hcie security備考指南虛擬系統(tǒng)

目錄HCIE-Security虛擬系統(tǒng)需要掌目錄HCIE-Security虛擬系統(tǒng)需要掌握的知識(shí) -1HCIE-ect虛擬系統(tǒng)需要掌握的知識(shí)掌握防火墻虛擬化原理及配HCIE-ect虛擬系統(tǒng)需要掌握的知識(shí)掌握防火墻虛擬化原理及配虛擬系統(tǒng)簡(jiǎn)虛擬系統(tǒng) System）是在一臺(tái)物理設(shè)備上劃分出的多臺(tái)相互獨(dú)立的邏輯設(shè)備您可以從邏輯上將設(shè)備劃分為多個(gè)虛擬系統(tǒng)。每個(gè)虛擬系統(tǒng)相當(dāng)于一臺(tái)真實(shí)的設(shè)備，有自己的口、地址集、用戶/組、路由表項(xiàng)以及策略，并可通過虛擬系統(tǒng)管理員進(jìn)行配虛擬系統(tǒng)具有以下特點(diǎn)每個(gè)虛擬系統(tǒng)由獨(dú)立的管理員進(jìn)行管理，使得多個(gè)虛擬系統(tǒng)的管理更加清晰簡(jiǎn)單，所以非常適合大模的組網(wǎng)環(huán)境。每個(gè)虛擬系統(tǒng)擁有獨(dú)立的配置及路由表項(xiàng)，這使得虛擬系統(tǒng)下的局域網(wǎng)即使使用了相同的地址范圍仍然可以正常進(jìn)行通信可以為每個(gè)虛擬系統(tǒng)分配固定的系統(tǒng)資源，保證不會(huì)因?yàn)橐粋€(gè)虛擬系統(tǒng)的業(yè)務(wù)繁忙而影響其他虛擬統(tǒng)虛擬系統(tǒng)之間的流量相互隔離，更加安全。在需要的時(shí)候，虛擬系統(tǒng)之間也可以進(jìn)行安全互訪。虛擬系統(tǒng)實(shí)現(xiàn)了硬件資源的有效利用，節(jié)約了空間、能耗以及管理成本虛擬系統(tǒng)及其管理介紹根系統(tǒng)與虛擬系統(tǒng)、根系統(tǒng)管理員與虛擬系NGFW上存在兩種類型的虛擬根系統(tǒng)根系統(tǒng)是上缺省存在的一個(gè)特殊的虛擬系統(tǒng)。即使虛擬系統(tǒng)功能未啟用，根系統(tǒng)也依然存在。此時(shí)，管理員對(duì)NGFW進(jìn)行配置等同于對(duì)根系統(tǒng)進(jìn)行配置。啟用虛擬系統(tǒng)功能后，根系統(tǒng)會(huì)繼承先前上的配置1在虛擬系統(tǒng)這個(gè)特性中，根系統(tǒng)的作用是管理其他虛擬系統(tǒng)，并為虛擬系統(tǒng)間的通在虛擬系統(tǒng)這個(gè)特性中，根系統(tǒng)的作用是管理其他虛擬系統(tǒng)，并為虛擬系統(tǒng)間的通信提供服務(wù)。虛擬系統(tǒng)虛擬系統(tǒng)是在NGFW上劃分出來的、獨(dú)立運(yùn)行的邏輯設(shè)備。虛擬系統(tǒng)劃分的邏輯結(jié)構(gòu)如圖1所示1為了實(shí)現(xiàn)每個(gè)虛擬系統(tǒng)的業(yè)務(wù)都能夠做到正確轉(zhuǎn)發(fā)、獨(dú)立管理、相互主要實(shí)現(xiàn)了幾個(gè)方面的虛化資源虛擬化：每個(gè)虛擬系統(tǒng)都有獨(dú)享的資源，包括接口、VLAN、策略和會(huì)話等。根系統(tǒng)管理員分配給個(gè)虛擬系統(tǒng)，由各個(gè)虛擬系統(tǒng)自行管理和使用配置虛擬化：每個(gè)虛擬系統(tǒng)都擁有獨(dú)立的虛擬系統(tǒng)管理員和配置界面，每個(gè)虛擬系統(tǒng)管理員只能管理自己所屬的虛業(yè)務(wù)虛擬化：每個(gè)虛擬系統(tǒng)都可以配置獨(dú)立的路由、策略及其他防火墻業(yè)務(wù)，只有屬于該虛擬系統(tǒng)的報(bào)文才會(huì)受到這些配置的影響通過以上幾個(gè)方面的虛擬化，當(dāng)創(chuàng)建虛擬系統(tǒng)之后，每個(gè)虛擬系統(tǒng)的管理員都像在使用一臺(tái)獨(dú)占的設(shè)備。根據(jù)虛擬系統(tǒng)的類型，管理員分為根系統(tǒng)管理員和虛擬系統(tǒng)管理員。如 所示，兩類管理員的作用范能都22根系啟用虛擬系統(tǒng)功能后，設(shè)備上已有的管理員將成根系啟用虛擬系統(tǒng)功能后，設(shè)備上已有的管理員將成為根系統(tǒng)的管理員。管理員的登錄方式、管理權(quán)限、認(rèn)證方式等均保持不變。根系統(tǒng)管理員負(fù)責(zé)管理和維護(hù)設(shè)備、配置根系統(tǒng)的業(yè)務(wù)只有具有虛擬系統(tǒng)管理權(quán)限的根系統(tǒng)管理員（本章節(jié)后續(xù)內(nèi)容中提及的根系統(tǒng)管理員都是指此類管員）才可以進(jìn)行虛擬系統(tǒng)相關(guān)的配置，如創(chuàng)建、刪除虛擬系統(tǒng)，為虛擬系統(tǒng)分配管理員和資源等。虛擬系統(tǒng)管理員創(chuàng)建虛擬系統(tǒng)后，根系統(tǒng)管理員可以為虛擬系統(tǒng)創(chuàng)建一個(gè)或多個(gè)管理員。虛擬系統(tǒng)管理員的作用范圍與根系統(tǒng)管理員有所不同：虛擬系統(tǒng)管理員只能進(jìn)入其所屬的虛擬系統(tǒng)的配置界面，能配置和查看的業(yè)務(wù)也僅限于該虛擬系統(tǒng)；根系統(tǒng)管理員可以進(jìn)入所有虛擬系統(tǒng)的配置界面，如有需要，可以配置任何一個(gè)虛擬系統(tǒng)的業(yè)務(wù)為了正確識(shí)別各個(gè)管理員所屬的虛擬系統(tǒng)，虛擬系統(tǒng)管理員用戶名格式統(tǒng)一為“管理員名@名虛擬系統(tǒng)的資源分合理地分配資源可以對(duì)單個(gè)虛擬系統(tǒng)的資源進(jìn)行約束，避免因某個(gè)虛擬系統(tǒng)占用過多的資源，導(dǎo)致其他虛擬系統(tǒng)無法獲取資源、業(yè)務(wù)無法正常運(yùn)行的情況3安全區(qū)域、策略、會(huì)話等實(shí)現(xiàn)虛擬系統(tǒng)業(yè)務(wù)的基礎(chǔ)資源支持定額分配或手工分配，其他的資源項(xiàng)則是各個(gè)虛擬系統(tǒng)一起共定額分配和手工分配的資源如安全區(qū)域、策略、會(huì)話等實(shí)現(xiàn)虛擬系統(tǒng)業(yè)務(wù)的基礎(chǔ)資源支持定額分配或手工分配，其他的資源項(xiàng)則是各個(gè)虛擬系統(tǒng)一起共定額分配和手工分配的資源如表所示手工分配資源時(shí)可配置保證值和最大值。