虚拟系统(Virtual System),简称为VSYS,能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可以拥有独立的系统资源,且能够实现防火墙的大部分功能。每个虚拟防火墙系统之间相互独立,不允许直接相互通信。
VSYS具有以下特征:
不同型号的安全网关支持的最大VSYS个数不同,如果想增加支持的VSYS个数,请向代理商购买相应的许可证。
本节主要介绍VSYS的对象,包括根VSYS和非根VSYS、管理员以及VRouter、VSwitch、安全域和接口。
根VSYS和非根VSYS
系统默认有一个根VSYS(Root VSYS),根VSYS不能被删除。安装VSYS许可证并重启设备后,用户可以创建或者删除非根VSYS(Non-root VSYS)。创建或者删除VSYS时,需要遵循以下原则:
管理员
每个VSYS都拥有自己独立的管理员。根VSYS中的管理员称为根系统管理员,非根VSYS中的管理员称为非根系统管理员。管理员的权限分为RX(读-执行)和RXW(读-执行-写)两种。关于如何配置管理员及管理员权限,请参阅配置系统管理员一节。
创建VSYS管理员并进行相关配置时,需要遵循以下原则:
下表为VSYS管理员的详细权限列表:
| 功能 | 权限 | |||
|---|---|---|---|---|
| 根系统RXW管理员 | 根系统RX管理员 | 非根系统RXW管理员 | 非根系统RX管理员 | |
| 配置(包括保存配置) | √ | χ | √ | χ |
| 恢复出场配置 | √ | χ | χ | χ |
| 删除配置文件 | √ | χ | √ | χ |
| 回退起始配置信息 | √ | χ | √ | χ |
| 重启设备 | √ | χ | χ | χ |
| 查看配置信息 | √ | √ | 只能查看自己当前配置信息 | 只能查看自己当前VSYS配置信息 |
| 修改当前管理员密码 | √ | √ | √ | √ |
| 导入配置 | √ | χ | √ | χ |
| 导出配置 | √ | √ | √ | √ |
| 清除配置 | √ | √ | √ | √ |
| ping/traceroute | √ | √ | √ | √ |
VRouter、VSwitch、安全域和接口
VSYS中的VRouter、VSwitch、安全域和接口对象具有专有和共享属性。具有专有属性的对象称为专有对象;将具有共享属性的对象经过相关配置后即成为共享对象。专有对象和共享对象有如下特征:
VSYS中专有及共享的VRouter、VSwitch、安全域和接口对象之间的引用关系如下图所示:
如上图所示,系统中包含三个VSYS:根VSYS(Root VSYS)、VSYS-A和VSYS-B。根VSYS中包含共享对象和专有对象,共享对象包括共享VRouter(Shared VRouter)、共享VSwitch(Shared VSwitch)、共享三层安全域(Shared L3-zone)、共享二层安全域(Shared L2-zone)和共享接口(Shared IF1和Shared IF2)。
VSYS-A和VSYS-B中只包含专有对象,但其专有对象可以引用根VSYS中的共享对象。比如,VSYS-A中的安全域A-zone2引用根VSYS中的Shared Vrouter;VSYS-B中的接口B-IF3引用根VSYS中的Shared L2-zone。
共享VRouter
共享VRouter中可以包含根VSYS中共享以及专有的三层域。将具有共享属性的三层域绑定到共享VRouter中,该域即成为共享域。
共享VSwitch
共享VSwitch中可以包含根VSYS中共享以及专有的二层域。将具有共享属性的二层域绑定到共享VSwitch中,该域即成为共享域。
共享域
共享域分为二层共享域和三层共享域,二层共享域需要将具有共享属性的域绑定到共享VSwitch,三层共享域需要将具有共享属性的域绑定到共享VRouter。共享域可以包含根VSYS和非根VSYS中的接口。所有功能域(如HA功能域)不可共享。
共享接口
将根VSYS中的接口绑定到共享域以后,该接口自动变为共享接口。
创建接口
只有根系统RXW管理员才能创建或者删除接口。接口及其子接口的创建和删除必须在同一个VSYS下进行。
