《新一代防火墻技術(shù)及應(yīng)用》課件第12章 虛擬防火墻

12.1虛擬防火墻概述12.2深信服vNGAF簡介

12.3深信服vNGAF部署與管理

12.4本章小結(jié)新一代防火墻技術(shù)及應(yīng)用12學(xué)習(xí)目標(biāo)了解虛擬防火墻的產(chǎn)生了解虛擬防火墻定義及優(yōu)勢掌握虛擬防火墻技術(shù)原理掌握深信服虛擬防火墻的部署和配置本章重點(diǎn)防火墻定義及優(yōu)勢虛擬防火墻技術(shù)深信服虛擬防火墻的部署和配置本章難點(diǎn)虛擬防火墻技術(shù)深信服虛擬防火墻的部署和配置新一代防火墻技術(shù)及應(yīng)用

12.1虛擬防火墻概述新一代防火墻技術(shù)及應(yīng)用312.1虛擬防火墻概述隨著互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)和機(jī)構(gòu)的業(yè)務(wù)規(guī)模和管理復(fù)雜度都在急劇的增加，安全問題也日益凸顯，尤其是來自web應(yīng)用的攻擊，傳統(tǒng)防火墻在部署、防護(hù)、投資、運(yùn)維等各個方面捉襟見肘，各個信息安全廠商開始研發(fā)虛擬防火墻產(chǎn)品。如深信服下一代虛擬防火墻vNGAF產(chǎn)品是專為虛擬化云計(jì)算網(wǎng)絡(luò)安全而設(shè)計(jì)，可以無縫集成到虛擬化或云計(jì)算平臺上，滿足用戶隨需選配和靈活擴(kuò)展的安全需求，實(shí)現(xiàn)對hypervisor上二層到七層流量深度檢測和清洗，有效解決虛擬網(wǎng)絡(luò)中的區(qū)域隔離、訪問控制、風(fēng)險識別、威脅防護(hù)、漏洞檢測、應(yīng)用控制等安全需求。新一代防火墻技術(shù)及應(yīng)用412.1.1虛擬防火墻的產(chǎn)生和定義我們以MPLSVPN(多協(xié)議標(biāo)簽交換虛擬專網(wǎng)技術(shù))組網(wǎng)為例，介紹在新的業(yè)務(wù)模型下傳統(tǒng)防火墻是如何實(shí)現(xiàn)對各相互獨(dú)立的業(yè)務(wù)部門進(jìn)行各自獨(dú)立的安全策略部署的。業(yè)界通行的做法是在園區(qū)各業(yè)務(wù)VPN前部署防火墻來完成對各部門的安全策略部署，實(shí)現(xiàn)對部門網(wǎng)絡(luò)的訪問控制。傳統(tǒng)的防火墻的一般部署模式如圖所示。新一代防火墻技術(shù)及應(yīng)用512.1.1虛擬防火墻的產(chǎn)生和定義然而，由于企業(yè)VPN數(shù)量眾多，而且企業(yè)業(yè)務(wù)發(fā)展迅速，顯而易見，這種傳統(tǒng)的防火墻部署模式會導(dǎo)致防火墻數(shù)量增多，管理不方便，已經(jīng)不太適應(yīng)現(xiàn)有的應(yīng)用環(huán)境，存在著如下的不足：·為數(shù)較多的部門劃分，導(dǎo)致企業(yè)要部署管理多臺獨(dú)立防火墻，從而致使擁有和維護(hù)成本較高；·集中放置的多個獨(dú)立防火墻將占用較多的機(jī)架空間，并且給綜合布線帶來額外的復(fù)雜度；·物理防火墻的增加意味著網(wǎng)絡(luò)中需要管理的網(wǎng)元設(shè)備的增多，勢必增加網(wǎng)絡(luò)管理的復(fù)雜度。新一代防火墻技術(shù)及應(yīng)用612.1.1虛擬防火墻的產(chǎn)生和定義由于傳統(tǒng)防火墻部署缺陷和應(yīng)用的不足，以及虛擬化技術(shù)的普遍性發(fā)展，為了更加適應(yīng)新業(yè)務(wù)模式的需要，虛擬防火墻技術(shù)應(yīng)運(yùn)而生。虛擬防火墻就是可以將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統(tǒng)都可以被看成是一臺完全獨(dú)立的防火墻設(shè)備，可擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等。