保證值：虛擬系統(tǒng)可使用某項(xiàng)資源的最小數(shù)量。這部分資源一旦分配給虛擬系統(tǒng)，就被該虛擬系統(tǒng)占最大值：虛擬系統(tǒng)可使用某項(xiàng)資源的最大數(shù)量。虛擬系統(tǒng)可使用的資源能否達(dá)到最大值視其他虛擬系統(tǒng)對(duì)該項(xiàng)資源的使用情況而定例如，NGFW上配置了10個(gè)虛擬系統(tǒng)。假定NGFW會(huì)話數(shù)的整機(jī)規(guī)格為500000，虛擬系統(tǒng)A的會(huì)話數(shù)10000、最大值為50000。虛擬系統(tǒng)A可建立的會(huì)話數(shù)一定能達(dá)到10000，但能否達(dá)到最大值50000，則視其他虛擬系統(tǒng)的會(huì)話資源使用情況而定。如果其他9個(gè)虛擬系統(tǒng)和根系統(tǒng)當(dāng)前的會(huì)話數(shù)小于450000，虛擬系統(tǒng)可建立的會(huì)話數(shù)就能達(dá)到5000041說定額4SSLVPN虛擬網(wǎng)安全定額虛擬系統(tǒng)創(chuàng)建時(shí)固定分配給虛擬系統(tǒng)8個(gè)安全區(qū)域，包4個(gè)缺省的安全區(qū)域和4手工-新建手工新建會(huì)話速率表示虛擬系統(tǒng)每秒可新在線用戶手工-SSLVPN手工-手工-手工-手工最大帶寬手工指虛擬系統(tǒng)所有接口入方向的最大帶寬。根系統(tǒng)管理員需要根據(jù)每個(gè)虛擬系統(tǒng)的網(wǎng)絡(luò)需求分配資源。例如，一個(gè)虛擬系統(tǒng)連接的是公司的服務(wù)器區(qū)域，為服務(wù)器根系統(tǒng)管理員需要根據(jù)每個(gè)虛擬系統(tǒng)的網(wǎng)絡(luò)需求分配資源。例如，一個(gè)虛擬系統(tǒng)連接的是公司的服務(wù)器區(qū)域，為服務(wù)器提供安全防護(hù)。另一個(gè)虛擬系統(tǒng)連接的是公司某個(gè)部門的工作區(qū)域，管理該部個(gè)員工的上網(wǎng)行為。兩個(gè)虛擬系統(tǒng)所需要的資源是不同的：第一個(gè)虛擬系統(tǒng)需要很多的會(huì)話資源，但不需要任何的用戶源；第二個(gè)虛擬系統(tǒng)必須要有足夠的用戶資源，但需要的會(huì)話資源則較少。共享搶占的資源包括：地址地區(qū)自定義服務(wù)和自定自定義應(yīng)用和自定時(shí)間帶寬通靜態(tài)各種表項(xiàng)，如Server-map表、IP-MAC地址綁定表、ARP表、MAC虛擬系統(tǒng)的分通過分流能將進(jìn)入設(shè)備的報(bào)文送入正NGFW上未配置虛擬系統(tǒng)時(shí)，報(bào)文進(jìn)入NGFW后直接根據(jù)根系統(tǒng)的策略和表項(xiàng)（會(huì)話表、地址表、等）對(duì)其進(jìn)行處理。上配置了虛擬系統(tǒng)時(shí)，每個(gè)虛擬系統(tǒng)都相當(dāng)于一臺(tái)獨(dú)立的設(shè)備，僅依據(jù)虛擬系統(tǒng)的策略和表項(xiàng)對(duì)報(bào)文進(jìn)行處理。因此后，首先要確定報(bào)文與虛擬系統(tǒng)的歸屬關(guān)系，以決定其進(jìn)入哪個(gè)虛擬系統(tǒng)進(jìn)行處理。我們將確定報(bào)文與虛擬系統(tǒng)歸屬關(guān)系的NGFW支持基于接口分流和基于VLAN分流兩種分流方式。接口工作在三層時(shí)，采用基于接口的分流方式；接口工作在二層時(shí)，采用基于VLAN的分5將接口（包括GigabitEthernet和GigabitEthernet子接口）與虛擬系統(tǒng)綁定后將接口（包括GigabitEthernet和GigabitEthernet子接口）與虛擬系統(tǒng)綁定后，從此接口接收到的被認(rèn)為屬于該虛擬系統(tǒng)，并根據(jù)該虛擬系統(tǒng)的配置進(jìn)行處理。如圖1所示，虛擬系統(tǒng)VSYSA、VSYSB、VSYSC有專屬的內(nèi)網(wǎng)接口GigabitEthernet1/0/1、1/0/3接收到的報(bào)文經(jīng)過分流，將分VSYSA、VSYSB、進(jìn)行路由查找和策略處理圖基于接口分流示意VLAN將VLAN與虛擬系統(tǒng)綁定VLAN內(nèi)的報(bào)文都將被送入與其綁定的虛擬系統(tǒng)進(jìn)行處理。如圖2所示，NGFW的內(nèi)網(wǎng)接口GigabitEthernet1/0/1為Trunk接口，并允許VLAN10、和VLAN30報(bào)文通過。VLAN10、VLAN20、VLAN30分別綁定虛擬系統(tǒng)VSYSA、VSYSB和VSYSC。對(duì)于1/0/1接收到的報(bào)文，NGFW會(huì)根據(jù)報(bào)文幀頭部的VLANTag確定報(bào)文所屬的VLAN，再根據(jù)VLAN與虛綁定關(guān)系，將報(bào)文引入相應(yīng)的虛擬系統(tǒng)。6報(bào)文進(jìn)入虛擬系統(tǒng)后，根據(jù)該虛擬系地址表查詢到報(bào)文進(jìn)入虛擬系統(tǒng)后，根據(jù)該虛擬系地址表查詢到出接口，確定報(bào)文出入接口的域間關(guān)系置的域間策略對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)或丟棄圖虛擬系統(tǒng)間的互虛擬系統(tǒng)之間能夠通過虛擬接口實(shí)現(xiàn)互訪虛擬接口是創(chuàng)建虛擬系統(tǒng)時(shí)系統(tǒng)自動(dòng)為其創(chuàng)建的一個(gè)邏輯接口，作為虛擬系統(tǒng)自身與其他虛擬系統(tǒng)之間通信的接口。與設(shè)備上其他的接口不同的是，虛擬接口IP地址也能生效。虛擬接口名的格式為接口號(hào)”，根系統(tǒng)的虛擬接口名為Virtualif0，其他虛擬系統(tǒng)的Virtualif接口號(hào)從1開始，根據(jù)系統(tǒng)中口號(hào)占用情況自動(dòng)分配如 所示，各個(gè)虛擬系統(tǒng)的虛擬接口和根系統(tǒng)的虛擬接口之間默認(rèn)通過一條“虛擬鏈路”連接。