虚拟化防火墙安装.docx

1、虚拟化防火墙安装虚拟化防火墙安装使用指南天融信TOPSEC北京市海淀区上地东路1号华控大厦100085电话：+86传真：+86服务热线：+86版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。版权所有不得翻印2013天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。TOPSEC天融信公司信息反馈1 前言本文档主要介绍虚拟化防火墙的安装、配置、使用和管理。通过阅读本文档，用户可以了解虚拟化防火墙的基本设计思想，并根据实际应用环境安装和配

2、置防火墙。本章内容主要包括： 文档目的 读者对象 约定 技术服务体系1.1 文档目的本文档主要介绍虚拟化防火墙的安装、配置和使用。通过阅读本文档，用户能够正确地安装和配置虚拟化防火墙，并综合运用安全设备提供的多种安全技术有效地保护用户虚拟化设备，实现高效可靠的安全通信。1.2 读者对象本用户手册适用于具有基本网络和虚拟化平台知识的系统管理员或网络管理员阅读。1.3 约定本文档遵循以下约定。 “”表示页面内容引用。 点击（选择）一个菜单项时，采用如下约定：点击（选择）高级管理 特殊对象 用户。 文档中出现的提示和说明是关于用户在安装和配置虚拟化防火墙过程中需要特别注意的部分，请用户在明确可能的操

3、作结果后，再进行相关配置。 文档中出现的接口标识是为了表示方便，不一定与设备接口名称相对应。1.4 技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。公司主页在线技术资料安全解决方案技术支持中心天融信全国安全服务热线800-810-51192 虚拟化防火墙简介云计算是一种新兴的共享基础架构的方法，可以将巨大的系统池连接在一起以提供各种IT服务。虚拟化是云计算的重要基础设施。虚拟化的目的是虚拟化出一个或多个相互隔离的执行环境，用于运行操作系统及应用，并且确保在虚拟出的环境中操作系统与应用的运行情况与在真实的

4、物理设备上运行的情况基本相同。虚拟化技术使得系统中的物理设施资源利用率得到明显提高，还使得系统动态部署变得更加灵活、便捷。虚拟化是未来网络的重要支撑技术，虚拟化的安全也要得到全面防护。虽然虚拟化IT基础设施将与物理服务器环境共同面对相同的安全挑战，但用户可以充分利用多处理器、多核体系架构和虚拟化软件提供安全机制对其进行防护。通过采用天融信提供的虚拟化防火墙，能够对虚拟化系统提供全面的安全解决方案，使用户可以在安全的环境下，充分的发挥虚拟化所带来的优势，帮助用户扩展虚拟化部署以保护全部关键任务系统。虚拟化防火墙，是以天融信公司具有自主知识产权的vTOS操作系统（virtual Topsec Op

5、erating System）为系统平台，采用开放性的系统架构及模块化的设计，融合了防火墙、IPSEC/SSLVPN、抗DOS攻击、IDS/IPS、WEB防护等多种引擎，构建而成的一个安全、高效、易于管理和扩展的防火墙。vTOS操作系统是天融信自主研发的新一代系统平台，采用全模块化设计、中间层理念，具有高效性、高安全性、高健壮性、扩展性、可移植性、模块化等特征。vTOS操作系统能够作为主流的完全虚拟化或半虚拟化的虚拟机管理器的Guest OS，为虚拟化环境提供灵活、高效、全面的解决方案。虚拟化防火墙是一个具有高度综合性和集成性的高层网络安全应用系统，它利用虚拟机管理器实现了硬件的扩展性，利用虚

