防火墙虚拟系统技术说明

深信服虚拟化Web应用防火墙云WAF 用户手册产品版本8.0.28文档版本 01发布日期2021-03-12深信服科技股份有限公司版权所有©深信服科技股份有限公司 2020。

保留一切权利。

除非深信服科技股份有限公司（以下简称“深信服公司”）另行声明或授权，否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权（包括但不限于版权、商标权、专利权、商业秘密等）及相关权利，均归深信服公司或其关联公司所有。

未经深信服公司书面许可，任何人不得擅自对本文件及其内容进行使用（包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等）。

注意您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

前言关于本文档本文档针对深信服虚拟化Web应用防火墙产品，介绍了云WAF的架构、特性、安装和运维管理。

产品版本本文档以下列产品版本为基准写作。

后续版本有配置内容变更时，本文档随之更新发布。

读者对象本手册建议适用于以下对象：⚫网络设计工程师⚫运维人员符号约定在本文中可能出现下列标志，它们所代表的含义如下。

在本文中会出现图形界面格式，它们所代表的含义如下。

修订记录修订记录累积了每次文档更新的说明。

最新版本的文档包含以前所有文档版本的更新内容。

资料获取您可以通过深信服官方网站获取产品的最新资讯：获取安装/配置资料、软件版本及升级包、常用工具地址如下：深信服科技深信服技术服务技术支持用户支持邮箱：*******************.cn技术支持热线电话：400-630-6430（手机、固话均可拨打）深信服科技服务商及服务有效期查询：https:///plugin.php?id=service:query意见反馈如果您在使用过程中发现任何产品资料的问题，可以通过以下方式联系我们。

什么是“虚拟防火墙”服务器虚拟化给人一种势不可挡的感觉。

市场调研公司IDC预测，到2011年底这个市场的平均年增长率为27%，全球销售额预计将达到35亿美元。

需要注意的是，虚拟技术可能成黑客的帮手。

如果企业一味扩大虚拟化产品，而对虚拟机与物理服务器的本质区别熟视无睹的话，那么他们迟早会给入侵者开辟新的方便之门，使之顺利进入到数据中心。

业界目前还无法精准地确定这类威胁的本质，因为它们尚未切实发生过。

一位安全高手表示：虚拟化技术存在安全漏洞，这在VMware和AMD公司的产品中都曾出现过。

另外，黑客还可以利用虚拟化技术来隐藏病毒、特洛伊木马及其他各种恶意软件的踪迹。

有专家表示：在虚拟化的新一代数据中心基础设施中，每款虚拟设备及其系统和网段都必须根据最佳实践进行管理和控制。

这些实践应包括：1、为所有虚拟机及各类型虚拟机上运行的所有应有程序建立黄金标准，应用安全及版本和补丁管理控制。

2、通过虚拟防火墙、防恶意软件和虚拟设备管理功能强制实施所定策略。

3、依据虚拟机类型进行适当的逻辑和物理隔离。

例如：应将虚拟Web服务器与虚拟数据库服务器进行隔离。

4、适当调整网络入侵检测系统或是监控器来监视非法的及恶意的虚拟机流量。

虚拟防火墙护安全监控虚拟系统里的应用系统的虚拟防火墙是一个新生事物，其产品在国内还没有出现。

一、虚拟防火墙产生的原因是什么?有三个原因促使虚拟防火墙的出现。

1、由于在虚拟系统里面需要部署很多的应用系统，需要对各个应用系统之间的安全进行防护和访问控制，同时，需要监控和限制各个应用系统之间的流量。

2、由于IDC或者MSSP(管理安全服务提供商)等服务商需要部署虚拟防火墙给不同的用户来使用，同时可以实现对用户的防火墙进行统一集中管理。

3、每个物理防火墙的投资成本比较高，而且维护费用高。

二、虚拟防火墙和传统防火墙的区别传统防火墙是一个物理的实体,而虚拟防火墙是在这个物理实体里面可以划分多个虚拟的防火墙。

Juniper防火墙简明实用手册（版本号：）目录1juniper中文参考手册重点章节导读版本：Juniper防火墙中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper 防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

