙所在的主机 然后在右侧选择 配置 页签 接着选择 硬件 选项卡中的 网络 节点 则右侧空白界面显示网络信息 如下图 所示 2 点击 添加网络 弹出如下图所示界面 整理范本编辑 word 3 连接类型选择 虚拟机 然后点击 下一步 弹出如下图所示界面 整理范本编辑 word 4 选择 创建 vSphere 标准交换机 然后点击 下一步 弹出如下图所示窗 口 5 网络标签命名为 vs inter1 然后直接点击 下一步 弹出如下图所示窗口 整理范本编辑 word 6 点击 完成 完成虚拟交换机的创建 7 点击新建交换机右上方的 属性 弹出交换机属性设置对话框 如下图所 示 整理范本编辑 word 8 在 端口 页签中选中虚拟交换机 然后点击下方的 编辑 弹出如下图所 示对话框 整理范本编辑 word 9 选择 安全 页签 编辑安全策略 将参数 混杂模式 改为 接受 如下 图所示 选择 接受 表示将客户机适配器置于混杂模式 它将检测经过交换机且由适配 器所连接到的端口组的策略允许的所有帧 整理范本编辑 word 注意 注意 配置 vFW 接口所在的端口组或 vSwitch 的安全策略为 接受混杂模式 非常重要 因为 vFW 要监听 vSwitch 中的所有数据包 如果没有配置此项 则在 vFW 交换模式下 将无法转发数据包 10 然后点击 确定 按钮 再点击属性设置对话框的 关闭 按钮即可 整理范本编辑 word 3 将虚拟防火墙 虚拟机与将虚拟防火墙 虚拟机与 vSwitch1 相连接相连接 1 选中虚拟机 VM1 点击右键 选择 编辑设置 或者直接点击 入门 页 签中的 编辑虚拟机设置 弹出如下图所示对话框 2 选择 硬件 页签 然后选中待配置的网卡 在网络标签处选择 vs inter1 如 下图所示 整理范本编辑 word 3 然后点击 确定 按钮 在 近期任务 下会显示配置虚拟机的状态 开始时 间和完成时间等相关的详细信息 4 选中 vfwtest 重复上述操作 为其添加网络标签 vs inter1 4 创建并配置管理口虚拟交换机创建并配置管理口虚拟交换机 vSwitch0 1 在左侧导航树上选中虚拟防火墙所在的主机 然后在右侧选择 配置 页签 接着选择 网络 节点 点击 添加网络向导 连接类型选择 虚拟机 点击 下一步 弹出 添加网络向导 对话框 如下图所示 整理范本编辑 word 2 选择相应的物理网卡 然后点击 下一步 弹出如下图所示窗口 整理范本编辑 word 3 设置网络标签为 vs manage 点击 下一步 然后点击 完成 按钮即 可 5 连接连接 vFW 与虚拟交换机与虚拟交换机 vSwitch0 选中虚拟防火墙 vfwtest 点击右键 选择 编辑设置 或者直接点击 入门 页签中的 编辑虚拟机设置 选择 硬件 页签 然后选中待配置的网卡 在网络 标签处选择 vs manage 6 创建并配置输出口虚拟交换机创建并配置输出口虚拟交换机 vSwitch2 1 在左侧导航树上选中虚拟防火墙所在的主机 然后在右侧选择 配置 页签 接着选择 网络 节点 点击 添加网络向导 连接类型选择 虚拟机 点击 下一步 弹出 添加网络向导 对话框 如下图所示 2 选择相应的物理网卡 然后点击 下一步 弹出如下图所示窗口 整理范本编辑 word 3 设置网络标签为 vs output 点击 下一步 然后点击 完成 按钮即可 7 连接连接 vFW 与虚拟交换机与虚拟交换机 vSwitch2 选中虚拟防火墙 vfwtest 点击右键 选择 编辑设置 或者直接点击 入门 页签中的 编辑虚拟机设置 选择 硬件 页签 然后选中待配置的网卡 在网络 标签处选择 vs output 8 查看网络信息 查看网络信息 在左侧导航树上选中虚拟机所在的目录 然后在右侧选择 配置 页签 