《虚拟化防火墙安装》由会员分享,可在线阅读,更多相关《虚拟化防火墙安装(105页珍藏版)》请在金锄头文库上搜索。
1、word虚拟化防火墙安装使用指南天融信TOPSEC市海淀区上地东路1号华控大厦100085:+8610-82776666 :+8610-82776677服务热线:+8610-8008105119.topsec. / 声明本手册中的所有内容与格式的属于天融信公司以下简称天融信所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。所有不得翻印2013天融信公司商标声明本手册中所谈与的产品名称仅做识别之用。手册中涉与的其他公司的注册商标或是属各商标注册人所有,恕不逐一列明。TOPSEC天融信公司信息反应.topsec.目录1前言1文档目的1读者对象1约定1技术服务体系12虚拟化防火墙简介33安
2、装4模板部署方式4镜像安装方式11上传vFW ISO文件11创建vFW虚拟机13安装vTOS操作系统224TOPPOLICY管理虚拟化防火墙28安装TopPolicy28管理虚拟化防火墙295配置案例33虚拟机与外网通信的防护33根本需求33配置要点33配置步骤34须知事项45虚拟机之间通信的防护46根本需求46配置要点46配置步骤47须知事项55附录 A重新安装虚拟化防火墙561 前言本文档主要介绍虚拟化防火墙的安装、配置、使用和管理。通过阅读本文档,用户可以了解虚拟化防火墙的根本设计思想,并根据实际应用环境安装和配置防火墙。本章内容主要包括:l 文档目的l 读者对象l 约定l 技术服务体系
3、1.1 文档目的本文档主要介绍虚拟化防火墙的安装、配置和使用。通过阅读本文档,用户能够正确地安装和配置虚拟化防火墙,并综合运用安全设备提供的多种安全技术有效地保护用户虚拟化设备,实现高效可靠的安全通信。1.2 读者对象本用户手册适用于具有根本网络和虚拟化平台知识的系统管理员或网络管理员阅读。1.3 约定本文档遵循以下约定。 “表示页面内容引用。 点击选择一个菜单项时,采用如下约定:点击选择高级管理 特殊对象 用户。 文档中出现的提示和说明是关于用户在安装和配置虚拟化防火墙过程中需要特别注意的局部,请用户在明确可能的操作结果后,再进展相关配置。 文档中出现的接口标识是为了表示方便,不一定与设备接
4、口名称相对应。1.4 技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务,广阔用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。公司主页.topsec./在线技术资料安全解决方案技术支持中心天融信全国安全服务热线800-810-51192 虚拟化防火墙简介云计算是一种新兴的共享根底架构的方法,可以将巨大的系统池连接在一起以提供各种IT服务。虚拟化是云计算的重要根底设施。虚拟化的目的是虚拟化出一个或多个相互隔离的执行环境,用于运行操作系统与应用,并且确保在虚拟出的环境中操作系统与应用的运行情况与在真实的物理设备上运行的情况根本一样。虚拟化技术使得系统中的物理设施
5、资源利用率得到明显提高,还使得系统动态部署变得更加灵活、便捷。虚拟化是未来网络的重要支撑技术,虚拟化的安全也要得到全面防护。虽然虚拟化IT根底设施将与物理服务器环境共同面对一样的安全挑战,但用户可以充分利用多处理器、多核体系架构和虚拟化软件提供安全机制对其进展防护。通过采用天融信提供的虚拟化防火墙,能够对虚拟化系统提供全面的安全解决方案,使用户可以在安全的环境下,充分的发挥虚拟化所带来的优势,帮助用户扩展虚拟化部署以保护全部关键任务系统。虚拟化防火墙,是以天融信公司具有自主知识产权的vTOS操作系统virtual Topsec Operating System为系统平台,采用开放性的系统架构与
6、模块化的设计,融合了防火墙、IPSEC/SSLVPN、抗DOS攻击、IDS/IPS、WEB防护等多种引擎,构建而成的一个安全、高效、易于管理和扩展的防火墙。vTOS操作系统是天融信自主研发的新一代系统平台,采用全模块化设计、中间层理念,具有高效性、高安全性、高健壮性、扩展性、可移植性、模块化等特征。vTOS操作系统能够作为主流的完全虚拟化或半虚拟化的虚拟机管理器的Guest OS,为虚拟化环境提供灵活、高效、全面的解决方案。虚拟化防火墙是一个具有高度综合性和集成性的高层网络安全应用系统,它利用虚拟机管理器实现了硬件的扩展性,利用虚拟机机制实现了防火墙的高扩展性和高可用性。企业在部署虚拟化防火墙
7、后,能够使自己的虚拟网络和物理网络具有一样的安全性。虚拟化防火墙由集中管理平台TP和虚拟化安全网关vFW构成。集中管理平台TP负责安全策略的集中管理,支持安全策略的迁移功能。虚拟化安全网关vFW以虚拟机的形式部署在虚拟化平台上,并通过虚拟化平台接入引擎获得虚拟化平台的网络通信数据,从而对所有虚拟机之间以与虚拟化平台本身的网络通信进展防护。3 安装虚拟化防火墙支持VMware vSphereESXi,KVM,XEN与Hyper-V虚拟化平台。通过在相应虚拟化平台上部署虚拟化防火墙,可以实时防护虚拟化环境中各虚拟机间的通信以与各虚拟机与外网通信。本章主要介绍如何安装虚拟化防火墙,包括OVF模板方式