1.1 第二卷：基本原理1.1.1第一章：ScreenOS 体系结构●安全区●安全区接口●策略1.1.2第二章：路由表和静态路由●配置静态路由1.1.3第三章：区段●安全区●配置安全区●功能区段：HA区段1.1.4第四章：接口●接口类型：安全区接口：物理●接口类型：安全区接口：功能区段接口●察看接口●配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址●二级IP地址1.1.5第五章：接口模式●透明模式●NAT模式●路由模式1.1.6第六章：为策略构建块●地址：地址条目、地址组●服务：预定义的服务、定制服务●DIP池：端口地址转换、范例：创建带有PAT的DIP池、范例：修改DIP池、扩展接口和DIP●时间表1.1.7第七章：策略●三种类型的策略●策略定义●策略应用1.1.8第八章：地址转换●地址转换简介●源网络地址转换●目的网络地址转换●映射IP 地址●虚拟IP地址1.1.9第十一章：系统参数●下载/上传设置和固件●系统时钟1.2 第三卷：管理1.2.1第一章：管理●通过WEB 用户界面进行管理●通过命令行界面进行管理●管理的级别：根管理员、可读/ 写管理员、只读管理员、定义Admin用户●保证管理信息流的安全：更改端口号、更改Admin 登录名和密码、重置设备到出厂缺省设置、限制管理访问1.2.2监控NetScreen 设备●储存日志信息●事件日志●信息流日志●系统日志1.3 第八卷：高可用性1.3.1NSRP●NSRP 概述●NSRP 和NETSCREEN 的操作模式●NSRP集群●VSD组●同步1.3.2故障切换●设备故障切换(NSRP)●VSD 组故障切换(NSRP)●为设备或VSD 组故障切换配置对象监控2Juniper防火墙初始化配置和操纵对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵：Console 控制台和WEB。

下一代防火墙（NGFW）第五章防火墙应用管理（7）防火墙虚拟系统概要本章节主要学习虚拟防火墙技术，通过虚拟防火墙提升设备的利用率，灵活部署实现复杂环境下的部署方案。

学习内容⏹了解虚拟防火墙技术⏹掌握网神下一代NGFW防火墙虚拟防火墙配置方法⏹虚拟防火墙技术⏹下一代NGFW防火墙虚拟防火墙配置CONTENTS虚拟系统简介虚拟系统为了解决在不增加额外防火墙的前提下，为更多的业务服务器、业务部门提供相互隔离的安全防护功能。

虚拟系统不需要对现有的网络环境进行大量变动，通过防火墙的虚拟系统功能，可以灵活的实现各个业务服务器、业务部门的安全隔离与访问控制。

每一个虚拟设备都具备单独的操作系统，可以实现独立的数据转发、内容检测和管理配置，拥有和物理防火墙一样全面的安全防护功能。

虚拟系统将一台物理防火墙在逻辑上划分成多台虚拟的防火墙ge1ge2ge3Vsys2Vsys1ge1ge3ge2ge4虚拟系统的基本组成（1）根虚拟系统（root-vsvs）根虚拟系统是系统默认的虚拟系统，不可创建，不可删除，拥有防火墙的所有功能。

（2）子虚拟系统（vsys）由根虚拟系统管理员创建出来的虚拟系统是子虚拟系统，逻辑上，子虚拟系统是一台独立的防火墙，可以进行独立的管理和配置。

（3）虚拟系统接口（vge1）虚拟系统接口由各自的虚拟系统管理员创建，每个虚拟系统只能创建一个虚拟系统接口，虚拟系统管理员只能创建属于自己所属虚拟系统的虚拟系统接口。