6、拟机机制实现了防火墙的高扩展性和高可用性。企业在部署虚拟化防火墙后，能够使自己的虚拟网络和物理网络具有相同的安全性。虚拟化防火墙由集中管理平台（TP）和虚拟化安全网关（vFW）构成。集中管理平台（TP）负责安全策略的集中管理，支持安全策略的迁移功能。虚拟化安全网关（vFW）以虚拟机的形式部署在虚拟化平台上，并通过虚拟化平台接入引擎获得虚拟化平台的网络通信数据，从而对所有虚拟机之间以及虚拟化平台本身的网络通信进行防护。3 安装虚拟化防火墙支持VMware vSphereESXi，KVM，XEN及Hyper-V虚拟化平台。通过在相应虚拟化平台上部署虚拟化防火墙，可以实时防护虚拟化环境中各虚拟机间的

7、通信以及各虚拟机与外网通信。本章主要介绍如何安装虚拟化防火墙，包括OVF模板方式和vFW ISO文件方式。以OVF模板方式部署虚拟化防火墙可以直接将预先配置的虚拟化防火墙（包括vTOS操作系统及相关配置）添加到虚拟化环境中。而以vFW ISO方式安装虚拟化防火墙需要先创建虚拟机再通过cdrom方式安装vFW，但可以适应更多的虚拟化平台。下面以平台为例，介绍如何通过VMware vSphere Client安装虚拟化防火墙。3.1 OVF模板部署方式通过VMware vSphere Client，可以在VMware vCenter Server或ESXi主机中部署以开放式虚拟机格式（OVF）存储

8、的虚拟化防火墙。天融信公司提供的虚拟化防火墙的OVF模板为*.ova格式。VMware vSphere Client在导入OVF模板之前会进行验证，可确保OVA文件与其相关联的VMware vCenter Server或ESXi兼容。采用OVF模板方式在VMware vCenter Server中安装虚拟化防火墙的具体操作步骤如下：1）在VMware vCenter Server菜单栏中，选择 文件 部署OVF模板，如下图所示。2）点击“浏览”导入本地存储的OVF模板，如下图所示。在计算机本地选择虚拟化防火墙的OVF模板，点击“打开”，如下图所示。3）点击“下一步”查看OVF模板的详细信息，如

9、下图所示。4）点击“下一步”，设置部署的虚拟化防火墙名称以及虚拟化防火墙在VMware vCenter Server中清单的位置，如下图所示。5）点击“下一步”，选择运行此虚拟化防火墙模板的主机或集群，如下图所示。6）点击“下一步”，如下图所示。仅当此虚拟化防火墙所在的ESXi主机部署了资源池，该页面才显示。选择相应的虚拟池，点击“下一步”，如下图所示。在设置虚拟机磁盘格式时，各项参数的具体说明如下表所示。选项说明厚置备延迟置零以默认的厚格式创建虚拟磁盘。创建vFW过程中为vFW磁盘分配所需空间。创建vFW时不会擦除物理设备上保留的任何数据，但从vFW首次执行写操作时会按需将其置零。厚置备置零

10、创建支持群集功能的厚磁盘。创建vFW时为vFW磁盘分配所需空间。创建vFW过程中会将物理设备上保留的数据置零。精简置备精简置备的磁盘只使用该磁盘最初所需要的数据存储空间。若虚拟机使用过程中需要更多空间，它可以增长到为其分配的最大容量。7）设置虚拟磁盘格式，点击“下一步”，如下图所示。8）选择目标网络，点击“下一步”，如下图所示。9）点击“完成”，系统将自动部署虚拟化防火墙，如下图所示。部署vFW成功后，如下图所示。点击“关闭”，即完成了虚拟化防火墙的安装。若在“部署OVF模板”的“即将完成”页面中勾选了“部署后打开电源（P）”，系统将自动打开部署的虚拟化防火墙电源。3.2 ISO镜像安装方式用

11、户可以通过天融信公司提供的vFW ISO文件安装虚拟化防火墙。在WMwarevSphere Client中采用vFW ISO文件安装虚拟化防火墙的具体操作步骤包括：上传vFW ISO文件至VMware vCenter Server存储器，创建操作系统为Linux且版本号为 Linux（32位）的虚拟机，引用vFW ISO文件以及启动vTOS操作系统的安装进程。3.2.1 上传vFW ISO文件通过VMware vSphere Client安装虚拟化防火墙时，需从数据储存器中引用vFW ISO文件。因此在安装虚拟化防火墙前，需将天融信公司的vFW ISO文件通过VMware vSphere Cl