如統(tǒng)和虛擬系統(tǒng)視為獨(dú)立的設(shè)備，將虛擬接口視為設(shè)備之間通信的接口，通過將虛擬接口加入安全區(qū)域并按照配置一般設(shè)備間互訪的思路配置路由和安全策略，就能實(shí)現(xiàn)虛擬系統(tǒng)與根系統(tǒng)之間的互訪。7另外，由于每個(gè)虛擬系統(tǒng)和根系統(tǒng)都是連通的，可以將根系統(tǒng)視另外，由于每個(gè)虛擬系統(tǒng)和根系統(tǒng)都是連通的，可以將根系統(tǒng)視為一臺(tái)連接多個(gè)虛擬系這臺(tái)“路由器”的中轉(zhuǎn)，可以實(shí)現(xiàn)兩個(gè)虛擬系統(tǒng)之間的互訪圖1下面將具體介紹虛擬系統(tǒng)與根系統(tǒng)之間互訪以及兩個(gè)虛擬系統(tǒng)之間互以下場(chǎng)景中需要配置虛擬系統(tǒng)與根系統(tǒng)之間互訪：虛擬系統(tǒng)內(nèi)的主機(jī)需要訪問根系統(tǒng)管理的主機(jī)當(dāng)公網(wǎng)地址不足時(shí)，不能給每一個(gè)虛擬系統(tǒng)分配一個(gè)公網(wǎng)接口 地址。所有虛擬系系統(tǒng)的公網(wǎng)接口來訪問Internet。此時(shí)虛擬系統(tǒng)主Internet的流量需要經(jīng)過根系統(tǒng)的如圖2所示，可以通過配置路由和安全策略實(shí)/24通過根系統(tǒng)的公網(wǎng)接口訪問Internet服務(wù)器28路由的配置方法如下： 在VSYSA中配置一條靜態(tài)路由，目的地址是，目的虛擬系統(tǒng)選擇root路由的配置方法如下： 在VSYSA中配置一條靜態(tài)路由，目的地址是，目的虛擬系統(tǒng)選擇root 在根系統(tǒng)中配置一條靜態(tài)路由，目的地址是GE1/0/1，下一跳是運(yùn)營商所提地址。完成正向路由的配置 在根系統(tǒng)中配置一條靜態(tài)路由，目的地址是/24，目的虛擬系統(tǒng)選擇VSYSA 在VSYSA中配置一條靜態(tài)路由，目的地址是/24，出接口是GE1/0/2。完成反向路由的配置安全策略的配置方 Untrust區(qū)域的安 在根系統(tǒng)中，將接口GE1/0/1加入U(xiǎn)ntrust區(qū)域、Virtualif0加入Trust區(qū)域，配置允許Trust區(qū)域Untrust區(qū)域的安完成上述路由和安全策略的配置就可以實(shí)現(xiàn)報(bào)文的正常轉(zhuǎn)發(fā)，但是內(nèi)網(wǎng)的主機(jī)使用的是私網(wǎng)地址/24，所以內(nèi)網(wǎng)的主機(jī)如果想要正常訪問Internet，還必須在VSYSA或root中配置NAT公網(wǎng)地址和私網(wǎng)地址的轉(zhuǎn)換。在哪個(gè)虛擬系統(tǒng)中策略，取決于哪個(gè)虛擬系統(tǒng)的管理員管理和使用公網(wǎng)9虛擬系統(tǒng)之間互訪是通過根系統(tǒng)中轉(zhuǎn)實(shí)現(xiàn)的。如圖3中的用戶虛擬系統(tǒng)之間互訪是通過根系統(tǒng)中轉(zhuǎn)實(shí)現(xiàn)的。如圖3中的用戶要中Server，需過VSYSA訪問根系統(tǒng)，再通過根來實(shí)圖虛擬系統(tǒng)之間的互路由的配置方法如下： 在VSYSAroot 在根系統(tǒng)中配置一條靜態(tài)路由，目的地址是VSYSB VSYSB中配置一條靜態(tài)路由，目的地址是，出接口是GE1/0/3。完成正向路 VSYSB中配置一條靜態(tài)路由，目的地址是/24，目的虛擬系統(tǒng)選擇root 在根系統(tǒng)中配置一條靜態(tài)路由，目的地址是/24，目的虛擬系統(tǒng)選擇VSYSA 在VSYSA中配置一條靜態(tài)路由，目的地址是/24，出接口是GE1/0/2。完成反向路由的配置安全策略的配置方 在VSYSA中配置一條靜態(tài)路由，目的地址是/24，出接口是GE1/0/2。完成反向路由的配置安全策略的配置方 Untrust區(qū)域的安 Trust區(qū)域的安同樣，如果期間涉及到公網(wǎng)地址和私網(wǎng)地址之間的轉(zhuǎn)換，也需要在VSYSA、VSYSB或root中配置NAT策略由于虛擬系統(tǒng)對(duì)網(wǎng)絡(luò)和接口進(jìn)行了隔離，所以不同虛擬系統(tǒng)可以獨(dú)自規(guī)劃和地址。這就有出現(xiàn)兩個(gè)虛擬系統(tǒng)網(wǎng)絡(luò)使用了相同私 地址的情況。也就是地址重疊的情況。在虛擬系統(tǒng)間通信時(shí)，地址重疊會(huì)導(dǎo)致一些問題：虛擬系統(tǒng)與根系統(tǒng)之間互訪假設(shè)兩個(gè)虛擬系統(tǒng)VSYSA、VSYSB所連接的網(wǎng)絡(luò)主機(jī)采用了相同的私網(wǎng)地址（例如），但都需要與根系統(tǒng)所連接的同一臺(tái)服務(wù)器（）通對(duì)于虛擬系統(tǒng)發(fā)出的報(bào)文，根據(jù)路由這些主機(jī)發(fā)出的報(bào)文可以正確轉(zhuǎn)發(fā)給服務(wù)器。但是對(duì)于服務(wù)器返回的報(bào)文，由于其目的地址均為，所以root無法判斷該報(bào)文應(yīng)該轉(zhuǎn)發(fā)給VSYSA還是VSYSB解決此問題的方法就是在兩個(gè)虛擬系NAT策略。在將報(bào)文發(fā)送給根系統(tǒng)前，先分別將報(bào)文的源地址轉(zhuǎn)換為不沖突的地址網(wǎng)段。這樣在根系統(tǒng)看來，就不會(huì)出IP地址相同的主機(jī)。根系統(tǒng)中再配置針對(duì)轉(zhuǎn)換后的IP地址的路由，就可以正確轉(zhuǎn)發(fā)報(bào)文了。兩個(gè)虛擬系統(tǒng)之間互訪根系統(tǒng)只根據(jù)路由表對(duì)虛擬系統(tǒng)之間的訪問報(bào)文進(jìn)行轉(zhuǎn)發(fā)，不進(jìn)行其他安全功能的處理，因此不需要在根系統(tǒng)下針對(duì)這些報(bào)文配置安全策略。假設(shè)兩個(gè)虛擬系統(tǒng)VSYSA、VSYSB所連接的網(wǎng)絡(luò)主機(jī)采用了相同的私網(wǎng)地址（例如/24）兩者需要相互通信。