虛擬防火墻可以分為軟件虛擬防火墻和硬件虛擬防火墻。新一代防火墻技術(shù)及應(yīng)用712.1.1虛擬防火墻的產(chǎn)生和定義虛擬防火墻誕生以后，對用戶來說其部署模式變?yōu)槿鐖D所示形式。在MPLS網(wǎng)絡(luò)環(huán)境中，在PE與CE之間部署一臺物理防火墻。利用邏輯劃分的多個防火墻實(shí)例來部署多個業(yè)務(wù)VPN的不同安全策略。這樣的組網(wǎng)模式極大地減少了用戶擁有成本。隨著業(yè)務(wù)的發(fā)展，當(dāng)用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門時，可以通過添加或者減少防火墻實(shí)例的方式十分靈活地解決后續(xù)網(wǎng)絡(luò)擴(kuò)展問題，在一定程度上極大地降低了網(wǎng)絡(luò)安全部署的復(fù)雜度。另一方面，由于以邏輯的形式取代了網(wǎng)絡(luò)中的多個物理防火墻，極大地減少了企業(yè)運(yùn)維中需要管理維護(hù)的網(wǎng)絡(luò)設(shè)備，簡化了網(wǎng)絡(luò)管理的復(fù)雜度，減少了誤操作的可能性。新一代防火墻技術(shù)及應(yīng)用812.1.2虛擬防火墻的優(yōu)勢和安全隱患通過上述對虛擬防火墻的介紹，可以看出虛擬防火墻與傳統(tǒng)的防火墻相比，存在著如下優(yōu)勢：(1)通過一臺防火墻虛擬多個邏輯防火墻，降低了投資成本；(2)通過邏輯管理虛擬防火墻設(shè)備，體現(xiàn)了靈活性和擴(kuò)展性；(3)通過虛擬化統(tǒng)一管理平臺，管理員只需對一臺防火墻進(jìn)行管理，大大減輕了工作量，減少了故障點(diǎn)；(4)虛擬防火墻作為產(chǎn)品和服務(wù)供應(yīng)是MSSP(管理安全服務(wù)供應(yīng)商)服務(wù)模式的體現(xiàn)。新一代防火墻技術(shù)及應(yīng)用912.1.2虛擬防火墻的優(yōu)勢和安全隱患虛擬防火墻雖然有很多優(yōu)勢，但同時也存在著一些安全隱患：(1)虛擬化產(chǎn)品本身的安全性不足則會帶來黑客使用隱患；(2)虛擬化安全產(chǎn)品的可控性是產(chǎn)品使用的關(guān)鍵點(diǎn)，尤其是關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)中的應(yīng)用；(3)虛擬化產(chǎn)品的管理需要較為嚴(yán)格的應(yīng)用管理規(guī)范，從而為虛擬化產(chǎn)品的使用提供管理保障。新一代防火墻技術(shù)及應(yīng)用1012.1.3虛擬防火墻技術(shù)原理虛擬化技術(shù)的實(shí)現(xiàn)形式是在系統(tǒng)中加入一個虛擬化層，將下層的資源抽象成另一形式的資源，提供給上層使用。防火墻虛擬化就是使軟件和硬件相互分離，把軟件從主要安裝硬件中分離出來，使得上層虛擬應(yīng)用防火墻系統(tǒng)可以直接運(yùn)行在虛擬環(huán)境上，可允許多個應(yīng)用防火墻系統(tǒng)同時運(yùn)行在一個物理防火墻主機(jī)上。虛擬防火墻技術(shù)原理如圖所示。新一代防火墻技術(shù)及應(yīng)用11虛擬化平臺上物理CPU可以虛擬出多個邏輯CPU，虛擬防火墻和虛擬CPU的協(xié)同需求一般基于虛擬防火墻系統(tǒng)處理的業(yè)務(wù)和性能需求進(jìn)行按需分配，以實(shí)現(xiàn)多個虛擬防火墻同時運(yùn)行在一個硬件平臺上。