8、和vFW ISO文件方式。以OVF模板方式部署虚拟化防火墙可以直接将预先配置的虚拟化防火墙包括vTOS操作系统与相关配置添加到虚拟化环境中。而以vFW ISO方式安装虚拟化防火墙需要先创建虚拟机再通过cdrom方式安装vFW,但可以适应更多的虚拟化平台。下面以VMwarevSphereESXi5.0平台为例,介绍如何通过VMware vSphere Client安装虚拟化防火墙。3.1 OVF模板部署方式通过VMware vSphere Client,可以在VMware vCenter Server或ESXi主机中部署以开放式虚拟机格式OVF存储的虚拟化防火墙。天融信公司提供的虚拟化防火墙的O
9、VF模板为*.ova格式。VMware vSphere Client在导入OVF模板之前会进展验证,可确保OVA文件与其相关联的VMware vCenter Server或ESXi兼容。采用OVF模板方式在VMware vCenter Server中安装虚拟化防火墙的具体操作步骤如下:1在VMware vCenter Server菜单栏中,选择 文件 部署OVF模板,如如下图所示。2点击“浏览导入本地存储的OVF模板,如如下图所示。在计算机本地选择虚拟化防火墙的OVF模板,点击“打开,如如下图所示。3点击“下一步查看OVF模板的详细信息,如如下图所示。4点击“下一步,设置部署的虚拟化防火墙名称
10、以与虚拟化防火墙在VMware vCenter Server中清单的位置,如如下图所示。5点击“下一步,选择运行此虚拟化防火墙模板的主机或集群,如如下图所示。6点击“下一步,如如下图所示。仅当此虚拟化防火墙所在的ESXi主机部署了资源池,该页面才显示。选择相应的虚拟池,点击“下一步,如如下图所示。在设置虚拟机磁盘格式时,各项参数的具体说明如下表所示。选项说明厚置备延迟置零以默认的厚格式创建虚拟磁盘。创建vFW过程中为vFW磁盘分配所需空间。创建vFW时不会擦除物理设备上保存的任何数据,但从vFW首次执行写操作时会按需将其置零。厚置备置零创建支持群集功能的厚磁盘。创建vFW时为vFW磁盘分配所需
11、空间。创建vFW过程中会将物理设备上保存的数据置零。精简置备精简置备的磁盘只使用该磁盘最初所需要的数据存储空间。假如虚拟机使用过程中需要更多空间,它可以增长到为其分配的最大容量。7设置虚拟磁盘格式,点击“下一步,如如下图所示。8选择目标网络,点击“下一步,如如下图所示。9点击“完成,系统将自动部署虚拟化防火墙,如如下图所示。部署vFW成功后,如如下图所示。点击“关闭,即完成了虚拟化防火墙的安装。假如在“部署OVF模板的“即将完成页面中勾选了“部署后打开电源P,系统将自动打开部署的虚拟化防火墙电源。3.2 ISO镜像安装方式用户可以通过天融信公司提供的vFW ISO文件安装虚拟化防火墙。在WMw
12、arevSphere Client中采用vFW ISO文件安装虚拟化防火墙的具体操作步骤包括:上传vFW ISO文件至VMware vCenter Server存储器,创建操作系统为Linux且版本号为2.6.x Linux32位的虚拟机,引用vFW ISO文件以与启动vTOS操作系统的安装进程。3.2.1 上传vFW ISO文件通过VMware vSphere Client安装虚拟化防火墙时,需从数据储存器中引用vFW ISO文件。因此在安装虚拟化防火墙前,需将天融信公司的vFW ISO文件通过VMware vSphere Client上传至VMware vCenter Server中,上传
13、vFW ISO文件的具体操作步骤如下所示:1在清单列表中选择一个ESXi主机,激活“配置页签,如如下图所示。2在“硬件选项卡中选中“存储器,在“数据存储菜单栏中右键选择待上传vFW ISO文件的存储器,如如下图所示。3在存储器右键菜单栏中选择“浏览数据存储,如如下图所示。4点击“,创建文件夹用于存放vFW ISO映像文件。选中新建的文件夹,点击图标“,选择“上载文件,然后在计算机本地选择存放的vFW ISO文件,点击“打开,如如下图所示。5点击“是,界面将显示上传vFW ISO文件的进度,如如下图所示。上传完成后,vFW ISO文件将存储至所选择的数据存储器相应的文件夹下。3.2.2 创建vF
14、W虚拟机vFW虚拟机需要配置预留最小1G内存,1G虚拟硬盘,2个虚拟网卡,,关于配置虚拟防火墙的内存见步骤8和15。创建vFW虚拟机的具体操作步骤如下所示:1在VMware vSphere Client清单中选择特定数据中心、ESXi主机、集群或资源池,选择右键菜单 新建虚拟机,如如下图所示。如果选择“典型选项,如此虚拟机的硬件版本默认为运行此虚拟机的ESXi主机的硬件版本;如果选择“自定义选项,用户可以自定义虚拟机的硬件版本。2选择“自定义选项,点击“下一步,如如下图所示。3在“名称文本框中输入不多于80个字符的名称不区分大小写,然后在“清单位置中选择数据中心的根目录,点击“下一步。如如下图所示。仅当运行此虚拟机的ESXi主机上配置了资源池,才显示该页面。选择也可不选择需在主机上运行该虚拟机的资源池,然后点击“下一步。如如下图所示。4选择目标主机或集群已配置的数据存储器来存储该虚拟机,然后点击“下一步。如如下图所示。5根据ESXi主机运行的版本选择相应的虚拟机版本一般选择最新的虚拟机版本,点击“下一步,如如下图所示。6在“客户机操作系统下勾选“Linux(L),然后在“版本下拉菜单中选择“其他2.6.x Linux(32位),点击“下一步,如如下图所示。内核总数=虚拟插槽数每个虚拟插槽的内核数,此处设置的内核总数需等于或小于ESXi主机上逻辑CPU的数量