接着选 择 硬件 选项卡中的 网络 节点 则右侧空白界面显示网络信息 如下图所示 整理范本编辑 word 4 1 4 注意事项注意事项 在设置虚拟交换机安全策略时 混杂模式要设置为 接受 因为 vFW 要监听 vSwitch 中的所有数据包 如果没有配置此项 则在 vFW 交换模式下将无法转发数据 包 整理范本编辑 word 4 2虚拟机之间通信的防护虚拟机之间通信的防护 4 2 1 基本需求基本需求 在需要通信的虚拟机之间部署上虚拟化防火墙 就可以对其间的通信进行防护 例如如下环境 vFW 对 VM1 与 VM2 之间的通信进行防护 vSwitch0 为管理口虚拟交换机 vSwitch1 连接虚拟化防火墙 vFW 与虚拟机 VM1 vSwitch3 连接虚拟化防火墙 vFW 与虚拟机 VM2 图 4 2 虚拟机之间通信的防护示意图 4 2 2 配置要点配置要点 1 安装虚拟化防火墙 vFW 及虚拟机 VM1 VM2 2 创建并配置连接虚拟化防火墙和虚拟机 VM1 的 vSwitch1 3 将虚拟防火墙 虚拟机 VM1 与 vSwitch1 相连接 4 创建并配置管理口虚拟交换机 vSwitch0 5 连接 vFW 与虚拟交换机 vSwitch0 6 创建并配置输出口虚拟交换机 vSwitch2 7 连接 vFW 与虚拟交换机 vSwitch2 8 创建并配置连接虚拟化防火墙和虚拟机 VM2 的 vSwitch3 整理范本编辑 word 9 将虚拟防火墙 虚拟机 VM2 与 vSwitch3 相连接 10 查看网络信息 4 2 3 配置步骤配置步骤 1 安装虚拟化防火墙安装虚拟化防火墙 vFW 及虚拟机及虚拟机 VM1 VM2 安装虚拟化防火墙 vFW 此处命名为 vfwtest 及虚拟机的具体操作请参见 3 安装 2 创建并配置连接虚拟化防火墙和虚拟机 创建并配置连接虚拟化防火墙和虚拟机 VM1 的的 vSwitch1 3 将虚拟防火墙 虚拟机 将虚拟防火墙 虚拟机 VM1 与与 vSwitch1 相连接相连接 4 创建并配置管理口虚拟交换机 创建并配置管理口虚拟交换机 vSwitch0 5 连接 连接 vFW 与虚拟交换机与虚拟交换机 vSwitch0 6 创建并配置输出口虚拟交换机 创建并配置输出口虚拟交换机 vSwitch2 7 连接 连接 vFW 与虚拟交换机与虚拟交换机 vSwitch2 以上步骤的具体内容请参见 5 1 3Error Reference source not found 中的相应步骤 内容 8 按照 按照 vswitch1 的方式创建并配置的方式创建并配置 vswitch3 1 在左侧导航树上选中虚拟机所在的主机 然后在右侧选择 配置 页签 接着 选择 硬件 选项卡中的 网络 节点 则右侧空白界面显示网络信息 如下图所示 整理范本编辑 word 2 点击 添加网络向导 连接类型选择 虚拟机 然后点击 下一步 如 下图所示 3 连接类型选择 虚拟机 然后点击 下一步 弹出如下图所示界面 整理范本编辑 word 4 选择 创建 vSphere 标准交换机 然后点击 下一步 弹出如下图所示窗 口 整理范本编辑 word 5 网络标签命名为 vs inter2 然后直接点击 下一步 弹出如下图所示窗口 6 点击 完成 完成虚拟交换机的创建 7 点击新建交换机右上方的 属性 弹出交换机属性设置对话框 如下图所 示 整理范本编辑 word 8 在 端口 页签中选中虚拟交换机 然后点击下方的 编辑 弹出如下图所 示对话框 整理范本编辑 word 9 选择 安全 页签 编辑安全策略 将参数 混杂模式 改为 接受 如下 图所示 选择 接受 表示将客户机适配器置于混杂模式 它将检测经过交换机且由适配 器所连接到的端口组的策略允许的所有帧 整理范本编辑 