虚拟化防火墙安装.doc

word虚拟化防火墙安装使用指南天融信TOPSEC®市海淀区上地东路1号华控大厦100085：+8610-82776666 ：+8610-82776677服务热线：+8610-8008105119.topsec.. / 声明本手册中的所有内容与格式的属于天融信公司〔以下简称天融信〕所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用所有不得翻印©2013天融信公司商标声明本手册中所谈与的产品名称仅做识别之用手册中涉与的其他公司的注册商标或是属各商标注册人所有，恕不逐一列明TOPSEC®天融信公司信息反应.topsec..目录1前言1文档目的1读者对象1约定1技术服务体系12虚拟化防火墙简介33安装4模板部署方式4镜像安装方式11上传vFW ISO文件11创建vFW虚拟机13安装vTOS操作系统224TOPPOLICY管理虚拟化防火墙28安装TopPolicy28管理虚拟化防火墙295配置案例33虚拟机与外网通信的防护33根本需求33配置要点33配置步骤34须知事项45虚拟机之间通信的防护46根本需求46配置要点46配置步骤47须知事项55附录 A重新安装虚拟化防火墙561 前言本文档主要介绍虚拟化防火墙的安装、配置、使用和管理。

通过阅读本文档，用户可以了解虚拟化防火墙的根本设计思想，并根据实际应用环境安装和配置防火墙本章内容主要包括：l 文档目的l 读者对象l 约定l 技术服务体系1.1 文档目的本文档主要介绍虚拟化防火墙的安装、配置和使用通过阅读本文档，用户能够正确地安装和配置虚拟化防火墙，并综合运用安全设备提供的多种安全技术有效地保护用户虚拟化设备，实现高效可靠的安全通信1.2 读者对象本用户手册适用于具有根本网络和虚拟化平台知识的系统管理员或网络管理员阅读1.3 约定本文档遵循以下约定Ø “〞表示页面内容引用Ø 点击〔选择〕一个菜单项时，采用如下约定：点击〔选择〕高级管理 > 特殊对象 > 用户Ø 文档中出现的提示和说明是关于用户在安装和配置虚拟化防火墙过程中需要特别注意的局部，请用户在明确可能的操作结果后，再进展相关配置Ø 文档中出现的接口标识是为了表示方便，不一定与设备接口名称相对应1.4 技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务，广阔用户和合作伙伴可以通过多种方式获取文档、疑难解答等全方位的技术支持公司主页.topsec../技术资料安全解决方案技术支持中心天融信全国安全服务热线800-810-51192 虚拟化防火墙简介云计算是一种新兴的共享根底架构的方法，可以将巨大的系统池连接在一起以提供各种IT服务。

虚拟化是云计算的重要根底设施虚拟化的目的是虚拟化出一个或多个相互隔离的执行环境，用于运行操作系统与应用，并且确保在虚拟出的环境中操作系统与应用的运行情况与在真实的物理设备上运行的情况根本一样虚拟化技术使得系统中的物理设施资源利用率得到明显提高，还使得系统动态部署变得更加灵活、便捷虚拟化是未来网络的重要支撑技术，虚拟化的安全也要得到全面防护虽然虚拟化IT根底设施将与物理服务器环境共同面对一样的安全挑战，但用户可以充分利用多处理器、多核体系架构和虚拟化软件提供安全机制对其进展防护通过采用天融信提供的虚拟化防火墙，能够对虚拟化系统提供全面的安全解决方案，使用户可以在安全的环境下，充分的发挥虚拟化所带来的优势，帮助用户扩展虚拟化部署以保护全部关键任务系统虚拟化防火墙，是以天融信公司具有自主知识产权的vTOS操作系统〔virtual Topsec Operating System〕为系统平台，采用开放性的系统架构与模块化的设计，融合了防火墙、IPSEC/SSLVPN、抗DOS攻击、IDS/IPS、WEB防护等多种引擎，构建而成的一个安全、高效、易于管理和扩展的防火墙vTOS操作系统是天融信自主研发的新一代系统平台，采用全模块化设计、中间层理念，具有高效性、高安全性、高健壮性、扩展性、可移植性、模块化等特征。