顯然它們不能使用各自的原地址進(jìn)行通信，因?yàn)檫@會(huì)出現(xiàn)源和目的地址相同或位假設(shè)兩個(gè)虛擬系統(tǒng)VSYSA、VSYSB所連接的網(wǎng)絡(luò)主機(jī)采用了相同的私網(wǎng)地址（例如/24）兩者需要相互通信。顯然它們不能使用各自的原地址進(jìn)行通信，因?yàn)檫@會(huì)出現(xiàn)源和目的地址相同或位于同一網(wǎng)段的情況。此時(shí)就需要根系統(tǒng)管理員為每一個(gè)虛擬系統(tǒng)配置NAT策略進(jìn)行源地址或目的地址的轉(zhuǎn)換。假設(shè)，VSYSA中主機(jī)要訪問VSYSB中IP地址為的一臺(tái)服務(wù)器，在VSYSA中配置源NAT策略文的源地址轉(zhuǎn)換為，在VSYSB中配置服務(wù)器映射Server）將服務(wù)器的私。VSYSA主機(jī)使用新地址來訪問中的服務(wù)器配置如在VSYSA中配置源NAT策略對(duì)報(bào)文的源地址進(jìn)行轉(zhuǎn)換。在VSYSA中配置靜態(tài)路由將訪問流量轉(zhuǎn)發(fā)至root在root中配置靜態(tài)路由將訪問流量轉(zhuǎn)發(fā)至VSYSB在VSYSB中配在VSYSB中配置到達(dá)的靜態(tài)參考上述步驟配置反向路由即可實(shí)現(xiàn)正常通信虛擬系統(tǒng)應(yīng)用場(chǎng)介紹虛擬系統(tǒng)的應(yīng)虛擬系統(tǒng)目前主要用于以下幾個(gè)場(chǎng)景類靜態(tài)----通常大中型企業(yè)的網(wǎng)絡(luò)為多地部署，設(shè)備數(shù)量眾多，網(wǎng)絡(luò)環(huán)境復(fù)通常大中型企業(yè)的網(wǎng)絡(luò)為多地部署，設(shè)備數(shù)量眾多，網(wǎng)絡(luò)環(huán)境復(fù)雜。而且隨著企業(yè)業(yè)務(wù)規(guī)模的不斷增大，各業(yè)務(wù)部門的職能和權(quán)責(zé)劃分也越來越清晰，每個(gè)部門都會(huì)有不同的安全需求。這些將導(dǎo)致防火墻的配置異常雜，管理員操作容易出錯(cuò)。通過防火墻的虛擬化技術(shù)，可以在實(shí)現(xiàn)網(wǎng)絡(luò)隔離的基礎(chǔ)上，使得業(yè)務(wù)管理更加清晰和簡(jiǎn)如圖1所示，企業(yè)內(nèi)部網(wǎng)絡(luò)通過NGFW的虛擬系統(tǒng)將網(wǎng)絡(luò)隔離為研發(fā)部門、財(cái)經(jīng)部門和行政部門。各部門之間可以根據(jù)權(quán)限互相訪問，不同部門的管理員權(quán)限區(qū)分明確。企業(yè)內(nèi)網(wǎng)用戶可以根據(jù)不同部門的權(quán)限訪問Internet的特定網(wǎng)1新興的云計(jì)算技術(shù)，其核心理念是將網(wǎng)絡(luò)資源和計(jì)算能力存放于網(wǎng)絡(luò)云端。網(wǎng)絡(luò)用戶只需通過網(wǎng)絡(luò)終端接入公有網(wǎng)絡(luò)，就可以訪問相應(yīng)的網(wǎng)絡(luò)資源，使用相應(yīng)的服務(wù)。在這個(gè)過程中，不同用戶之間的流量隔離、安全防護(hù)和資源分配是非常重要的一環(huán)。通過配置虛擬系統(tǒng)，就可以讓部署在云計(jì)算具備云計(jì)算網(wǎng)關(guān)的能力，對(duì)用戶流量進(jìn)行隔離的同時(shí)提供強(qiáng)大的安全防護(hù)能力。如圖2所示，企業(yè)A和企業(yè)B分別在云計(jì)算中心放置了服務(wù)器。NGFW作為云計(jì)算中心出口的安全網(wǎng)關(guān)，能隔離不同企業(yè)的網(wǎng)絡(luò)及流量，并根據(jù)2使用限制與注意事介紹虛擬系統(tǒng)在使用中的限制和注意事項(xiàng)的大部使用限制與注意事介紹虛擬系統(tǒng)在使用中的限制和注意事項(xiàng)的大部分功能在虛擬系統(tǒng)中都能配置，具體請(qǐng)參見虛擬系統(tǒng)功能支持列表。但部分功能存在一些配置的限制，具體如表所示1功虛擬系統(tǒng)管理員不能通過Console口登錄設(shè)備特征庫升級(jí)和系統(tǒng)只能在根系統(tǒng)中進(jìn)行特征庫和系統(tǒng)軟件的升級(jí)操作配置Web界面或CLI界面查看、保存自己管理的虛擬系統(tǒng)的配置。但配置文件的導(dǎo)入、導(dǎo)出只能通過Web界面。服務(wù)所有服務(wù)端口都只能在根系統(tǒng)中修改，如HTTP服務(wù)端口、HTTPS服務(wù)端證只能在根系統(tǒng)中進(jìn)行證書的相關(guān)配置，如申請(qǐng)、導(dǎo)入和刪除證書，上 列表，配置證書過濾規(guī)則等，所有虛擬系統(tǒng)共用根系統(tǒng)的配置。用戶與認(rèn)只能在根系統(tǒng)中配置認(rèn)證頁面，所有虛擬系統(tǒng)共用根系統(tǒng)的配置日志和報(bào)只能在根系統(tǒng)中配置日志服務(wù)器，所有虛擬系統(tǒng)共用根系統(tǒng)的配置。在分配接口或VLAN前，如果接口、VLAN以及與VLAN對(duì)應(yīng)的VLANIF存在以下情況是不可分配的，需要在分配接口或VLAN前，如果接口、VLAN以及與VLAN對(duì)應(yīng)的VLANIF存在以下情況是不可分配的，需要將相配置清除或者解除特性的引用才可以分配接口VLAN已經(jīng)被分配給其他虛接口VLANIF在雙機(jī)熱備中接口VLANIF已經(jīng)配置為特征庫升級(jí)時(shí)用于發(fā)送升級(jí)請(qǐng)求報(bào)接口VLANIF已經(jīng)被策略引用接口VLANIF已經(jīng)配置了TCP代理或IPv6功能、加入了安全區(qū)域或Link-接口是Eth-Trunk的成員接口或被切換為如果接口存在以下配置，在分配時(shí)相關(guān)配置會(huì)被接口已經(jīng)應(yīng)用了接口上應(yīng)用了DDoS攻擊由Trunk和Hybrid類型的二層接口以及配置子接口的三層接口可能同時(shí)被多個(gè)虛擬系統(tǒng)使用，所以在各個(gè)虛擬系統(tǒng)的“面板”的“接口流量統(tǒng)計(jì)信息”中，此類接口的流量數(shù)據(jù)將會(huì)是各個(gè)虛擬系統(tǒng)的啟用虛擬系啟用虛擬系統(tǒng)功能后，才能配置資源 進(jìn)入“面板”，在1 虛擬 虛擬系統(tǒng)功能啟用后，設(shè)備的Web界面會(huì)有如下的變化Web界面的右上角出現(xiàn)“虛擬系統(tǒng)”下拉選單。