word 注意 注意 配置 vFW 接口所在的端口组或 vSwitch 的安全策略为 接受混杂模式 非常重要 因为 vFW 要监听 vSwitch 中的所有数据包 如果没有配置此项 则在 vFW 交换模式下 将无法转发数据包 10 然后点击 确定 按钮 再点击属性设置对话框的 关闭 按钮即可 整理范本编辑 word 9 将虚拟防火墙 虚拟机 将虚拟防火墙 虚拟机 VM2 与与 vSwitch3 相连接相连接 1 选中虚拟机 VM2 点击右键 选择 编辑设置 或者直接点击 入门 页 签中的 编辑虚拟机设置 弹出如下图所示对话框 2 选择 硬件 页签 然后选中待配置的网卡 在网络标签处选择 vs inter2 如 下图所示 整理范本编辑 word 3 然后点击 确定 按钮 在 近期任务 下会显示配置虚拟机的状态 开始时 间和完成时间等相关的详细信息 4 选中 vfwtest 重复上述操作 为其添加网络标签 vs inter2 10 查看网络信息 查看网络信息 在左侧导航树上选中虚拟机所在的目录 然后在右侧选择 配置 页签 接着选 择 硬件 选项卡中的 网络 节点 则右侧空白界面显示网络信息 如下图所示 整理范本编辑 word 4 2 4 注意事项注意事项 在设置虚拟交换机安全策略时 混杂模式要设置为 接受 因为 vFW 要监听 vSwitch 中的所有数据包 如果没有配置此项 则在 vFW 交换模式下将无法转发数据包 整理范本编辑 word Comment zmz3 Comment zmz4 整理范本编辑 word 5 TopPolicy 管理虚拟化防火墙管理虚拟化防火墙 安装虚拟化防火墙后 其试用时间为 1 天 试用期过后虚拟化防火墙将停止转发 数据 用户可以通过 TopPolicy 的保活机制解除这些限制 正版用户可以通过联系天融 信公司获取支持管理虚拟化防火墙的 TopPolicy 及 usbkey 即 Rockey6 Smart Plus TopPolicy 作为安全设备与策略管理系统 通过友好的可视化操作界面 可远程管 理 升级网络安全设备并能为多台网络安全设备集中下发安全策略 企业和服务提供 商可以通过 TopPolicy 便捷地管理多台网络设备 最大程度的降低配置 管理及维护网 络设备的投入成本 5 1安装安装 TopPolicy 安装前 除需安装 Rockey6 Smart Plus 驱动外 支持管理虚拟防火墙 TopPolicy 的 安装步骤与其它版本的 TopPolicy 安装步骤一致 关于 TopPolicy 的安装具体请参见 TopPolicy 安全设备与策略管理系统安装手册 管理虚拟防火墙的 TopPolicy 需由 USBKEY 启动 若运行 TopPolicy Server 的计算 机未插上 USBKEY 当启动 TopPolicy Server 后 TopPolicy Server 启动失败并提示 usbkey 访问失败警告 如下图所示 若运行 TopPolicy Server 的计算机已插上 Rockey6 Smart Plus 便可成功启动 TopPolicy Server 通过浏览器登录 TopPolicy 管理器 如下图所示 Comment zmz5 整理范本编辑 word 输入用户名密码 TopPolicy 默认出厂用户名 密码为 root talent 后 点击 登录 即可以进入管理页面 5 2管理虚拟化防火墙管理虚拟化防火墙 TopPolicy 周期性发送保活包给虚拟防火墙 如果虚拟防火墙在 24 小时内未收到 保活包则停止转发数据 TopPolicy 管理虚拟化防火墙与管理其它硬件安全设备一致 关于 TopPolicy 管理 虚拟化防火墙具体请参见 TopPolicy 安全设备与策略管理系统用户手册 和 