12、ient上传至VMware vCenter Server中，上传vFW ISO文件的具体操作步骤如下所示：1）在清单列表中选择一个ESXi主机，激活“配置”页签，如下图所示。2）在“硬件”选项卡中选中“存储器”，在“数据存储”菜单栏中右键选择待上传vFW ISO文件的存储器，如下图所示。3）在存储器右键菜单栏中选择“浏览数据存储”，如下图所示。4）点击“”，创建文件夹用于存放vFW ISO映像文件。选中新建的文件夹，点击图标“”，选择“上载文件”，然后在计算机本地选择存放的vFW ISO文件，点击“打开”，如下图所示。5）点击“是”，界面将显示上传vFW ISO文件的进度，如下图所示。上传完成

13、后，vFW ISO文件将存储至所选择的数据存储器相应的文件夹下。3.2.2 创建vFW虚拟机vFW虚拟机需要配置预留最小1G内存，1G虚拟硬盘，2个虚拟网卡，关于配置虚拟防火墙的内存见步骤8和15。创建vFW虚拟机的具体操作步骤如下所示：1）在VMware vSphere Client清单中选择特定数据中心、ESXi主机、集群或资源池，选择右键菜单 新建虚拟机，如下图所示。如果选择“典型”选项，则虚拟机的硬件版本默认为运行此虚拟机的ESXi主机的硬件版本；如果选择“自定义”选项，用户可以自定义虚拟机的硬件版本。2）选择“自定义”选项，点击“下一步”，如下图所示。3）在“名称”文本框中输入不多于

14、80个字符的名称（不区分大小写），然后在“清单位置”中选择数据中心的根目录，点击“下一步”。如下图所示。仅当运行此虚拟机的ESXi主机上配置了资源池，才显示该页面。选择也可不选择需在主机上运行该虚拟机的资源池，然后点击“下一步”。如下图所示。4）选择目标主机或集群已配置的数据存储器来存储该虚拟机，然后点击“下一步”。如下图所示。5）根据ESXi主机运行的版本选择相应的虚拟机版本（一般选择最新的虚拟机版本），点击“下一步”，如下图所示。6）在“客户机操作系统”下勾选“Linux(L)”，然后在“版本”下拉菜单中选择“其他 Linux(32位)”，点击“下一步”，如下图所示。内核总数=虚拟插槽数每

15、个虚拟插槽的内核数，此处设置的内核总数需等于或小于ESXi主机上逻辑CPU的数量（一般默认值就可以了）。7）在“虚拟插槽数”下拉菜单中选择一个值，在“每个虚拟插槽的内核数”下拉菜单中选择一个值。点击“下一步”，如下图所示。8）配置该虚拟化防火墙的内存大小（建议设置为“1GB”），请参考步骤15配置内存为预留，点击“下一步”，如下图所示。9）在“您要连接多少个网卡”下拉菜单中选择至少2块网卡，建议选择3块网卡（一块用于管理网络，其余2块用于业务网络）。然后在“网络”及相应的“适配器”的下拉菜单中选择相应的适配器类型（建议选择“E1000”）。最后勾选“打开电源时连接”，点击“下一步”，如下图所示

16、。创建虚拟机向导会根据“客户机操作系统”页面上选择的虚拟机操作系统版本预先选定正确的默认SCSI控制器，10）直接点击“下一步”。如下图所示。11）点击“下一步”，如下图所示。12）设置虚拟磁盘的大小（建议选择1GB）。然后选择磁盘格式（建议选择精简置备）和用户存储虚拟磁盘文件的位置，点击“下一步”。如下图所示。13）接受默认设备节点，点击“下一步”，如下图所示。14）页面中显示了新建虚拟机的全部配置，点击“完成”，即可完成创建虚拟机。15）配置内存预留 使用vCenter选择上述创建的虚拟机，点击编辑设置，选择资源选项卡，在内存处钩选预留所有客户机内存，3.2.3 安装vTOS操作系统成功创