如圖2所示，如果管理員在NGFW上創(chuàng)建了多統(tǒng)，可以通過單擊下拉列表中的虛擬系統(tǒng)名稱，進(jìn)入虛擬系統(tǒng)的配置界面。其中，“root”是根系統(tǒng)，“vsysa”和“vsysb”是管理員創(chuàng)建2“系統(tǒng)”版塊的菜單導(dǎo)航樹中3配置資源在創(chuàng)建虛擬系統(tǒng)前，請(qǐng)先完成資配置資源在創(chuàng)建虛擬系統(tǒng)前，請(qǐng)先完成資源類的配置由于NGFW上所創(chuàng)建的虛擬系統(tǒng)會(huì)共同使用NGFW的資源，為避免因某個(gè)虛擬系統(tǒng)占用大量系統(tǒng)無法獲取資源、業(yè)務(wù)無法正常運(yùn)行的情況，需要對(duì)單個(gè)虛擬系統(tǒng)允許使用的資源進(jìn)行約束。虛擬系統(tǒng)的資源分配是通過在資源類中規(guī)劃資源數(shù)，再將資源類綁定虛擬系統(tǒng)來實(shí)現(xiàn)的。 由于根系統(tǒng)為多個(gè)虛擬系統(tǒng)分配資源，在分配資源前，根系統(tǒng)管理員需要查看剩余資源，以保證資源的正確分配 >>一個(gè)資源類可以同時(shí)被多個(gè)虛擬系統(tǒng)綁定。當(dāng)多個(gè)虛擬系統(tǒng)的資源需求相同時(shí)，根系統(tǒng)管理員只需要為這些虛擬系統(tǒng)配置一個(gè)資源類即可。資源類r0默認(rèn)與根系統(tǒng)綁定，不能刪除、不能修改名稱。 單擊“剩余資 單擊“新建 創(chuàng)建虛擬系統(tǒng)并分配資創(chuàng)建 單擊“剩余資 單擊“新建 創(chuàng)建虛擬系統(tǒng)并分配資創(chuàng)建虛擬系統(tǒng)并為創(chuàng)建虛擬系統(tǒng)時(shí)，需要為其綁定資源類，使虛擬系統(tǒng)的會(huì)話、策略等為了完成虛擬系統(tǒng)業(yè)務(wù)的配置，根系統(tǒng)管理員還需要根據(jù)實(shí)際的組網(wǎng)需求為虛擬系統(tǒng)分配接口、VLAN >> 單擊“新建”，選參說名輸入資源類描輸入資源類描述信息。合理填寫描述信息有助于管理員正確理解資源類的功能，便于查找和維護(hù)。資源可分配的資源的名稱。其中，“策略數(shù)”是指所有策略的總數(shù)，包括安全策略、NAT策略、帶寬策略、認(rèn)虛擬系統(tǒng)可使用某項(xiàng)資源的最小數(shù)量。這部分資源一旦分配給虛擬系統(tǒng)，就被該虛擬系統(tǒng)獨(dú)占。虛擬系統(tǒng)可使用某項(xiàng)資源的最大數(shù)量。虛擬系統(tǒng)可使用的資源能否達(dá)到最大值視其他虛擬系統(tǒng)使用該項(xiàng)資源的情況而定。參說資源–剩余值=整機(jī)規(guī)格-已分配的資源數(shù)根系統(tǒng)已使用的資源數(shù)。分配給虛擬系統(tǒng)的資源的保證數(shù)量不應(yīng)超過當(dāng)前的剩余值。 VLAN選擇“接口分配”頁簽，為虛擬系統(tǒng)可分配的接口包括未被其他虛擬系統(tǒng)使用的三 VLAN選擇“接口分配”頁簽，為虛擬系統(tǒng)可分配的接口包括未被其他虛擬系統(tǒng)使用的三層以太網(wǎng)接口、選擇“VLAN分配”頁簽，為虛擬系統(tǒng)分配VLANVLAN中包含的二層接口或VLANIF會(huì)隨VLAN分配給相應(yīng)的虛 配置完成后，可以進(jìn)行如下操作：在“虛擬系統(tǒng)列表”中查看已創(chuàng)建的虛擬系統(tǒng)及分配的資源內(nèi)容在“虛擬系統(tǒng)列表”中勾選虛擬系統(tǒng)，單擊“當(dāng)前資源使用信息”，查看指定虛擬系統(tǒng)的資源使用況選擇指定虛，進(jìn)入該虛擬系統(tǒng)的管理員頁面。如果在創(chuàng)建虛擬系統(tǒng)后，有一些虛擬系統(tǒng)不再需要使用，則可以在“虛擬系統(tǒng)列表”中勾選虛擬系統(tǒng)后，單擊“刪除”，然后在彈出的確認(rèn)框中單擊“確定”。系統(tǒng)將自動(dòng)清除該虛擬系統(tǒng)的所有配置，回收所有已分配的資源，并將該虛擬系統(tǒng)刪除參說名輸入虛擬系統(tǒng)的名稱。描輸入虛擬系統(tǒng)描述信息合理填寫描述信息有助于管理員正確理解虛擬系統(tǒng)的功能，便于查找和維護(hù)。綁定指定的資源類不選擇資源類，以及選擇“NONE”時(shí)，該虛擬系統(tǒng)的會(huì)話和策略等資源將搶占根系統(tǒng)的可用資源。當(dāng)根系統(tǒng)資源已經(jīng)被其他虛擬系統(tǒng)搶占完時(shí)，該虛擬系統(tǒng)將無資源可用。選擇配置虛擬系統(tǒng)與根系統(tǒng)互為實(shí)現(xiàn)虛擬系統(tǒng)與根系統(tǒng)間的通信，需要配置虛擬系統(tǒng)與根系統(tǒng)互訪的配置虛擬系統(tǒng)與根系統(tǒng)互為實(shí)現(xiàn)虛擬系統(tǒng)與根系統(tǒng)間的通信，需要配置虛擬系統(tǒng)與根系統(tǒng)互訪的路由和安全策略。配置虛擬系統(tǒng)與根系統(tǒng)互訪時(shí)，可以將虛擬系統(tǒng)和根系統(tǒng)視為兩臺(tái)獨(dú)立的設(shè)備。這兩臺(tái)設(shè)備間要能互訪，需要在每臺(tái)設(shè)備上配置正確的路由和安全策略如圖1所示，虛擬系統(tǒng)VSYSA的用戶要通過屬于根系統(tǒng)的公網(wǎng)接口GE1/0/1訪問Internet服務(wù)器VSYSA和根系統(tǒng)中需要分別完成1 在VSYSA中配置路由和安全策略。 vsysa”，進(jìn)VSYSA >> 單擊“新建Internet的靜態(tài)路由 VSYSA內(nèi)用戶的靜態(tài)目的地址/掩目的地址/掩-- > 單擊“Virtualif1”接口對(duì)應(yīng)按鈕，將接Untrust > 單擊“新建 在界面右上角的“虛擬系統(tǒng)”下拉菜單中選擇“root >> 單擊“新建 > 單擊“Virtualif1”接口對(duì)應(yīng)按鈕，將接Untrust > 單擊“新建 在界面右上角的“虛擬系統(tǒng)”下拉菜單中選擇“root >> 單擊“新建Internet的靜態(tài)路由 VSYSA內(nèi)用戶的靜態(tài)目的地址/掩目的地址/掩名源地址/地目的地址/地動(dòng)允統(tǒng)與Virtualif的對(duì)應(yīng)關(guān)系可以在本系統(tǒng)的“接口列表”中看到。