防火墙虚拟化技术详解（上）

今天继续给大家介绍华为USG6000防火墙。本文主要介绍的是防火墙的虚拟化技术，从虚拟化技术应用和管理两个方面对虚拟化技术进行了详细阐述。

一、虚拟化技术概述

在华为系列防火墙中，存在两种虚拟化技术，一种是由一台防火墙虚拟成多台防火墙，另一种是由多台防火墙虚拟成一台防火墙的技术，今天给大家介绍的是一台防火墙虚拟成多态防火墙的技术。
在华为系列网络设备中，该技术被称为虚拟系统（Virtual System），在思科系列网络设备中，该技术被称为虚拟防火墙或多模式防火墙。
虚拟化技术从逻辑上将一台防火墙划分成多个虚拟系统，每个虚拟系统相当于一台真实的设备，有自己的接口、地址集、用户/组、路由表项及策略，并可以通过虚拟系统管理员进行管理和配置。
虚拟系统具有以下特点：
1、每个虚拟系统由独立的管理员进行管理，使多个虚拟系统的管理更加清晰简单，所以非常适合大规模的组网环境。
2、每个虚拟系统拥有独立的配置及路由表项，保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统
3、虚拟系统之间的流量时相互隔离的，因此更加安全，在需要的时候，虚拟系统之间也可以进行安全互访
4、虚拟系统实现了硬件资源的有效利用，节约了空间、能耗及管理成本

二、虚拟化技术应用场景

虚拟系统应用在需要使用一台防火墙虚拟多态防火墙设备的场景，主要有以下两种应用场景：
1、大中型企业网络隔离

2、云计算中心的安全网关

在上述两种场景中，都是在业务上需要设备的防火墙之间相互隔离，这时如归考虑到成本和资源节约，就可以使用防火墙的虚拟化技术。

三、虚拟化系统与管理员

在华为系列设备中，防火墙上存在两种类型的虚拟系统：根系统（Public）和虚拟系统（VSYS）
根系统是防火墙缺省存在的一个特殊的虚拟系统，即使虚拟系统的功能未启用，根系统也依然存在。当启用虚拟系统后，管理员对防火墙的配置等同于对根系统的配置。（在这一点上华为设备做的比较好，在启用虚拟系统后的配置会自动转移到根系统的配置，而思科的则会清空配置并需要重启设备）。根系统的作用是管理其他虚拟系统，并为虚拟系统间的通信提供服务。
虚拟系统是在防火墙上划分出来的，独立运行的逻辑设备。拥有与实际防火墙类似的操作和功能。
防火墙根系统和虚拟系统架构如图所示：

为了实现每个虚拟系统的业务都能够做到正确转发、独立管理、相互隔离，防火墙主要实现了几个方面的虚拟化：
1、资源虚拟化。 每个虚拟系统都有独立的资源，包括接口、VLAN、策略和会话集。根系统管理员分配给每个虚拟系统，由各个虚拟系统自行管理和使用
2、配置虚拟化。 每个虚拟系统都拥有独立的虚拟系统管理员和配置界面，每个虚拟系统管理员只能管理自己所属的虚拟系统。
3、安全功能虚拟化。 每个虚拟系统都可以配置独立的安全策略及其他安全功能，只有属于该系统的报文才会受到这些配置的影响。
4、路由虚拟化。 每个虚拟系统都拥有各自的路由表，相对独立隔离。目前仅支持静态路由虚拟化。
通过以上几个方面的虚拟化，当创建虚拟系统之后，每个虚拟系统的管理员像在使用一台独立的设备。
华为防火墙在虚拟技术的管理上也存在两种管理员：根系统管理员和虚拟系统管理员。
根系统管理员是在虚拟功能启用后设备上已有的管理员自动转化来的。管理员的登录方式、管理权限、认证方式等保持不变。根系统管理员负责管理和维护设备，配置根系统的业务。根系统管理员可以进行虚拟系统相关的配置，如创建、删除虚拟系统、为虚拟系统分配资源等。
虚拟系统管理员是在创建虚拟系统后，根系统管理员进入虚拟系统创建的一个或多个管理员。虚拟系统管理员的作用范围与根系统管理员有所不同：虚拟系统管理员只能进入其所属的系统的配置界面，能配置和查看的业务也仅限于其所属的虚拟系统。虚拟系统管理员用户名统一为“管理员名@@虚拟系统名”
根系统管理员和虚拟系统管理员架构如下所示：

阅读完本文后，强烈建议您阅读下篇文章：
防火墙虚拟化技术详解（下）
参考：华为防火墙配置指南
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/119155418