17、建虚拟机后，新建的虚拟机具备运行虚拟化防火墙vTOS操作系统的硬件支持功能。通过VMware vSphere Client在虚拟机中安装虚拟化防火墙vTOS操作系统的具体操作步骤如下：1）虚拟机属性设置a）在VMware vSphere Client清单中选择新创建的虚拟机，选择右键菜单“编辑设置”，如下图所示。b）在虚拟机属性页面中的“硬件”页签下选择“CD/DVD驱动器”，如下图所示。c）在“设备状态”下勾选“打开电源时连接”，此项必须勾选，否则新建的虚拟机打开电源时不能连接vFW ISO映像文件，不能安装虚拟化防火墙vTOS操作系统。在“设备类型”中勾选“数据存储ISO文件”，点击“浏览

18、”，如下图所示。d）在相应的数据存储器中选择已上传的vFW ISO文件，点击“确定”即可将vFW ISO文件导入至虚拟机中。2）安装虚拟化防火墙vTOS操作系统a）在VMware vSphere Client清单中选择将在其上运行虚拟化防火墙的虚拟机，选择右键菜单“电源”中的“打开电源”，然后激活vFW虚拟机中的“控制台”页签，虚拟机进入确认安装虚拟化防火墙vTOS操作系统界面，如下图所示。b）按确认，VMware vCenter Server将自动加载vFW ISO文件并启动虚拟化防火墙安装进程，vTOS操作系统安装成功后，如下图所示。c）输入“r”并按，系统将重启并进入虚拟化防火墙系统欢迎

19、界面，如下图所示。虚拟机自动加载vTOS操作系统文件及配置文件，启动虚拟化防火墙，如下图所示。虚拟化防火墙启动成功后，进入登陆界面，如下图所示。d）输入用户名密码（默认为：superman/talent），并按“Enter回车”，管理员即可登录天融信虚拟化防火墙。天融信虚拟化防火墙的管理与防火墙系统管理方式一致（除vFW的转发功能需由TopPolicy保活），关于天融信虚拟化防火墙的管理具体请参见网络卫士防火墙系统命令行手册和网络卫士防火墙系统用户手册。关于虚拟化防火墙防护各虚拟机间的通信以及防护各虚拟机与外网的通信，具体请参见5配置案例。4 TopPolicy管理虚拟化防火墙安装虚拟化防火墙

20、后，其试用时间为1天。试用期过后虚拟化防火墙将停止转发数据，用户可以通过TopPolicy的保活机制解除这些限制。正版用户可以通过联系天融信公司获取支持管理虚拟化防火墙的TopPolicy及usbkey（即Rockey6 Smart Plus）。TopPolicy作为安全设备与策略管理系统，通过友好的可视化操作界面，可远程管理、升级网络安全设备并能为多台网络安全设备集中下发安全策略。企业和服务提供商可以通过TopPolicy便捷地管理多台网络设备，最大程度的降低配置、管理及维护网络设备的投入成本。4.1 安装TopPolicy安装前，除需安装Rockey6 Smart Plus驱动外，支持管理

21、虚拟防火墙TopPolicy的安装步骤与其它版本的TopPolicy安装步骤一致，关于TopPolicy的安装具体请参见TopPolicy安全设备与策略管理系统安装手册。管理虚拟防火墙的TopPolicy需由USBKEY启动，若运行TopPolicy Server的计算机未插上USBKEY，当启动TopPolicy Server后，TopPolicy Server启动失败并提示usbkey访问失败警告，如下图所示。若运行TopPolicy Server的计算机已插上Rockey6 Smart Plus，便可成功启动TopPolicy Server。通过浏览器登录TopPolicy管理器，如下图