12.2深信服vNGAF簡介新一代防火墻技術(shù)及應(yīng)用1212.2深信服vNGAF簡介深信服新一代防火墻虛擬化產(chǎn)品，以下簡稱vNGAF(亦可稱為vAF)，是為了滿足當(dāng)前日益增長的數(shù)據(jù)中心和服務(wù)器虛擬化而推出的一款更易于在虛擬化環(huán)境部署、更好地針對虛擬化網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)系統(tǒng)進(jìn)行安全防護(hù)的防火墻產(chǎn)品。深信服vNGAF是面向應(yīng)用層設(shè)計(jì)的虛擬化新一代防火墻，可以對hypervisor平臺上虛擬機(jī)間的流量進(jìn)行雙向檢測，并深入到數(shù)據(jù)內(nèi)容層面的全面風(fēng)險核查，能夠精確識別用戶、應(yīng)用和內(nèi)容，具備L2到L7完整安全防護(hù)能力，不僅能夠全面替代傳統(tǒng)防火墻，同時智能融合了IPS、WAF、防病毒、漏洞檢測、僵尸網(wǎng)絡(luò)檢測、數(shù)據(jù)防泄密、應(yīng)用控制、URL過濾、服務(wù)器風(fēng)險識別等功能，同時創(chuàng)新的單次解析架構(gòu)保障了強(qiáng)勁的應(yīng)用層安全處理能力，實(shí)現(xiàn)了在數(shù)據(jù)中心云平臺等大流量場景下的一體化安全防護(hù)。新一代防火墻技術(shù)及應(yīng)用1312.2.1vNGAF產(chǎn)品說明目前，深信服vNGAF產(chǎn)品有AF5.8R2和AF6.1R1兩個版本，AF5.8R2是通用版，AF6.1R1是升級版，兩者的部署和配置基本相同。vNGAF是基于VmwareESXi5.5進(jìn)行開發(fā)和測試的，支持部署在VMwareESXi5.1～5.5的虛擬環(huán)境中，部署vNGAF的VMware主機(jī)至少需要有40GB的硬盤空間剩余。vNGAF提供一個用于在VMware部署的OVA模板，可以通過VMware管理平臺“部署OVF模板”部署到VMware虛擬環(huán)境中。部署vNGAF需要配合部署一個授權(quán)服務(wù)器的虛擬主機(jī)，授權(quán)服務(wù)器使用USBKEY給vNGAF進(jìn)行安全防護(hù)功能的授權(quán)。vNGAF不對VMware的虛擬機(jī)配置和操作(如克隆、快照、遷移等)進(jìn)行限制，管理員可以通過VMware的這些常用操作對vNGAF的部署和配置進(jìn)行簡易靈活的修改。新一代防火墻技術(shù)及應(yīng)用1412.2.1vNGAF產(chǎn)品說明1.vNGAF配置管理(1)管理員可以通過VMware管理界面的控制臺進(jìn)行管理IP/網(wǎng)關(guān)的配置，也可以查看vNGAF基本的網(wǎng)絡(luò)配置(如路由、ARP、IP等)和進(jìn)行網(wǎng)絡(luò)互通的測試(如ping、traceroute)。(2)管理員通過VMware給vNGAF設(shè)置的管理IP，使用瀏覽器訪問vNGAF的管理控制臺，可以對vNGAF的網(wǎng)絡(luò)、部署方式、安全防護(hù)策略等進(jìn)行專業(yè)化的配置。(3)在vNGAF管理控制臺上管理員根據(jù)需要可以為vNGAF配置更多的管理方式，如SSH、SNMP等。新一代防火墻技術(shù)及應(yīng)用1512.2.1vNGAF產(chǎn)品說明2.產(chǎn)品設(shè)計(jì)理念(1)更精細(xì)的應(yīng)用層安全控制：·貼近國內(nèi)應(yīng)用、持續(xù)更新的應(yīng)用識別規(guī)則庫；·識別內(nèi)外網(wǎng)超過1500多種應(yīng)用、3000多種動作；·支持包括AD域、Radius等8種用戶身份識別方式；·面向用戶與應(yīng)用策略配置，減少錯誤配置的風(fēng)險。(2)更全面的內(nèi)容級安全防護(hù)：·基于攻擊過程的服務(wù)器保護(hù)，防御黑客掃描、入侵、破壞三部曲；·強(qiáng)化的Web應(yīng)用安全，支持多種SQL注入防范、XSS攻擊、CSRF漏洞、權(quán)限控制等；·完整的終端安全保護(hù)，支持漏洞、病毒防護(hù)等；·雙向內(nèi)容檢測，功能防御策略智能聯(lián)動。(3)更高性能的應(yīng)用層處理能力：·單次解析架構(gòu)實(shí)現(xiàn)報(bào)文一次拆解和匹配；·多核并行處理技術(shù)提升應(yīng)用層分析速度；·Regex正則表達(dá)引擎提升規(guī)則解析效率；·全新技術(shù)架構(gòu)實(shí)現(xiàn)應(yīng)用層萬兆處理能力。