1、虚拟化防火墙安装使用指南天融信TOPSEC北京市海淀区上地东路 1 号华控大厦 100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119http:/版权声明本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。版权所有不得翻印2013 天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。TOPSEC天融信公司信息反馈http:/虚拟化防火墙安装使用指南服务热线: 8008105119
2、 i1 前言 .11.1 文档目的 .11.2 读者对象 .11.3 约定 .11.4 技术服务体系 .12 虚拟化防火墙简介 .33 安装 .43.1 OVF 模板部署方式 .43.2 ISO 镜像安装方式 .113.2.1 上传 vFW ISO 文件 .113.2.2 创建 vFW 虚拟机 .133.2.3 安装 vTOS 操作系统 .224 TOPPOLICY 管理虚拟化防火墙 .284.1 安装 TOPPOLICY.284.2 管理虚拟化防火墙 .295 配置案例 .335.1 虚拟机与外网通信的防护 .335.1.1 基本需求 .335.1.2 配置要点 .335.1.3 配置步骤
3、.345.1.4 注意事项 .455.2 虚拟机之间通信的防护 .465.2.1 基本需求 .465.2.2 配置要点 .465.2.3 配置步骤 .475.2.4 注意事项 .55附录 A 重新安装虚拟化防火墙 .56目录虚拟化防火墙安装使用指南服务热线: 8008105119 11 前言本文档主要介绍虚拟化防火墙的安装、配置、使用和管理。通过阅读本文档,用户可以了解虚拟化防火墙的基本设计思想,并根据实际应用环境安装和配置防火墙。本章内容主要包括: 文档目的 读者对象 约定 技术服务体系1.1 文档目的本文档主要介绍虚拟化防火墙的安装、配置和使用。通过阅读本文档,用户能够正确地安装和配置虚拟
4、化防火墙,并综合运用安全设备提供的多种安全技术有效地保护用户虚拟化设备,实现高效可靠的安全通信。1.2 读者对象本用户手册适用于具有基本网络和虚拟化平台知识的系统管理员或网络管理员阅读。1.3 约定本文档遵循以下约定。 “”表示页面内容引用。 点击(选择)一个菜单项时,采用如下约定:点击(选择)高级管理 特殊对象 用户。 文档中出现的提示和说明是关于用户在安装和配置虚拟化防火墙过程中需要特别注意的部分,请用户在明确可能的操作结果后,再进行相关配置。 文档中出现的接口标识是为了表示方便,不一定与设备接口名称相对应。1.4 技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务,广大用户和
5、合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。虚拟化防火墙安装使用指南服务热线: 8008105119 2公司主页http:/ 8008105119 32 虚拟化防火墙简介云计算是一种新兴的共享基础架构的方法,可以将巨大的系统池连接在一起以提供各种 IT 服务。虚拟化是云计算的重要基础设施。虚拟化的目的是虚拟化出一个或多个相互隔离的执行环境,用于运行操作系统及应用,并且确保在虚拟出的环境中操作系统与应用的运行情况与在真实的物理设备上运行的情况基本相同。虚拟化技术使得系统中的物理设施资源利用率得到明显提高,还使得系统动态部署变得更加灵活、便捷。虚拟化是未来网络的重要支撑技术,
6、虚拟化的安全也要得到全面防护。虽然虚拟化IT 基础设施将与物理服务器环境共同面对相同的安全挑战,但用户可以充分利用多处理器、多核体系架构和虚拟化软件提供安全机制对其进行防护。通过采用天融信提供的虚拟化防火墙,能够对虚拟化系统提供全面的安全解决方案,使用户可以在安全的环境下,充分的发挥虚拟化所带来的优势,帮助用户扩展虚拟化部署以保护全部关键任务系统。虚拟化防火墙,是以天融信公司具有自主知识产权的 vTOS 操作系统(virtual Topsec Operating System)为系统平台,采用开放性的系统架构及模块化的设计,融合了防火墙、IPSEC/SSLVPN、抗 DOS 攻击、IDS/IP
7、S、WEB 防护等多种引擎,构建而成的一个安全、高效、易于管理和扩展的防火墙。vTOS 操作系统是天融信自主研发的新一代系统平台,采用全模块化设计、中间层理念,具有高效性、高安全性、高健壮性、扩展性、可移植性、模块化等特征。vTOS操作系统能够作为主流的完全虚拟化或半虚拟化的虚拟机管理器的 Guest OS,为虚拟化环境提供灵活、高效、全面的解决方案。虚拟化防火墙是一个具有高度综合性和集成性的高层网络安全应用系统,它利用虚拟机管理器实现了硬件的扩展性,利用虚拟机机制实现了防火墙的高扩展性和高可用性。企业在部署虚拟化防火墙后,能够使自己的虚拟网络和物理网络具有相同的安全性。虚拟化防火墙由集中管理
8、平台(TP)和虚拟化安全网关(vFW)构成。集中管理平台(TP )负责安全策略的集中管理,支持安全策略的迁移功能。虚拟化安全网关(vFW)以虚拟机的形式部署在虚拟化平台上,并通过虚拟化平台接入引擎获得虚拟化平台的网络通信数据,从而对所有虚拟机之间以及虚拟化平台本身的网络通信进行防护。虚拟化防火墙安装使用指南服务热线: 8008105119 43 安装虚拟化防火墙支持 VMware vSphereESXi,KVM,XEN 及 Hyper-V 虚拟化平台。通过在相应虚拟化平台上部署虚拟化防火墙,可以实时防护虚拟化环境中各虚拟机间的通信以及各虚拟机与外网通信。本章主要介绍如何安装虚拟化防火墙,包括
9、OVF 模板方式和 vFW ISO 文件方式。以 OVF 模板方式部署虚拟化防火墙可以直接将预先配置的虚拟化防火墙(包括vTOS 操作系统及相关配置)添加到虚拟化环境中。而以 vFW ISO 方式安装虚拟化防火墙需要先创建虚拟机再通过 cdrom 方式安装 vFW,但可以适应更多的虚拟化平台。下面以 VMwarevSphereESXi5.0 平台为例,介绍如何通过 VMware vSphere Client安装虚拟化防火墙。3.1 OVF 模板部署方式通过 VMware vSphere Client,可以在 VMware vCenter Server 或 ESXi 主机中部署以开放式虚拟机格式
10、(OVF)存储的虚拟化防火墙。天融信公司提供的虚拟化防火墙的 OVF 模板为 *.ova 格式。VMware vSphere Client 在导入 OVF 模板之前会进行验证,可确保 OVA 文件与其相关联的 VMware vCenter Server 或 ESXi 兼容。采用 OVF 模板方式在 VMware vCenter Server 中安装虚拟化防火墙的具体操作步骤如下:1)在 VMware vCenter Server 菜单栏中,选择 文件 部署 OVF 模板,如下图所示。虚拟化防火墙安装使用指南服务热线: 8008105119 52)点击“浏览”导入本地存储的 OVF 模板,如下图所示。在计算机本地选择虚拟化防火墙的 OVF 模板,点击“打开”,如下图所示。虚拟化防火墙安装使用指南服务热线: 8008105119 63)点击“下一步”查看 OVF 模板的详细信息,如下图所示。虚拟化防火墙安装使用指南服务热线: 8008105119 74)点击“下一步”,设置部署的虚拟化防火墙名称以及虚拟化防火墙在 VMware vCenter Server 中清单的位置,如下图所示。5)点击“下一步”,选择运行此虚拟化防火墙模板的主机或集群,如下图所示。