vTOS操作系统能够作为主流的完全虚拟化或半虚拟化的虚拟机管理器的Guest OS，为虚拟化环境提供灵活、高效、全面的解决方案虚拟化防火墙是一个具有高度综合性和集成性的高层网络安全应用系统，它利用虚拟机管理器实现了硬件的扩展性，利用虚拟机机制实现了防火墙的高扩展性和高可用性企业在部署虚拟化防火墙后，能够使自己的虚拟网络和物理网络具有一样的安全性虚拟化防火墙由集中管理平台〔TP〕和虚拟化安全网关〔vFW〕构成集中管理平台〔TP〕负责安全策略的集中管理，支持安全策略的迁移功能虚拟化安全网关〔vFW〕以虚拟机的形式部署在虚拟化平台上，并通过虚拟化平台接入引擎获得虚拟化平台的网络通信数据，从而对所有虚拟机之间以与虚拟化平台本身的网络通信进展防护3 安装虚拟化防火墙支持VMware vSphereESXi，KVM，XEN与Hyper-V虚拟化平台通过在相应虚拟化平台上部署虚拟化防火墙，可以实时防护虚拟化环境中各虚拟机间的通信以与各虚拟机与外网通信本章主要介绍如何安装虚拟化防火墙，包括OVF模板方式和vFW ISO文件方式以OVF模板方式部署虚拟化防火墙可以直接将预先配置的虚拟化防火墙〔包括vTOS操作系统与相关配置〕添加到虚拟化环境中。

而以vFW ISO方式安装虚拟化防火墙需要先创建虚拟机再通过cdrom方式安装vFW，但可以适应更多的虚拟化平台下面以VMwarevSphereESXi5.0平台为例，介绍如何通过VMware vSphere Client安装虚拟化防火墙3.1 OVF模板部署方式通过VMware vSphere Client，可以在VMware vCenter Server或ESXi主机中部署以开放式虚拟机格式〔OVF〕存储的虚拟化防火墙天融信公司提供的虚拟化防火墙的OVF模板为*.ova格式VMware vSphere Client在导入OVF模板之前会进展验证，可确保OVA文件与其相关联的VMware vCenter Server或ESXi兼容采用OVF模板方式在VMware vCenter Server中安装虚拟化防火墙的具体操作步骤如下：1〕在VMware vCenter Server菜单栏中，选择 文件 > 部署OVF模板，如如下图所示2〕点击“浏览〞导入本地存储的OVF模板，如如下图所示在计算机本地选择虚拟化防火墙的OVF模板，点击“打开〞，如如下图所示3〕点击“下一步〞查看OVF模板的详细信息，如如下图所示。

4〕点击“下一步〞，设置部署的虚拟化防火墙名称以与虚拟化防火墙在VMware vCenter Server中清单的位置，如如下图所示5〕点击“下一步〞，选择运行此虚拟化防火墙模板的主机或集群，如如下图所示6〕点击“下一步〞，如如下图所示仅当此虚拟化防火墙所在的ESXi主机部署了资源池，该页面才显示选择相应的虚拟池，点击“下一步〞，如如下图所示在设置虚拟机磁盘格式时，各项参数的具体说明如下表所示选项说明厚置备延迟置零以默认的厚格式创建虚拟磁盘创建vFW过程中为vFW磁盘分配所需空间创建vFW时不会擦除物理设备上保存的任何数据，但从vFW首次执行写操作时会按需将其置零厚置备置零创建支持群集功能的厚磁盘创建vFW时为vFW磁盘分配所需空间创建vFW过程中会将物理设备上保存的数据置零精简置备精简置备的磁盘只使用该磁盘最初所需要的数据存储空间假如虚拟机使用过程中需要更多空间，它可以增长到为其分配的最大容量7〕设置虚拟磁盘格式，点击“下一步〞，如如下图所示8〕选择目标网络，点击“下一步〞，如如下图所示9〕点击“完成〞，系统将自动部署虚拟化防火墙，如如下图所示部署vFW成功后，如如下图所示点击“关闭〞，即完成了虚拟化防火墙的安装。

