虚拟化防火墙安装使用指南天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085：+86传真：+87服务热线：+8119版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印©2013天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC®天融信公司信息反馈目录1前言 (1)1.1文档目的 (1)1.2读者对象 (1)1.3约定 (1)1.4技术服务体系 (2)2虚拟化防火墙简介 (3)3安装 (4)3.1OVF模板部署方式 (4)3.2ISO镜像安装方式 (11)3.2.1上传vFW ISO文件 (11)3.2.2创建vFW虚拟机 (13)3.2.3安装vTOS操作系统 (22)4TOPPOLICY管理虚拟化防火墙 (28)4.1安装T OP P OLICY (28)4.2管理虚拟化防火墙 (29)5配置案例 (33)5.1虚拟机与外网通信的防护 (33)5.1.1基本需求 (33)5.1.2配置要点 (33)5.1.3配置步骤 (34)5.1.4注意事项 (46)5.2虚拟机之间通信的防护 (47)5.2.1基本需求 (47)5.2.2配置要点 (47)5.2.3配置步骤 (48)5.2.4注意事项 (57)附录A重新安装虚拟化防火墙 (58)1前言本文档主要介绍虚拟化防火墙的安装、配置、使用和管理。

通过阅读本文档，用户可以了解虚拟化防火墙的基本设计思想，并根据实际应用环境安装和配置防火墙。

本章内容主要包括：●文档目的●读者对象●约定●技术服务体系1.1文档目的本文档主要介绍虚拟化防火墙的安装、配置和使用。

通过阅读本文档，用户能够正确地安装和配置虚拟化防火墙，并综合运用安全设备提供的多种安全技术有效地保护用户虚拟化设备，实现高效可靠的安全通信。

1.2读者对象本用户手册适用于具有基本网络和虚拟化平台知识的系统管理员或网络管理员阅读。

1.3约定本文档遵循以下约定。

➢“”表示页面内容引用。

➢点击（选择）一个菜单项时，采用如下约定：点击（选择）高级管理> 特殊对象> 用户。

➢文档中出现的提示和说明是关于用户在安装和配置虚拟化防火墙过程中需要特别注意的部分，请用户在明确可能的操作结果后，再进行相关配置。

➢文档中出现的接口标识是为了表示方便，不一定与设备接口名称相对应。

1.4技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

公司主页/在线技术资料/support/down.asp安全解决方案/solutions/qw.asp技术支持中心/support/support.asp天融信全国安全服务热线800-810-51192虚拟化防火墙简介云计算是一种新兴的共享基础架构的方法，可以将巨大的系统池连接在一起以提供各种IT服务。

虚拟化是云计算的重要基础设施。

虚拟化的目的是虚拟化出一个或多个相互隔离的执行环境，用于运行操作系统及应用，并且确保在虚拟出的环境中操作系统与应用的运行情况与在真实的物理设备上运行的情况基本相同。

虚拟化技术使得系统中的物理设施资源利用率得到明显提高，还使得系统动态部署变得更加灵活、便捷。

虚拟化是未来网络的重要支撑技术，虚拟化的安全也要得到全面防护。

虽然虚拟化IT 基础设施将与物理服务器环境共同面对相同的安全挑战，但用户可以充分利用多处理器、多核体系架构和虚拟化软件提供安全机制对其进行防护。

通过采用天融信提供的虚拟化防火墙，能够对虚拟化系统提供全面的安全解决方案，使用户可以在安全的环境下，充分的发挥虚拟化所带来的优势，帮助用户扩展虚拟化部署以保护全部关键任务系统。

虚拟化防火墙，是以天融信公司具有自主知识产权的vTOS操作系统（virtual Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计，融合了防火墙、IPSEC/SSLVPN、抗DOS攻击、IDS/IPS、WEB防护等多种引擎，构建而成的一个安全、高效、易于管理和扩展的防火墙。

vTOS操作系统是天融信自主研发的新一代系统平台，采用全模块化设计、中间层理念，具有高效性、高安全性、高健壮性、扩展性、可移植性、模块化等特征。

vTOS操作系统能够作为主流的完全虚拟化或半虚拟化的虚拟机管理器的Guest OS，为虚拟化环境提供灵活、高效、全面的解决方案。

虚拟化防火墙是一个具有高度综合性和集成性的高层网络安全应用系统，它利用虚拟机管理器实现了硬件的扩展性，利用虚拟机机制实现了防火墙的高扩展性和高可用性。

企业在部署虚拟化防火墙后，能够使自己的虚拟网络和物理网络具有相同的安全性。

虚拟化防火墙由集中管理平台（TP）和虚拟化安全网关（vFW）构成。

集中管理平台（TP）负责安全策略的集中管理，支持安全策略的迁移功能。

虚拟化安全网关（vFW）以虚拟机的形式部署在虚拟化平台上，并通过虚拟化平台接入引擎获得虚拟化平台的网络通信数据，从而对所有虚拟机之间以及虚拟化平台本身的网络通信进行防护。