22、所示。输入用户名密码（TopPolicy默认出厂用户名/密码为：root/talent）后，点击“登录”，即可以进入管理页面。4.2 管理虚拟化防火墙TopPolicy周期性发送保活包给虚拟防火墙，如果虚拟防火墙在24小时内未收到保活包则停止转发数据。TopPolicy管理虚拟化防火墙与管理其它硬件安全设备一致，关于TopPolicy管理虚拟化防火墙具体请参见TopPolicy安全设备与策略管理系统用户手册和TopPolicy安全设备与策略管理系统配置案例。下面主要介绍TopPlicy与虚拟防火墙保活的配置，具体操作步骤如下：1）TopPolicy添加虚拟化防火墙a）登录TopPolicy管理

23、器，点击 设备管理 安全域，在左侧安全域导航栏中选择一个父域，然后在右侧界面中点击添加图标“”，如下图所示。b）设置虚拟化防火墙的名称、设备类型、远程管理用户名、密码以及管理IP地址等，其中TopPolicy在添加虚拟化防火墙选择设备类型时，必须选择设备类型为“vFW”，否则TopPolicy不能发送保活包给虚拟防火墙，如下图所示。c）点击“确定”，即可将虚拟化防火墙添加至TopPolicy管理器中，此后TopPolicy先探测虚拟防火墙是否在线，如果在线则发送保活包给虚拟防火墙，保证防火墙正常转发数据，如下图所示。2）查看保活包丢失的报警信息若出现保活包丢失情况时，TopPolicy管理器会

24、产生告警，此时设备状态图标右下角出现小红点。点击 报警 报警，激活“报警浏览”页签，然后点击“”，设置搜索条件，点击“确定”，如下图所示。选择报警信息，点击查看图标“”，可查看报警详细信息，如下图所示。5 配置案例5.1 虚拟机与外网通信的防护5.1.1 基本需求在关键虚拟设备前部署上虚拟化防火墙，就可以对关键虚拟服务器与外网之间的通信进行防护。例如如下环境：vFW保护VM1与外界的通信。 vSwitch0为管理口虚拟交换机。 vSwitch1连接虚拟化防火墙vFW与虚拟机VM1。 vSwitch2为连接外网虚拟交换机。图41虚拟机与外网通信的防护示意图5.1.2 配置要点1. 安装虚拟化防火

25、墙vFW及虚拟机VM12. 创建并配置连接虚拟化防火墙和虚拟机的vSwitch13. 将虚拟防火墙、虚拟机与vSwitch1相连接4. 创建并配置管理口虚拟交换机vSwitch05. 连接vFW与虚拟交换机vSwitch06. 创建并配置连接外网虚拟交换机vSwitch27. 连接vFW与虚拟交换机vSwitch28. 查看网络信息5.1.3 配置步骤1安装虚拟化防火墙vFW及虚拟机VM1安装虚拟化防火墙vFW（此处命名为vfwtest）及虚拟机的具体操作请参见3安装。2创建并配置连接虚拟化防火墙和虚拟机的vSwitch11）在左侧导航树上选中虚拟防火墙所在的主机，然后在右侧选择“配置”页签，

26、接着选择“硬件”选项卡中的“网络”节点，则右侧空白界面显示网络信息，如下图所示。2）点击“添加网络”，弹出如下图所示界面。3）连接类型选择“虚拟机”，然后点击“下一步”，弹出如下图所示界面。4）选择“创建vSphere标准交换机”，然后点击“下一步”，弹出如下图所示窗口。5）网络标签命名为vs_inter1，然后直接点击“下一步”，弹出如下图所示窗口。6）点击“完成”，完成虚拟交换机的创建。7）点击新建交换机右上方的“属性”，弹出交换机属性设置对话框，如下图所示。8）在“端口”页签中选中虚拟交换机，然后点击下方的“编辑”，弹出如下图所示对话框。9）选择“安全”页签，编辑安全策略，将参数“混杂模