虚拟系统需要管理员进行系统管理，虚拟系统管理员有根虚拟系统管理员和子虚拟系统管理员两类。

虚拟系统的基本组成根虚拟系统（根VSYS）：−系统默认的虚拟系统（VSYS0），不可创建，不可删除，拥有防火墙所有功能。

子虚拟系统（VSYS）：−由根虚拟系统创建出来的虚拟系统的都是子虚拟系统，在逻辑上就是一台独立的防火墙，可以独立管理，独立配置等。

虚拟系统接口（vge）：−用来进行虚拟系统间的通信。

−每个VSYS只能创建一个虚拟系统接口（vge1）。

Hi StoneOS安全模式山石网科通信技术(北京)有限公司Hillstone防火墙技术StoneOS安全模式1. 介绍传统防火墙通常可以在两种模式下进行操作：NAT/路由模式和透明模式。

NAT/路由模式部署灵活，并且支持防火墙和路由器两种设备的功能。

尽管如此，许多希望通过最少的网络中断而实现安全保护的客户却会选择透明模式。

随着二层与三层转换的扩展，安全集成到网络中变成一个更加困难的选择。

那么，在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢？Hillstone的StoneOS提供了一个强大的安全平台，它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。

StoneOS通过将网络功能从安全功能中分离出来，扩展了NAT/路由模式。

这样，用户就可以在一个完全灵活的环境下使用NAT功能。

StoneOS通过引入专有的Virtual Switch（虚拟交换机）的概念极大地扩展了透明模式。

在二层，用户可以定义VLAN域，并且可以将不同的安全策略应用到每一个VLAN。

StoneOS还拥有重新标记VLAN tag功能，这种功能只有高端的交换机才能实现。

StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。

根据配置的安全策略，部分数据在二层进行处理，而其它数据进行三层处理。

这个强大的功能将路由器和交换机的功能进行完美结合，并且能够降低网络部署的复杂性。

2. NAT/路由模式路由在NAT/路由模式下，设备被划分为多个三层域。

流量会在三层域之间进行转发，并且被转发的流量会被进行安全检查。

对于路由模式，IP地址不会被转换。

对于NAT模式，IP数据包在不同域间转发的过程中，其IP地址和端口号可以被转换。

Hillstone设备将安全管理从网络管理中分离出来。

Hillstone NAT策略是网络管理的一部分，用户可以基于特定接口或者五元组（IP地址、端口号和服务）进行灵活配置，或者将两者相结合。

图1 使用虚拟防火墙进行业务灵活扩展在传统数据中心方案中，业务服务器与防火墙基本上是一对一配比。

因此，当业务增加时，用户需要购置新的防火墙；而当业务减少时，对应的防火墙就闲置下来，导致投资浪费。

虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资，用户可以随时根据业务增减相应的虚拟防火墙。

同时，通过使用虚拟防火墙的CPU资源虚拟化技术，数据中心还可以为客户定量出租虚拟防火墙，例如，可以向某些客户出租10M吞吐量的虚拟防火墙，而向另一些客户出租100M吞吐量的虚拟防火墙。

Hillstone 的虚拟防火墙功能简称为VSYS ，能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，拥有独立的系统资源，且能够实现防火墙的大部分功能。

每个虚拟防火墙系统之间相互独立，不可直接相互通信。

不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同，支持License 控制的VSYS 个数的扩展。

数据中心业务类型多种多样，需要使用的防火墙策略也不同。

例如，DNS 服务器需要进行DNS Query Flood 攻击防护，而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。

虚拟防火墙的划分能够实现不同业务的专属防护策略配置。

同时，CPU 资源虚拟化可隔离虚拟防火墙之间的故障，当单个虚拟防火墙受到攻击或资源耗尽时，其它虚拟防火墙不会受到影响，这样就大大提升了各业务的综合可用性。

图2使用虚拟防火墙进行业务隔离Hillstone 虚拟防火墙功能包含以下特性：■ 每个VSYS 拥有独立的管理员■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■每个VSYS 拥有独立的日志1.2 业务隔离，互不影响3.2 专有对象与共享对象系统在没有配置任何虚拟防火墙时，只有一个逻辑的防火墙系统，称为根虚拟系统（根VSYS ），所有的系统资源都被根VSYS 所使用（不只是硬件资源）。