新一代防火墻技術(shù)及應(yīng)用1612.2.2vNGAF產(chǎn)品功能特色1.可視的網(wǎng)絡(luò)安全情況：vNGAF獨(dú)創(chuàng)的應(yīng)用可視化技術(shù)，可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。1)可視化的網(wǎng)絡(luò)應(yīng)用；2)可視化的業(yè)務(wù)和終端安全；3)智能用戶身份識別；4)面向用戶與應(yīng)用的訪問控制策略；5)基于應(yīng)用的流量管理。新一代防火墻技術(shù)及應(yīng)用1712.2.2vNGAF產(chǎn)品功能特色2.強(qiáng)化的應(yīng)用層攻擊防護(hù)：1)基于應(yīng)用的深度入侵防御；2)強(qiáng)化的Web攻擊防護(hù)；3)全面的終端安全保護(hù)；4)獨(dú)特的雙向內(nèi)容檢測技術(shù)；5)智能的網(wǎng)絡(luò)安全防御體系；6)更高效的應(yīng)用層處理能力；7)涵蓋傳統(tǒng)安全功能。新一代防火墻技術(shù)及應(yīng)用1812.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢1.深度內(nèi)容解析vNGAF的灰度威脅識別技術(shù)不但可以將數(shù)據(jù)包還原的內(nèi)容級別進(jìn)行全面的威脅檢測，而且還可以針對黑客入侵過程中使用的不同攻擊方法進(jìn)行關(guān)聯(lián)分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風(fēng)險的發(fā)生?；叶韧{識別技術(shù)改變了傳統(tǒng)IPS等設(shè)備防御威脅種類單一，威脅檢測經(jīng)常出現(xiàn)漏報(bào)、誤報(bào)的問題，可以幫助用戶最大程度地減少風(fēng)險短板的出現(xiàn)，保證業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。新一代防火墻技術(shù)及應(yīng)用1912.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢2.雙向內(nèi)容檢測深信服的雙向內(nèi)容檢測技術(shù)，主要是針對攻擊事件發(fā)生前的預(yù)防以及攻擊事件發(fā)生后的檢測補(bǔ)救措施，通過對服務(wù)器發(fā)起的請求以及服務(wù)器的回復(fù)包進(jìn)行雙向內(nèi)容檢測，使得敏感數(shù)據(jù)信息不被外發(fā)，黑客達(dá)不到攻擊的最終目的。新一代防火墻技術(shù)及應(yīng)用2012.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢3.分離平面設(shè)計(jì)分離平面設(shè)計(jì)和內(nèi)容檢測平面如圖所示。新一代防火墻技術(shù)及應(yīng)用2112.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢3.分離平面設(shè)計(jì)vNGAF通過軟件設(shè)計(jì)將網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)處理相分離，在底層通過以應(yīng)用識別模塊為基礎(chǔ)，對所有網(wǎng)卡接收到的數(shù)據(jù)進(jìn)行識別，再通過抓包驅(qū)動把需要處理的應(yīng)用數(shù)據(jù)報(bào)文抓取到應(yīng)用層，如果應(yīng)用層發(fā)生數(shù)據(jù)處理失敗的情況，也不會影響到網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)數(shù)據(jù)報(bào)文的高效、可靠處理。新一代防火墻技術(shù)及應(yīng)用2212.