- > 單擊“Virtualif0”接口對(duì)應(yīng)按鈕，將接口加入Trust > 單擊“新建 > 單擊“Virtualif0”接口對(duì)應(yīng)按鈕，將接口加入Trust > 單擊“新建配置虛擬系統(tǒng)間互為實(shí)現(xiàn)兩個(gè)虛擬系統(tǒng)間的通信，需要配置虛擬系統(tǒng)間互訪的路由和安全策略。如圖1所示，VSYSA中的用戶要訪問VSYSB中的Server，需要通過VSYSA訪問根系統(tǒng)，再通過根系來實(shí)現(xiàn)。根系統(tǒng)就相當(dāng)于一臺(tái)路由器，負(fù)責(zé)連接兩個(gè)虛擬系統(tǒng)，中轉(zhuǎn)虛擬系統(tǒng)之間互訪的報(bào)文。建議您仔細(xì)閱讀兩個(gè)虛擬系統(tǒng)之間互訪中的內(nèi)容，理解虛擬系統(tǒng)間互訪的原理，以便您能正確的進(jìn)行配置1名源地址/地目的地址/地動(dòng)允-- 在根系統(tǒng)中配置VSYSA和VSYSB在界面右上角的“虛擬系統(tǒng)”下拉菜單中選擇“root”，進(jìn)入根>>單擊“新建”，按如下參數(shù)配VSYSB的靜態(tài)路由重復(fù) 在根系統(tǒng)中配置VSYSA和VSYSB在界面右上角的“虛擬系統(tǒng)”下拉菜單中選擇“root”，進(jìn)入根>>單擊“新建”，按如下參數(shù)配VSYSB的靜態(tài)路由重復(fù)上述步驟，按如下參數(shù)配VSYSA的靜態(tài)路由 在VSYSA中配置路由和安全策略。 vsysa”，進(jìn)VSYSA >> 單擊“新建”，按如下參數(shù)配置到VSYSB目的地址/掩--目的地址/掩--目的地址/掩--根系統(tǒng)只根據(jù)路由表對(duì)虛擬系統(tǒng)之間的訪問報(bào)文進(jìn)行轉(zhuǎn)發(fā)，不進(jìn)行其他安全功能的處理，因此不需要在根系統(tǒng)下針對(duì)這些報(bào)文配置安全策略。重復(fù)上述步驟，按如下參數(shù)配置到VSYSA內(nèi)用戶的靜態(tài)>單擊“Virtualif1”接口對(duì)應(yīng)按鈕，將接Untrust>單擊“新建”，按如下參數(shù)配置安全重復(fù)上述步驟，按如下參數(shù)配置到VSYSA內(nèi)用戶的靜態(tài)>單擊“Virtualif1”接口對(duì)應(yīng)按鈕，將接Untrust>單擊“新建”，按如下參數(shù)配置安全 在VSYSB vsysb”，進(jìn)入VSYSB >> 單擊“新建VSYSB內(nèi)服務(wù)器 VSYSA內(nèi)用戶的靜態(tài)目的地址/掩-名源地址/地目的地址/地動(dòng)允統(tǒng)與Virtualif的對(duì)應(yīng)關(guān)系可以在本系統(tǒng)的“接口列表”中看到。目的地址/掩- > 單擊“Virtualif2”接口對(duì)應(yīng)按鈕，將接Untrust > 單擊“新建創(chuàng)建虛擬系統(tǒng)管理創(chuàng) > 單擊“Virtualif2”接口對(duì)應(yīng)按鈕，將接Untrust > 單擊“新建創(chuàng)建虛擬系統(tǒng)管理創(chuàng)建虛擬系統(tǒng)管理員、配置管理員的登錄方式和創(chuàng)建虛擬系統(tǒng)后，根系統(tǒng)管理員可以為虛擬系統(tǒng)創(chuàng)建一個(gè)或多個(gè)管理員。使用這些管理員賬號(hào)登錄設(shè)備，可以配置虛擬系統(tǒng)的業(yè)務(wù)。根系統(tǒng)管理員需要進(jìn)入虛擬系統(tǒng)的配置界面才能創(chuàng)建虛擬系統(tǒng)管理員，創(chuàng)建虛擬系統(tǒng)管理員的方法與創(chuàng)建根系統(tǒng)管理員的方法相同項(xiàng)數(shù)信任主機(jī)：9/32和名源地址/地目的地址/地動(dòng)允目的地址/掩-- vsysa”，進(jìn)VSYSA > vsysa”，進(jìn)VSYSA >> 單擊“新建虛擬系統(tǒng)管理員用戶名必須帶后綴“@虛擬系統(tǒng)名稱如果使用第三方認(rèn)證服務(wù)器對(duì)虛擬系統(tǒng)管理員進(jìn)行認(rèn)證，認(rèn)證服務(wù)器上配置的用戶名不需要帶后項(xiàng)數(shù)登錄IP所屬虛擬系虛擬系統(tǒng)的登錄接口也可以是屬于根登錄HTTPS > 單擊GE1/0/3接口 > 單擊GE1/0/3接口對(duì)按鈕，配置各項(xiàng)參數(shù)。 在界面右上角的“虛擬系統(tǒng)”下拉菜單中選擇“root >>號(hào)HTTP協(xié)議，但出于安全性的考慮，建議您使用HTTPS協(xié)議綴“@虛擬系統(tǒng)名稱”。例如，認(rèn)證服務(wù)器需要對(duì)虛擬系VSYSA的管admin@vsysa進(jìn)行認(rèn)證時(shí)，認(rèn)證服務(wù)器上配置的用戶名應(yīng)該是admin。IPPCIP地址固定，可以配置信任IPPCIP地址經(jīng)常變動(dòng)，則不建議配置 完成上述配置后，虛擬系統(tǒng)管理員可以按照如下步驟登錄 完成上述配置后，虛擬系統(tǒng)管理員可以按照如下步驟登錄虛擬系統(tǒng)： 在管理員PC中打開網(wǎng)絡(luò)瀏覽器，訪問需要登錄設(shè)備的IP地址“:端口號(hào)在登錄界面中輸入管理員的用戶名“Admin@vsysa”和密碼“Vsysadmin@123”，單擬系統(tǒng)Web界面舉例：通過虛擬系統(tǒng)隔離企業(yè)部門（三層接入，虛擬系統(tǒng)共用根系統(tǒng)公網(wǎng)口企業(yè)內(nèi)劃分為多個(gè)部門，各部門間職能和權(quán)責(zé)劃分明確，需要制定不同的網(wǎng)絡(luò)管理策略，導(dǎo)致配置復(fù)雜。作為企業(yè)網(wǎng)絡(luò)的出口網(wǎng)關(guān)，通過虛擬系統(tǒng)功能實(shí)現(xiàn)對(duì)不同部門網(wǎng)絡(luò)的區(qū)分管理，降低配置難度。