TopPolicy 安全设备与策略管理系统配置案例 下面主要介绍 TopPlicy 与虚拟防火墙保活的配置 具体操作步骤如下 1 TopPolicy 添加虚拟化防火墙 a 登录 TopPolicy 管理器 点击 设备管理设备管理 安全域安全域 在左侧安全域导航栏中选 择一个父域 然后在右侧界面中点击添加图标 如下图所示 整理范本编辑 word b 设置虚拟化防火墙的名称 设备类型 远程管理用户名 密码以及管理 IP 地 址等 其中 TopPolicy 在添加虚拟化防火墙选择设备类型时 必须选择设备类型为 vFW 否则 TopPolicy 不能发送保活包给虚拟防火墙 如下图所示 整理范本编辑 word c 点击 确定 即可将虚拟化防火墙添加至 TopPolicy 管理器中 此后 TopPolicy 先探测虚拟防火墙是否在线 如果在线则发送保活包给虚拟防火墙 保证防 火墙正常转发数据 如下图所示 2 查看保活包丢失的报警信息 若出现保活包丢失情况时 TopPolicy 管理器会产生告警 此时设备状态图标右下 角出现小红点 点击 报警报警 报警报警 激活 报警浏览 页签 然后点击 设置 搜索条件 点击 确定 如下图所示 整理范本编辑 word 选择报警信息 点击查看图标 可查看报警详细信息 如下图所示 整理范本编辑 word 6 配置案例配置案例 6 1虚拟机与外网通信的防护虚拟机与外网通信的防护 6 1 1 基本需求基本需求 在关键虚拟设备前部署上虚拟化防火墙 就可以对关键虚拟服务器与外网之间的 通信进行防护 例如如下环境 vFW 保护 VM1 与外界的通信 vSwitch0 为管理口虚拟交换机 vSwitch1 连接虚拟化防火墙 vFW 与虚拟机 VM1 vSwitch2 为连接外网虚拟交换机 图 5 1 虚拟机与外网通信的防护示意图 6 1 2 配置要点配置要点 9 安装虚拟化防火墙 vFW 及虚拟机 VM1 10 创建并配置连接虚拟化防火墙和虚拟机的 vSwitch1 11 将虚拟防火墙 虚拟机与 vSwitch1 相连接 12 创建并配置管理口虚拟交换机 vSwitch0 13 连接 vFW 与虚拟交换机 vSwitch0 整理范本编辑 word 14 创建并配置连接外网虚拟交换机 vSwitch2 15 连接 vFW 与虚拟交换机 vSwitch2 16 查看网络信息 6 1 3 配置步骤配置步骤 1 安装虚拟化防火墙 安装虚拟化防火墙 vFW 及虚拟机及虚拟机 VM1 安装虚拟化防火墙 vFW 此处命名为 vfwtest 及虚拟机的具体操作请参见 3 安装 2 创建并配置连接虚拟化防火墙和虚拟机的 创建并配置连接虚拟化防火墙和虚拟机的 vSwitch1 1 在左侧导航树上选中虚拟防火墙所在的主机 然后在右侧选择 配置 页签 接着选择 硬件 选项卡中的 网络 节点 则右侧空白界面显示网络信息 如下图 所示 2 点击 添加网络 弹出如下图所示界面 整理范本编辑 word 3 连接类型选择 虚拟机 然后点击 下一步 弹出如下图所示界面 整理范本编辑 word 4 选择 创建 vSphere 标准交换机 然后点击 下一步 弹出如下图所示窗 口 5 网络标签命名为 vs inter1 然后直接点击 下一步 弹出如下图所示窗口 整理范本编辑 word 6 点击 完成 完成虚拟交换机的创建 7 点击新建交换机右上方的 属性 弹出交换机属性设置对话框 如下图所 示 整理范本编辑 word 8 在 端口 页签中选中虚拟交换机 然后点击下方的 编辑 弹出如下图所 示对话框 整理范本编辑 word 9 选择 安全 页签 编辑安全策略 将参数 混杂模式 改为 接受 如下 图所示 选择 接受 表示将客户机适配器置于混杂模式 它将检测经过交换机且由适配 器所连接到的端口组的策略允许的所有帧 