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢4.單次解析架構(gòu)單次解析架構(gòu)如圖所示。新一代防火墻技術(shù)及應(yīng)用2312.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢要進(jìn)行應(yīng)用層威脅過濾，就必須將數(shù)據(jù)報(bào)文重組才能檢測，而報(bào)文重組、特征檢測都會極大地消耗內(nèi)存和CPU，因而UTM的多引擎、多次解析架構(gòu)工作效率低下。于是，vNGAF所采用的單次解析引擎通過統(tǒng)一威脅特征、統(tǒng)一匹配引擎，針對每個數(shù)據(jù)包做到了只有一次報(bào)文重組和特征匹配，消除了重復(fù)性工作對內(nèi)存和資源的占用，從而系統(tǒng)的工作效率提高了70%～80%。新一代防火墻技術(shù)及應(yīng)用2412.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢5.多核并行處理現(xiàn)在CPU核越來越多，從雙核到4核，再從4核到8核、16核，現(xiàn)在已有128核的CPU了。這樣來看，如果1個核能夠做到1個GB，那么16個核不就能夠超過10個GB了嗎?但是通常設(shè)備性能并不能夠根據(jù)核的增加而迅速增加。因?yàn)殡m然各個核物理上是獨(dú)立的，但是有很多資源是共享的，包括CPU的Cache、內(nèi)存，這些核在訪問共享資源的時候是要等其他核釋放資源的，因此很多工作只能串行完成。多核并行處理如圖所示。新一代防火墻技術(shù)及應(yīng)用2512.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢同時vNGAF的多核并行處理技術(shù)進(jìn)行了大量的優(yōu)化工作——減少臨界資源的訪問，除了在軟件處理流程的設(shè)計(jì)上盡量減少臨界資源以及臨界資源的訪問周期，還需要充分利用讀寫鎖、原子操作、內(nèi)存鏡像等機(jī)制來提高臨界資源的訪問效率。新一代防火墻技術(shù)及應(yīng)用2612.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢6.智能聯(lián)動技術(shù)智能聯(lián)動的本義是指通過各個系統(tǒng)協(xié)調(diào)運(yùn)作使系統(tǒng)集成實(shí)現(xiàn)數(shù)據(jù)上的共享，便于統(tǒng)一分析處理，成功實(shí)現(xiàn)多個系統(tǒng)之間的協(xié)同工作，使得各個子系統(tǒng)之間進(jìn)行智能聯(lián)動成為可能，更大地發(fā)揮了單個子系統(tǒng)的作用，真正使多個子系統(tǒng)結(jié)合成一個有機(jī)整體。深信服的智能聯(lián)動技術(shù)正是基于此原理，將防火墻技術(shù)、入侵檢測(IPS)、Web應(yīng)用防護(hù)系統(tǒng)(WAF)功能進(jìn)行組合，動態(tài)生成防火墻規(guī)則，發(fā)揮更大的防護(hù)作用。其智能聯(lián)動技術(shù)原理如圖所示。新一代防火墻技術(shù)及應(yīng)用2712.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢7.Regex正則引擎vNGAF使用正則表達(dá)式對流量的內(nèi)容進(jìn)行匹配，正則表達(dá)式是一種識別特定模式數(shù)據(jù)的方法，可以精確識別網(wǎng)絡(luò)中的攻擊。但經(jīng)我們研究分析，業(yè)界已有的正則表達(dá)式匹配方法，其速度一般比較慢，制約了AF設(shè)備整機(jī)速度的提高。為此，深信服設(shè)計(jì)并實(shí)現(xiàn)了全新的SangforRegex正則引擎，把正則表達(dá)式的匹配速度提高到數(shù)十Gb/s，比PCRE和Google的RE2等知名引擎快數(shù)十倍，達(dá)到業(yè)界領(lǐng)先水平。整體而言，SangforRegex大幅降低了CPU占用率，提高AF的整機(jī)吞吐，從而更高速地處理客戶業(yè)務(wù)數(shù)據(jù)。這項(xiàng)技術(shù)尤其適合對每秒吞吐量要求非常高的場合，如運(yùn)營商、電商等。新一代防火墻技術(shù)及應(yīng)用28