某中A，購買一臺(tái)防火墻作為網(wǎng)關(guān)。由于其內(nèi)網(wǎng)員工眾多，根據(jù)權(quán)限不同劃分為研發(fā)部門、財(cái)經(jīng)部門、行政部門三大網(wǎng)絡(luò)。需要分別配置不同的安全策略。具體要求如下：由于只有一IP和公網(wǎng)接口，公司內(nèi)網(wǎng)所有部門都需要借用同一個(gè)接口訪問Internet財(cái)經(jīng)部門禁Internet，研發(fā)部門只有部分員工可以訪問Internet，行政部門則全部可以訪問Internet三個(gè)部門的業(yè)務(wù)量差不多，所以為它們分配相同的虛擬系統(tǒng)資源輸入 地址登錄后，瀏覽器可能會(huì)給出證書不安全的提示，此時(shí)可以選擇繼續(xù)瀏覽通過虛擬系統(tǒng)就可以實(shí)現(xiàn)上述需求。組網(wǎng)圖如圖通過虛擬系統(tǒng)就可以實(shí)現(xiàn)上述需求。組網(wǎng)圖如圖1圖網(wǎng)絡(luò)隔離組網(wǎng)圖（三層接入，虛擬系統(tǒng)共用根系統(tǒng)公網(wǎng)接口項(xiàng)數(shù)說公網(wǎng)接口公網(wǎng)接口所屬安全區(qū)域私網(wǎng)接口：root的虛擬接私網(wǎng)接口所屬安全區(qū)域運(yùn)營商接入網(wǎng)關(guān)IP地址統(tǒng)才可訪問Internet，而且各個(gè)部門置NAT策略。公網(wǎng)接口：VSYSA的虛擬接公網(wǎng)接口所屬安全區(qū)域私網(wǎng)接口私網(wǎng)接口所屬安全區(qū)域管理- 根系統(tǒng)管理員分別創(chuàng)建虛擬系統(tǒng)VSYSA、VSYSB、 并為每個(gè)虛擬系統(tǒng)分配資源和配置管理員 根系統(tǒng)管理員為內(nèi)網(wǎng)用戶訪問Internet配置路由和NAT策略 根系統(tǒng)管理員分別創(chuàng)建虛擬系統(tǒng)VSYSA、VSYSB、 并為每個(gè)虛擬系統(tǒng)分配資源和配置管理員 根系統(tǒng)管理員為內(nèi)網(wǎng)用戶訪問Internet配置路由和NAT策略 VSYSA配IP地址、路由和安全策略 VSYSB配IP地址、路由和安全策略 VSYSC配IP地址、路由和安全策略項(xiàng)數(shù)說Internet的地址范公網(wǎng)接口：VSYSB的虛公網(wǎng)接口所屬安全區(qū)域私網(wǎng)接口私網(wǎng)接口所屬安全區(qū)域管理-公網(wǎng)接口：VSYSC的虛擬接公網(wǎng)接口所屬安全區(qū)域私網(wǎng)接口私網(wǎng)接口所屬安全區(qū)域管理-用戶用戶策略最大帶寬 根系統(tǒng)管理員分別創(chuàng)建虛擬系統(tǒng)VSYSA、VSYSB和VSYSC 使用根系統(tǒng)管理員賬號(hào)登錄設(shè)備Web界面 根系統(tǒng)管理員分別創(chuàng)建虛擬系統(tǒng)VSYSA、VSYSB和VSYSC 使用根系統(tǒng)管理員賬號(hào)登錄設(shè)備Web界面 選擇“面板”，在“系統(tǒng)信息”面板中單擊“虛擬系統(tǒng)”對(duì)應(yīng)的“配置”按鈕，勾選“虛擬統(tǒng)”對(duì)應(yīng)的“啟用”按鈕，單擊“應(yīng)用 >資源類”，單擊“新建”，按如下參數(shù)配置資> >虛擬系統(tǒng)”，單擊“新建”，按如下參數(shù)完成虛擬系統(tǒng)VSYSA的基礎(chǔ)>置 選擇“接口分配”頁簽，單按鈕將接口GE1/0/3分配給VSYSA 參考上述步驟繼續(xù)創(chuàng)建VSYSB和VSYSC 參考上述步驟繼續(xù)創(chuàng)建VSYSB和VSYSC，并將接口GE1/0/4分配給VSYSB，將接口GE1/0/5分配VSYSC 根系統(tǒng)管理員為虛擬系統(tǒng)創(chuàng)建管理員 在界面右上角的“虛擬系統(tǒng)”下拉菜單中選擇“vsysa”后，進(jìn)入虛擬系統(tǒng)“vsysa > 參考上述步驟為虛擬系統(tǒng)VSYSB和VSYSC創(chuàng)建管理員“admin@vsysb”和“admin@vsysc 根系統(tǒng)管理員為內(nèi)網(wǎng)用戶訪問Internet配置路由、安全策略和NAT >域 根系統(tǒng)管理員為內(nèi)網(wǎng)用戶訪問Internet配置路由、安全策略和NAT >域按鈕，按如下參數(shù)IP地址和安 參考上述步驟將Virtualif0接口加入Trust區(qū)域 >> 單擊“新建VSYSA內(nèi)員工Internet回程流量引入VSYSA 單擊“新建VSYSC內(nèi)員工Internet回程流量引入VSYSC >>的作用 >>的作用是允許內(nèi)網(wǎng)的員工訪問Internet。虛擬系統(tǒng)管理員可以針對(duì)內(nèi)網(wǎng)員工的IP地址配置嚴(yán)格的安全策略，所以根系統(tǒng)管理員在配置策略時(shí)不需要詳細(xì)指定地址范圍，直接選擇“any NAT>> 研發(fā)部門的管理員為虛擬系統(tǒng)VSYSA配置IP A管理員賬號(hào)“admin@vsysa”登錄設(shè)備Web界面 A管理員賬號(hào)“admin@vsysa”登錄設(shè)備Web界面 域按鈕，按如下參數(shù)IP地址和安 參考上述步驟將Virtualif1接口加入U(xiǎn)ntrust區(qū)域 >>用是將VSYSA內(nèi)員工訪問Internet的流量引入根在本例中，對(duì)網(wǎng)絡(luò)拓?fù)浜吐酚膳渲眠M(jìn)行了簡(jiǎn)化。VSYSA只有私網(wǎng)Internet的通信需求，所以在路由配置中將“目的地址/掩碼”配置為了/，即缺省所有報(bào)文都送往根系統(tǒng)。實(shí)際配置時(shí)，為了保證路由信息的準(zhǔn)確，應(yīng)該將“目的地址/掩碼”配置為特定的允許訪Internet地址范圍。錯(cuò)誤配置路由可能導(dǎo)致VSYSA所連接的多個(gè)私網(wǎng)無法正常通信統(tǒng)與Virtualif的對(duì)應(yīng)關(guān)系可以在本系統(tǒng)的“接口列表”中看到。 單擊“新建”，按如下參數(shù)配置靜態(tài)路由。這條靜態(tài)路由是VSYSA內(nèi)員工訪Internet 單擊“新建”，按如下參數(shù)配置靜態(tài)路由。