网络卫士防火墙系统NGFW4000 系列产品说明天融信TOPSEC® 北京市海淀区上地东路 1 号华控大厦 100085电话：+8610­82776666传真：+8610­82776677服务热线：+8610­8008105119http: //版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有， 未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形 式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失， 天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考， 有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有 不得翻印© 1995­2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的 注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信信息反馈NGFW 4000系列产品说明目 录1 产品概述 (1)2 关键技术 (2)1） 灵活的接口扩展能力 (2)2） 安全高效的TOS操作系统 (2)3） 集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (2)4） 完全内容检测CCI技术 (3)3 产品特点介绍 (4)4 产品功能 (9)5 运行环境与标准 (14)6 典型应用 (15)1） 典型应用一：在企业、政府纵向网络中的应用 (15)2） 典型应用二：防火墙作为负载均衡器 (16)3） 典型应用三：防火墙接口备份 (17)4） 典型应用四：AA模式双机热备 (18)7 产品资质 (18)1 产品概述十几年来，天融信专注于信息安全，第一家开发出自主防火墙系统，第一家提出 TOPSEC 联动技术体系。

网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段， 目前已进入以自主安全操作系统 TOS（Topsec Operating System）为基础，以完全内容 检测为标志的技术阶段，集成了防火墙、VPN、带宽管理、防病毒、入侵防御、内容过 滤等多种安全功能。

360网神虚拟化下一代防火墙部署青云指导手册360企业安全集团2017年4月目录第一章概述 (3)1.1.产品介绍 (3)1.2.安装要求及其注意事项 (3)第二章设备介绍 (4)2.1.设备列表 (4)第三章上线购买说明 (4)3.1.登录青云网站 (4)3.2.创建VPC网络 (5)3.3.创建私有网络 (5)3.4.创建虚拟主机 (6)3.4.1.创建vNGFW (6)3.4.2.创建web服务器 (7)3.5.加入私有网络 (8)3.6.查看拓扑 (9)3.7.申请公网IP (10)3.8.配置默认防火墙规则 (11)3.9.配置VPC网络转发规则 (13)3.10.访问V NGFW (14)第四章部署案例 (15)4.1.配置V NGFW (15)4.1.1.配置DNAT规则 (15)4.1.2.配置策略 (16)4.2.配置WEB服务器 (17)4.3.配置青云 (18)4.3.1.创建默认防火墙规则 (18)4.3.2.配置VPC网络转发规则 (18)4.4.验证结果 (19)第五章许可证 (19)5.1.许可证作用 (19)5.2.许可证类型 (19)5.3.获得许可证 (20)第一章概述1.1.产品介绍“360网神虚拟化下一代防火墙”简称为vNGFW,它是一个纯软件形态的产品，是运行在虚拟机上的完全自主知识产权的SecOS操作系统之上。

360网神vNGFW是虚拟机镜像方式存放在青云平台上，所以您需要在创建主机的时候选择360网神虚拟镜像。

1.2.安装要求及其注意事项●本文档适用于青云平台的网络1.0环境，所以在安装部署360网神vNGFW的时候必须选择北京2区或者广东1区。

●安装的配置要求必须选择2个vCPU,内存最低是2G。

●启动实例以后您必须在控制台重置密码才能正常使用（新密码包括字母，数字，特殊字符，至少12位）。

●产品授权方式分为试用版本和正式版本，镜像本身默认提供给用户30天的试用期，在此期间所有的功能都可以正常试用，提前15天会有到期告警信息，试用期过后如果没有新的授权，所有的功能均不能使用。