12.3深信服vNGAF部署與管理新一代防火墻技術(shù)及應(yīng)用2912.3深信服vNGAF部署與管理

深信服虛擬防火墻vNGAF產(chǎn)品是專為虛擬化平臺網(wǎng)絡(luò)安全而設(shè)計(jì)的，不需要依賴專用的硬件，可以以軟件鏡像的方式，完美支持在VMware、KVM、XEN等服務(wù)器虛擬化環(huán)境下的部署。虛擬化軟件設(shè)備支持路由、單臂等部署方式，針對不同租戶開啟一個對應(yīng)的虛擬機(jī)鏡像，通過集中管理平臺開通虛擬設(shè)備授權(quán)，然后配置vSwitch連通網(wǎng)絡(luò)，只需數(shù)分鐘即可為不同租戶提供各種增值網(wǎng)絡(luò)服務(wù)。新一代防火墻技術(shù)及應(yīng)用3012.3.1vNGAF支持多種虛擬化平臺vNGAF支持在多種虛擬化云平臺環(huán)境提供安全服務(wù)，可以以虛機(jī)的方式智能融合到Vmware/KVM/XEN等虛擬化平臺，提供對這些平臺上全面的網(wǎng)絡(luò)安全保護(hù)，并支持虛擬機(jī)克隆、漂移等功能，滿足OpenStack等云管理平臺的統(tǒng)一管理要求；vNGAF支持在公有云平臺的在線使用，阿里云和亞馬遜云上的租戶可以在線選配深信服vNGAF服務(wù)，實(shí)現(xiàn)云中業(yè)務(wù)二層到七層全面專業(yè)的安全保障。新一代防火墻技術(shù)及應(yīng)用3112.3.1vNGAF支持多種虛擬化平臺1.vNGAF產(chǎn)品所含五大組件(1)授權(quán)中心(VLS)：深信服虛擬防火墻授權(quán)中心提供了對所有購買的軟件防火墻防護(hù)資源的集中授權(quán)服務(wù)，需要和授權(quán)KEY配合使用，從而實(shí)現(xiàn)對資源的讀取和分配，該中心以虛擬主機(jī)OVA模板提供給客戶。(2)授權(quán)KEY(USBKEY)：深信服虛擬防火墻授權(quán)KEY中存儲了所購買的防護(hù)資源的授權(quán)信息，授權(quán)信息由深信服統(tǒng)一頒發(fā)并具有唯一性，能夠被授權(quán)中心讀取使用。(3)集中管理平臺(vNGAFvCenter)：集中管理平臺實(shí)現(xiàn)對全網(wǎng)虛擬化軟件防火墻的集中統(tǒng)一運(yùn)維管理。(4)虛擬防火墻軟件(vNGAF)：虛擬防火墻軟件是虛擬化云計(jì)算平臺上安全防護(hù)的實(shí)體，以虛擬主機(jī)OVA模板倒入大虛擬化平臺，實(shí)現(xiàn)L2～L7的安全核查和防護(hù)。(5)vNGAF插件(Plug-in)：與VMsafe結(jié)合的插件，主要用作和VMware的VMsafe接口實(shí)現(xiàn)聯(lián)動，實(shí)現(xiàn)從VMware底層引流到vNGAF進(jìn)行檢測和清洗，同時實(shí)現(xiàn)干凈流量的回注。新一代防火墻技術(shù)及應(yīng)用3212.3.1vNGAF支持多種虛擬化平臺2.vNGAF產(chǎn)品優(yōu)勢(1)虛擬網(wǎng)絡(luò)安全區(qū)域劃分。利用vNGAF可以在虛擬化網(wǎng)絡(luò)內(nèi)部定義清晰的區(qū)域和邊界，設(shè)置不同的安全等級，制定嚴(yán)格的訪問控制策略，防止虛擬網(wǎng)絡(luò)內(nèi)部不同區(qū)域之間的越權(quán)訪問。(2)安全策略動態(tài)跟隨遷移。