整理范本编辑 word 注意 注意 配置 vFW 接口所在的端口组或 vSwitch 的安全策略为 接受混杂模式 非常重要 因为 vFW 要监听 vSwitch 中的所有数据包 如果没有配置此项 则在 vFW 交换模式下 将无法转发数据包 10 然后点击 确定 按钮 再点击属性设置对话框的 关闭 按钮即可 整理范本编辑 word 3 将虚拟防火墙 虚拟机与将虚拟防火墙 虚拟机与 vSwitch1 相连接相连接 1 选中虚拟机 VM1 点击右键 选择 编辑设置 或者直接点击 入门 页 签中的 编辑虚拟机设置 弹出如下图所示对话框 2 选择 硬件 页签 然后选中待配置的网卡 在网络标签处选择 vs inter1 如 下图所示 整理范本编辑 word 3 然后点击 确定 按钮 在 近期任务 下会显示配置虚拟机的状态 开始时 间和完成时间等相关的详细信息 4 选中 vfwtest 重复上述操作 为其添加网络标签 vs inter1 4 创建并配置管理口虚拟交换机创建并配置管理口虚拟交换机 vSwitch0 1 在左侧导航树上选中虚拟防火墙所在的主机 然后在右侧选择 配置 页签 接着选择 网络 节点 点击 添加网络向导 连接类型选择 虚拟机 点击 下一步 弹出 添加网络向导 对话框 如下图所示 整理范本编辑 word 2 选择相应的物理网卡 然后点击 下一步 弹出如下图所示窗口 整理范本编辑 word 3 设置网络标签为 vs manage 点击 下一步 然后点击 完成 按钮即 可 5 连接连接 vFW 与虚拟交换机与虚拟交换机 vSwitch0 选中虚拟防火墙 vfwtest 点击右键 选择 编辑设置 或者直接点击 入门 页签中的 编辑虚拟机设置 选择 硬件 页签 然后选中待配置的网卡 在网络 标签处选择 vs manage 6 创建并配置输出口虚拟交换机创建并配置输出口虚拟交换机 vSwitch2 1 在左侧导航树上选中虚拟防火墙所在的主机 然后在右侧选择 配置 页签 接着选择 网络 节点 点击 添加网络向导 连接类型选择 虚拟机 点击 下一步 弹出 添加网络向导 对话框 如下图所示 2 选择相应的物理网卡 然后点击 下一步 弹出如下图所示窗口 整理范本编辑 word 3 设置网络标签为 vs output 点击 下一步 然后点击 完成 按钮即可 7 连接连接 vFW 与虚拟交换机与虚拟交换机 vSwitch2 选中虚拟防火墙 vfwtest 点击右键 选择 编辑设置 或者直接点击 入门 页签中的 编辑虚拟机设置 选择 硬件 页签 然后选中待配置的网卡 在网络 标签处选择 vs output 8 查看网络信息 查看网络信息 在左侧导航树上选中虚拟机所在的目录 然后在右侧选择 配置 页签 接着选 择 硬件 选项卡中的 网络 节点 则右侧空白界面显示网络信息 如下图所示 整理范本编辑 word 6 1 4 注意事项注意事项 在设置虚拟交换机安全策略时 混杂模式要设置为 接受 因为 vFW 要监听 vSwitch 中的所有数据包 如果没有配置此项 则在 vFW 交换模式下将无法转发数据 包 整理范本编辑 word 6 2虚拟机之间通信的防护虚拟机之间通信的防护 6 2 1 基本需求基本需求 在需要通信的虚拟机之间部署上虚拟化防火墙 就可以对其间的通信进行防护 例如如下环境 vFW 对 VM1 与 VM2 之间的通信进行防护 vSwitch0 为管理口虚拟交换机 vSwitch1 连接虚拟化防火墙 vFW 与虚拟机 VM1 vSwitch3 连接虚拟化防火墙 vFW 与虚拟机 VM2 图 5 2 虚拟机之间通信的防护示意图 6 2 2 配置要点配置要点 11 安装虚拟化防火墙 vFW 及虚拟机 VM1 VM2 12 创建并配置连接虚拟化防火墙和虚拟机 VM1 的 