3安装虚拟化防火墙支持VMware vSphereESXi，KVM，XEN及Hyper-V虚拟化平台。

通过在相应虚拟化平台上部署虚拟化防火墙，可以实时防护虚拟化环境中各虚拟机间的通信以及各虚拟机与外网通信。

本章主要介绍如何安装虚拟化防火墙，包括OVF模板方式和vFW ISO文件方式。

以OVF模板方式部署虚拟化防火墙可以直接将预先配置的虚拟化防火墙（包括vTOS操作系统及相关配置）添加到虚拟化环境中。

而以vFW ISO方式安装虚拟化防火墙需要先创建虚拟机再通过cdrom方式安装vFW，但可以适应更多的虚拟化平台。

下面以VMwarevSphereESXi5.0平台为例，介绍如何通过VMware vSphere Client安装虚拟化防火墙。

3.1OVF模板部署方式通过VMware vSphere Client，可以在VMware vCenter Server或ESXi主机中部署以开放式虚拟机格式（OVF）存储的虚拟化防火墙。

天融信公司提供的虚拟化防火墙的OVF模板为*.ova格式。

VMware vSphere Client在导入OVF模板之前会进行验证，可确保OVA文件与其相关联的VMware vCenter Server或ESXi兼容。

采用OVF模板方式在VMware vCenter Server中安装虚拟化防火墙的具体操作步骤如下：1）在VMware vCenter Server菜单栏中，选择文件> 部署OVF模板，如下图所示。

2）点击“浏览”导入本地存储的OVF模板，如下图所示。

在计算机本地选择虚拟化防火墙的OVF模板，点击“打开”，如下图所示。

3）点击“下一步”查看OVF模板的详细信息，如下图所示。

4）点击“下一步”，设置部署的虚拟化防火墙名称以及虚拟化防火墙在VMware vCenter Server中清单的位置，如下图所示。

5）点击“下一步”，选择运行此虚拟化防火墙模板的主机或集群，如下图所示。

6）点击“下一步”，如下图所示。

仅当此虚拟化防火墙所在的ESXi主机部署了资源池，该页面才显示。

选择相应的虚拟池，点击“下一步”，如下图所示。

在设置虚拟机磁盘格式时，各项参数的具体说明如下表所示。

选项说明厚置备延迟置零以默认的厚格式创建虚拟磁盘。

创建vFW过程中为vFW磁盘分配所需空间。

创建vFW时不会擦除物理设备上保留的任何数据，但从vFW首次执行写操作时会按需将其置零。

厚置备置零创建支持群集功能的厚磁盘。

创建vFW时为vFW磁盘分配所需空间。

创建vFW过程中会将物理设备上保留的数据置零。

精简置备精简置备的磁盘只使用该磁盘最初所需要的数据存储空间。

若虚拟机使用过程中需要更多空间，它可以增长到为其分配的最大容量。

7）设置虚拟磁盘格式，点击“下一步”，如下图所示。

8）选择目标网络，点击“下一步”，如下图所示。

9）点击“完成”，系统将自动部署虚拟化防火墙，如下图所示。

部署vFW成功后，如下图所示。

点击“关闭”，即完成了虚拟化防火墙的安装。

若在“部署OVF模板”的“即将完成”页面中勾选了“部署后打开电源（P）”，系统将自动打开部署的虚拟化防火墙电源。

3.2ISO镜像安装方式用户可以通过天融信公司提供的vFW ISO文件安装虚拟化防火墙。

在WMwarevSphere Client中采用vFW ISO文件安装虚拟化防火墙的具体操作步骤包括：上传vFW ISO文件至VMware vCenter Server存储器，创建操作系统为Linux 且版本号为2.6.x Linux（32位）的虚拟机，引用vFW ISO文件以及启动vTOS操作系统的安装进程。

3.2.1上传vFW ISO文件通过VMware vSphere Client安装虚拟化防火墙时，需从数据储存器中引用vFW ISO文件。

因此在安装虚拟化防火墙前，需将天融信公司的vFW ISO文件通过VMware vSphere Client上传至VMware vCenter Server中，上传vFW ISO文件的具体操作步骤如下所示：1）在清单列表中选择一个ESXi主机，激活“配置”页签，如下图所示。

2）在“硬件”选项卡中选中“存储器”，在“数据存储”菜单栏中右键选择待上传vFW ISO文件的存储器，如下图所示。

3）在存储器右键菜单栏中选择“浏览数据存储”，如下图所示。

4）点击“”，创建文件夹用于存放vFW ISO映像文件。

选中新建的文件夹，点击图标“”，选择“上载文件”，然后在计算机本地选择存放的vFW ISO文件，点击“打开”，如下图所示。

5）点击“是”，界面将显示上传vFW ISO文件的进度，如下图所示。

上传完成后，vFW ISO文件将存储至所选择的数据存储器相应的文件夹下。

3.2.2创建vFW虚拟机vFW虚拟机需要配置预留最小1G内存，1G虚拟硬盘，2个虚拟网卡，关于配置虚拟防火墙的内存见步骤8和15。

创建vFW虚拟机的具体操作步骤如下所示：1）在VMware vSphere Client清单中选择特定数据中心、ESXi主机、集群或资源池，选择右键菜单新建虚拟机，如下图所示。

如果选择“典型”选项，则虚拟机的硬件版本默认为运行此虚拟机的ESXi主机的硬件版本；如果选择“自定义”选项，用户可以自定义虚拟机的硬件版本。

2）选择“自定义”选项，点击“下一步”，如下图所示。

3）在“名称”文本框中输入不多于80个字符的名称（不区分大小写），然后在“清单位置”中选择数据中心的根目录，点击“下一步”。