vNGAF以虛擬機(jī)的形式存在于虛擬化云平臺中，支持vCenter和vmotion的監(jiān)管，滿足在虛擬化平臺內(nèi)動態(tài)部署和遷移，無論是vNGAF自身或者被保護(hù)的VM出現(xiàn)漂移，安全策略都能實(shí)時跟隨并保障業(yè)務(wù)暢通，極大地滿足虛擬網(wǎng)絡(luò)的安全和可靠性要求。(3)全面可視的應(yīng)用層安全。在虛擬化環(huán)境應(yīng)用只與虛擬層交互，而與真正的硬件隔離，導(dǎo)致應(yīng)用層的安全威脅缺乏監(jiān)管而泛濫。vNGAF提供全面、專業(yè)、可視的應(yīng)用層安全識別和防護(hù)能力，有效識別針對虛擬平臺業(yè)務(wù)應(yīng)用的安全威脅，并及時清除風(fēng)險內(nèi)容。(4)防止虛擬機(jī)之間橫向攻擊。虛擬機(jī)之間的通信可能直接在虛擬平臺內(nèi)部完成，這也導(dǎo)致了云數(shù)據(jù)中心的安全設(shè)備無法感知虛擬機(jī)之間的相互攻擊。vNGAF可以制定不同虛擬機(jī)區(qū)域(甚至細(xì)化到某臺虛擬機(jī))的安全防護(hù)策略，有效防御虛擬機(jī)之間的安全風(fēng)險向橫向擴(kuò)散。新一代防火墻技術(shù)及應(yīng)用3312.3.1vNGAF支持多種虛擬化平臺2.vNGAF產(chǎn)品優(yōu)勢(5)防范南北向安全風(fēng)險。出口安全設(shè)備提供了全局安全策略，但可能無法針對某些虛擬機(jī)或區(qū)域做到很細(xì)，來自互聯(lián)網(wǎng)的安全風(fēng)險依然嚴(yán)峻，對于云租戶來說，更需要對自身業(yè)務(wù)系統(tǒng)的安全負(fù)責(zé)。vNGAF具備二層到七層全面的安全功能，包括防火墻、WAF、IPS、防病毒、僵尸識別、漏洞識別等功能，有效防止外部網(wǎng)絡(luò)的安全風(fēng)險向內(nèi)部滲透，同時避免虛擬機(jī)上的安全風(fēng)險向外蔓延。(6)實(shí)時漏洞檢測防御。云平臺業(yè)務(wù)系統(tǒng)不斷更新、新的業(yè)務(wù)持續(xù)上線，都會引入新的安全風(fēng)險，而這些風(fēng)險若不能及時發(fā)現(xiàn)和加固的話，極有可能會被黑客利用從而成功入侵系統(tǒng)。vNGAF提供了實(shí)時漏洞檢測功能，可以快速識別Hypervisor平臺和虛擬機(jī)業(yè)務(wù)系統(tǒng)的0DAY漏洞，及時防御黑客利用0DAY漏洞的入侵行為，通過虛擬補(bǔ)丁的方式，避免了正常打補(bǔ)丁對業(yè)務(wù)正常運(yùn)行的影響。(7)支持多種虛擬云端環(huán)境。vNGAF支持集成在VMware、KVM、XEN等多種虛擬化平臺來提供安全服務(wù)，支持由Openstack的統(tǒng)一管理，并滿足在阿里云、亞馬遜云等公有云平臺在線應(yīng)用。(8)靈活適配安全防護(hù)需求。vNGAF滿足云數(shù)據(jù)中心用戶按需選配安全服務(wù)，可以跟隨業(yè)務(wù)發(fā)展的需求而靈活擴(kuò)展，幫助用戶最大程度節(jié)省安全建設(shè)的初始投資，并滿足用戶個性化安全防護(hù)和運(yùn)維的需求。新一代防火墻技術(shù)及應(yīng)用3412.3.2vNGAF授權(quán)服務(wù)器部署與配置vNGAF支持部署在VMwareESXi5.1，5.5，6.0的虛擬環(huán)境中。vNGAF提供一個可在VMware部署的OVA模板，可部署到VMware虛擬環(huán)境中。部署vNGAF需要配合部署深信服授權(quán)服務(wù)器的虛擬主機(jī)(同樣以O(shè)VA模板提供)，授權(quán)服務(wù)器使用USBKEY給vNGAF進(jìn)行安全防護(hù)功能的授權(quán)。授權(quán)服務(wù)器主要解決對虛擬化產(chǎn)品進(jìn)行合法運(yùn)行的授權(quán)方案，解決設(shè)備虛擬化后容易被盜版的問題。新一代防火墻技術(shù)及應(yīng)用3512.3.2vNGAF授權(quán)服務(wù)器部署與配置1.