這條靜態(tài)路由是VSYSA內(nèi)員工訪Internet流量的回程 >> >>的作用是允許特定網(wǎng)段的員工訪問Internet 的策略。這條策略的優(yōu)先級(jí)將比前一條低，所以不需要詳細(xì)指定地址范圍，直接選擇“any”即 財(cái)經(jīng)部門和行政部門的管理員分別使用管理員賬號(hào)“admin@vsysb”和“admin@vsysc界面，為虛擬系統(tǒng)VSYSB、VSYSC配置IP地址、安全區(qū) 財(cái)經(jīng)部門和行政部門的管理員分別使用管理員賬號(hào)“admin@vsysb”和“admin@vsysc界面，為虛擬系統(tǒng)VSYSB、VSYSC配置IP地址、安全區(qū)域及策略具體配置過程與研發(fā)部門類似，主要有以下幾點(diǎn)區(qū)別。內(nèi)網(wǎng)接口的IP地址不同。財(cái)經(jīng)部門無需創(chuàng)建地址范圍，直接配置一條禁止所有地址范圍 的安全策略即可行政部門無需創(chuàng)建地址范圍，直接配置一條允許所有地址范圍 的安全策略即可從行政部門的內(nèi)網(wǎng)主動(dòng)訪問Internet，如果能夠訪問成功，說明IP地址、VSYSC的安全策略NAT策略配從財(cái)經(jīng)部門的內(nèi)網(wǎng)主動(dòng)訪問Internet，如果訪問失敗，說明IP地址和VSYSB的安全策略配從研發(fā)部門的內(nèi)網(wǎng)選擇一臺(tái)允許訪問Internet的主機(jī)，和一臺(tái)不允許訪問Internet的主機(jī)符合預(yù)期，說明IP地址和VSYSA的安全策略的配根系統(tǒng)的配置腳#sysname#vsys#resource-classr0resource-classresource-item-limitsessionvsys#resource-classr0resource-classresource-item-limitsessionreserved-number10000maximumpolicyreserved-numberuserreserved-numberuser-groupreserved-numbervsysnamevsysabandwidth-reserved-numbermaximumassignresource-classassigninterface#vsysnamevsysbassignresource-classassigninterface#vsysnamevsyscassignresource-classassigninterface#interfaceipaddress#firewallzonetrustsetpriority85addinterface#firewallzoneuntrustsetpriority5addinterface#iproute-staticiproute-staticvpn-instanceiproute-staticvpn-instance#security-rulenameto_internetsource-zonetrust虛擬系統(tǒng)的配虛擬系統(tǒng)的配#interfaceipaddressservice-managepingpermit#firewallzonetrustsetpriority85addinterface#firewallzoneuntrustsetpriority5addinterface#manager-userpasswordcipher%@%@@~QEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]X%@%@service-typewebtelnetsshlevelsshauthentication-typepasswordsshservice-typestelnetauthentication-schemeadmin_localbindmanager-useradmin@vsysarolesystem-#ipaddress-setipaddress1typeobjectaddress0range0#iproute-staticaction#nat-rulenamenat1egress-interfaceGigabitEthernet1/0/1source-addressaddress-set16actionnateasy-ip#虛擬系統(tǒng)的配虛擬系統(tǒng)的配#interfaceipaddressservice-managepingpermit#firewallzonetrustsetpriority85addinterface#firewallzoneuntrustsetpriority5addinterface#manager-userpasswordcipher%@%@zG{;O|!gEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]service-typewebtelnetsshlevelsshauthentication-typepasswordsshservice-typestelnetauthentication-schemeadmin_localbindmanager-useradmin@vsysarolesystem-#iproute-static#security-rulenameto_internetsource-zonetrustdestination-zoneuntrustsource-addressaddress-setipaddress1actionpermitrulenameto_internet2source-zonetrustdestination-zoneuntrustactiondeny#虛擬系統(tǒng)的配虛擬系統(tǒng)的配#interfaceipaddressservice-managepingpermit#firewallzonetrustsetpriority85addinterface#firewallzoneuntrustsetpriority5addinterface#manager-userpasswordcipher%@%@zG{;x|!gEN5"Db/6dvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]service-typewebtelnetsshlevelsshauthentication-typepasswordsshservice-ty