假如在“部署OVF模板〞的“即将完成〞页面中勾选了“部署后打开电源〔P〕〞，系统将自动打开部署的虚拟化防火墙电源3.2 ISO镜像安装方式用户可以通过天融信公司提供的vFW ISO文件安装虚拟化防火墙在WMwarevSphere Client中采用vFW ISO文件安装虚拟化防火墙的具体操作步骤包括：上传vFW ISO文件至VMware vCenter Server存储器，创建操作系统为Linux且版本号为2.6.x Linux〔32位〕的虚拟机，引用vFW ISO文件以与启动vTOS操作系统的安装进程3.2.1 上传vFW ISO文件通过VMware vSphere Client安装虚拟化防火墙时，需从数据储存器中引用vFW ISO文件因此在安装虚拟化防火墙前，需将天融信公司的vFW ISO文件通过VMware vSphere Client上传至VMware vCenter Server中，上传vFW ISO文件的具体操作步骤如下所示：1〕在清单列表中选择一个ESXi主机，激活“配置〞页签，如如下图所示2〕在“硬件〞选项卡中选中“存储器〞，在“数据存储〞菜单栏中右键选择待上传vFW ISO文件的存储器，如如下图所示。

3〕在存储器右键菜单栏中选择“浏览数据存储〞，如如下图所示4〕点击“〞，创建文件夹用于存放vFW ISO映像文件选中新建的文件夹，点击图标“〞，选择“上载文件〞，然后在计算机本地选择存放的vFW ISO文件，点击“打开〞，如如下图所示5〕点击“是〞，界面将显示上传vFW ISO文件的进度，如如下图所示上传完成后，vFW ISO文件将存储至所选择的数据存储器相应的文件夹下3.2.2 创建vFW虚拟机vFW虚拟机需要配置预留最小1G内存，1G虚拟硬盘，2个虚拟网卡,，关于配置虚拟防火墙的内存见步骤8和15创建vFW虚拟机的具体操作步骤如下所示：1〕在VMware vSphere Client清单中选择特定数据中心、ESXi主机、集群或资源池，选择右键菜单 新建虚拟机，如如下图所示如果选择“典型〞选项，如此虚拟机的硬件版本默认为运行此虚拟机的ESXi主机的硬件版本；如果选择“自定义〞选项，用户可以自定义虚拟机的硬件版本2〕选择“自定义〞选项，点击“下一步〞，如如下图所示3〕在“名称〞文本框中输入不多于80个字符的名称〔不区分大小写〕，然后在“清单位置〞中选择数据中心的根目录，点击“下一步〞如如下图所示。

仅当运行此虚拟机的ESXi主机上配置了资源池，才显示该页面选择也可不选择需在主机上运行该虚拟机的资源池，然后点击“下一步〞如如下图所示4〕选择目标主机或集群已配置的数据存储器来存储该虚拟机，然后点击“下一步〞如如下图所示5〕根据ESXi主机运行的版本选择相应的虚拟机版本〔一般选择最新的虚拟机版本〕，点击“下一步〞，如如下图所示6〕在“客户机操作系统〞下勾选“Linux(L)〞，然后在“版本〞下拉菜单中选择“其他2.6.x Linux(32位)〞，点击“下一步〞，如如下图所示内核总数=虚拟插槽数×每个虚拟插槽的内核数，此处设置的内核总数需等于或小于ESXi主机上逻辑CPU的数量。