27、式”改为“接受”，如下图所示。选择“接受”表示将客户机适配器置于混杂模式，它将检测经过交换机且由适配器所连接到的端口组的策略允许的所有帧。注意：配置vFW接口所在的端口组或vSwitch的安全策略为“接受混杂模式”非常重要，因为vFW要监听vSwitch中的所有数据包。如果没有配置此项，则在vFW交换模式下将无法转发数据包。10）然后点击“确定”按钮，再点击属性设置对话框的“关闭”按钮即可。3. 将虚拟防火墙、虚拟机与vSwitch1相连接1）选中虚拟机VM1，点击右键，选择“编辑设置”，或者直接点击“入门”页签中的“编辑虚拟机设置”，弹出如下图所示对话框。2）选择“硬件”页签，然后选中待配置

28、的网卡，在网络标签处选择vs_inter1。如下图所示。3）然后点击“确定”按钮。在“近期任务”下会显示配置虚拟机的状态、开始时间和完成时间等相关的详细信息。4）选中vfwtest，重复上述操作，为其添加网络标签vs_inter1。4. 创建并配置管理口虚拟交换机vSwitch01）在左侧导航树上选中虚拟防火墙所在的主机，然后在右侧选择“配置”页签，接着选择“网络”节点，点击“添加网络向导”，连接类型选择“虚拟机”，点击“下一步”，弹出“添加网络向导”对话框，如下图所示。2）选择相应的物理网卡，然后点击“下一步”，弹出如下图所示窗口。3）设置网络标签为“vs_manage”，点击“下一步”，然

29、后点击“完成”按钮即可。5. 连接vFW与虚拟交换机vSwitch0选中虚拟防火墙vfwtest，点击右键，选择“编辑设置”，或者直接点击“入门”页签中的“编辑虚拟机设置”，选择“硬件”页签，然后选中待配置的网卡，在网络标签处选择vs_manage。6. 创建并配置输出口虚拟交换机vSwitch21）在左侧导航树上选中虚拟防火墙所在的主机，然后在右侧选择“配置”页签，接着选择“网络”节点，点击“添加网络向导”，连接类型选择“虚拟机”，点击“下一步”，弹出“添加网络向导”对话框，如下图所示。2）选择相应的物理网卡，然后点击“下一步”，弹出如下图所示窗口。3）设置网络标签为“vs_output”，

30、点击“下一步”，然后点击“完成”按钮即可。7. 连接vFW与虚拟交换机vSwitch2选中虚拟防火墙vfwtest，点击右键，选择“编辑设置”，或者直接点击“入门”页签中的“编辑虚拟机设置”，选择“硬件”页签，然后选中待配置的网卡，在网络标签处选择vs_output。8查看网络信息在左侧导航树上选中虚拟机所在的目录，然后在右侧选择“配置”页签，接着选择“硬件”选项卡中的“网络”节点，则右侧空白界面显示网络信息，如下图所示。5.1.4 注意事项在设置虚拟交换机安全策略时，混杂模式要设置为“接受”。因为vFW要监听vSwitch中的所有数据包。如果没有配置此项，则在vFW交换模式下将无法转发数据包

31、。5.2 虚拟机之间通信的防护5.2.1 基本需求在需要通信的虚拟机之间部署上虚拟化防火墙，就可以对其间的通信进行防护。例如如下环境：vFW对VM1与VM2之间的通信进行防护。 vSwitch0为管理口虚拟交换机。 vSwitch1连接虚拟化防火墙vFW与虚拟机VM1。 vSwitch3连接虚拟化防火墙vFW与虚拟机VM2。图42虚拟机之间通信的防护示意图5.2.2 配置要点1. 安装虚拟化防火墙vFW及虚拟机VM1，VM22. 创建并配置连接虚拟化防火墙和虚拟机VM1的vSwitch13. 将虚拟防火墙、虚拟机VM1与vSwitch1相连接4. 创建并配置管理口虚拟交换机vSwitch05. 连接vFW与虚拟交换机vSwitch06. 创建并配置输出口虚拟交换机vSwitch27. 连接vFW与虚拟交换机vSwitch28. 创