vSwitch1 13 将虚拟防火墙 虚拟机 VM1 与 vSwitch1 相连接 14 创建并配置管理口虚拟交换机 vSwitch0 15 连接 vFW 与虚拟交换机 vSwitch0 16 创建并配置输出口虚拟交换机 vSwitch2 17 连接 vFW 与虚拟交换机 vSwitch2 18 创建并配置连接虚拟化防火墙和虚拟机 VM2 的 vSwitch3 整理范本编辑 word 19 将虚拟防火墙 虚拟机 VM2 与 vSwitch3 相连接 20 查看网络信息 6 2 3 配置步骤配置步骤 1 安装虚拟化防火墙安装虚拟化防火墙 vFW 及虚拟机及虚拟机 VM1 VM2 安装虚拟化防火墙 vFW 此处命名为 vfwtest 及虚拟机的具体操作请参见 3 安装 2 创建并配置连接虚拟化防火墙和虚拟机 创建并配置连接虚拟化防火墙和虚拟机 VM1 的的 vSwitch1 3 将虚拟防火墙 虚拟机 将虚拟防火墙 虚拟机 VM1 与与 vSwitch1 相连接相连接 4 创建并配置管理口虚拟交换机 创建并配置管理口虚拟交换机 vSwitch0 5 连接 连接 vFW 与虚拟交换机与虚拟交换机 vSwitch0 6 创建并配置输出口虚拟交换机 创建并配置输出口虚拟交换机 vSwitch2 7 连接 连接 vFW 与虚拟交换机与虚拟交换机 vSwitch2 以上步骤的具体内容请参见 5 1 3Error Reference source not found 中的相应步骤 内容 8 按照 按照 vswitch1 的方式创建并配置的方式创建并配置 vswitch3 1 在左侧导航树上选中虚拟机所在的主机 然后在右侧选择 配置 页签 接着 选择 硬件 选项卡中的 网络 节点 则右侧空白界面显示网络信息 如下图所示 整理范本编辑 word 2 点击 添加网络向导 连接类型选择 虚拟机 然后点击 下一步 如 下图所示 3 连接类型选择 虚拟机 然后点击 下一步 弹出如下图所示界面 整理范本编辑 word 4 选择 创建 vSphere 标准交换机 然后点击 下一步 弹出如下图所示窗 口 整理范本编辑 word 5 网络标签命名为 vs inter2 然后直接点击 下一步 弹出如下图所示窗口 6 点击 完成 完成虚拟交换机的创建 7 点击新建交换机右上方的 属性 弹出交换机属性设置对话框 如下图所 示 整理范本编辑 word 8 在 端口 页签中选中虚拟交换机 然后点击下方的 编辑 弹出如下图所 示对话框 整理范本编辑 word 9 选择 安全 页签 编辑安全策略 将参数 混杂模式 改为 接受 如下 图所示 选择 接受 表示将客户机适配器置于混杂模式 它将检测经过交换机且由适配 器所连接到的端口组的策略允许的所有帧 整理范本编辑 word 注意 注意 配置 vFW 接口所在的端口组或 vSwitch 的安全策略为 接受混杂模式 非常重要 因为 vFW 要监听 vSwitch 中的所有数据包 如果没有配置此项 则在 vFW 交换模式下 将无法转发数据包 10 然后点击 确定 按钮 再点击属性设置对话框的 关闭 按钮即可 整理范本编辑 word 9 将虚拟防火墙 虚拟机 将虚拟防火墙 虚拟机 VM2 与与 vSwitch3 相连接相连接 1 选中虚拟机 VM2 点击右键 选择 编辑设置 或者直接点击 入门 页 签中的 编辑虚拟机设置 弹出如下图所示对话框 2 选择 硬件 页签 然后选中待配置的网卡 在网络标签处选择 vs inter2 如 下图所示 整理范本编辑 word 3 然后点击 确定 按钮 在 近期任务 下会显示配置虚拟机的状态 开始时 间和完成时间等相关的详细信息 4 选中 vfwtest 重复上述操作 为其添加网络标签 vs inter2 10 查看网络信息 查看网络信息 在左侧