部署授權(quán)服務(wù)器1)獲取USBKEY聯(lián)系儲運(yùn)接口人楊漢平獲取USBKEY硬件及序列號；把授權(quán)服務(wù)器的USBKEY插入到需要部署授權(quán)服務(wù)器的VMware物理主機(jī)的USB接口上。新一代防火墻技術(shù)及應(yīng)用3612.3.2vNGAF授權(quán)服務(wù)器部署與配置2)獲取授權(quán)服務(wù)器(VLS)和虛擬防火墻(vNGAF)的OVA模板獲取授權(quán)服務(wù)器(VLS)和虛擬防火墻(vNGAF)的OVA模板，可以從公司官網(wǎng)或其他渠道獲取。(1)從公司服務(wù)器獲取授權(quán)服務(wù)器(VLS)和虛擬防火墻(vNGAF)的OVA模板如圖所示。新一代防火墻技術(shù)及應(yīng)用3712.3.2vNGAF授權(quán)服務(wù)器部署與配置3)導(dǎo)入授權(quán)服務(wù)器的OVA模板通過VMware管理平臺vSphereClient(當(dāng)前支持esxi5.1-6.0版本)的【部署OVF模板】，打開部署向?qū)?，如圖所示。新一代防火墻技術(shù)及應(yīng)用3812.3.2vNGAF授權(quán)服務(wù)器部署與配置根據(jù)向?qū)c(diǎn)擊【下一步】，使用默認(rèn)配置。向?qū)瓿珊螅瑥棾鰧?dǎo)入進(jìn)度框，如圖所示。等待部署完成后，可看到虛擬機(jī)vNGAF，如圖所示。新一代防火墻技術(shù)及應(yīng)用3912.3.2vNGAF授權(quán)服務(wù)器部署與配置4)確認(rèn)當(dāng)前ESXi主機(jī)的時間與實(shí)際系統(tǒng)時間吻合確定當(dāng)前ESXi主機(jī)的時間與實(shí)際系統(tǒng)時間是吻合的，在這里強(qiáng)調(diào)一下這一步驟是不能省略的，操作界面如圖所示。新一代防火墻技術(shù)及應(yīng)用4012.3.2vNGAF授權(quán)服務(wù)器部署與配置5)在EXSi主機(jī)上插入VLS的USB-KEY在EXSi主機(jī)上插圖VLS的USB-KEY，在vSphereClient中選擇導(dǎo)入的VLS虛擬機(jī)，選擇【編輯虛擬機(jī)配置】，如圖所示。新增USB控制器，在添加硬件界面中，點(diǎn)擊【添加】按鈕，選擇【USB控制器】，如圖所示。新一代防火墻技術(shù)及應(yīng)用4112.3.2vNGAF授權(quán)服務(wù)器部署與配置6)再次修改VLS虛擬機(jī)配置并在USB設(shè)備列表中選擇USB-KEY再次修改VLS虛擬機(jī)配置，新增USB設(shè)備，在添加硬件界面中點(diǎn)擊【添加】按鈕，選擇【USB設(shè)備】，并在USB設(shè)備列表中選擇USB-KEY后確認(rèn)新增，如圖所示。新一代防火墻技術(shù)及應(yīng)用4212.3.2vNGAF授權(quán)服務(wù)器部署與配置7)配置授權(quán)服務(wù)器的IP地址首先啟動授權(quán)服務(wù)器，如圖所示。打開授權(quán)服務(wù)器控制臺，如圖所示。新一代防火墻技術(shù)及應(yīng)用4312.3.2vNGAF授權(quán)服務(wù)器部署與配置通過選擇【ManagementSetupWizard】進(jìn)入，如圖所示。選擇【SpecifyAstaticIPaddress】，進(jìn)行靜態(tài)IP地址的配置。如圖所示。新一代防火墻技術(shù)及應(yīng)用4412.3.2vNGAF授權(quán)服務(wù)器部署與配置2.授權(quán)服務(wù)器的配置1)登錄授權(quán)服務(wù)器通過配置的IP地址登錄到授權(quán)的服務(wù)器，通過瀏覽器訪問：https://xxx.xxx.xxx.xxx/，如圖所示。新一代防火墻技術(shù)及應(yīng)用4512.3.2vNGAF授權(quán)服務(wù)器部署與配置2)導(dǎo)入授權(quán)序列號步驟1：從【授權(quán)管理】獲取USBKEY的ID號，根據(jù)這個ID從授權(quán)管理部門獲取授權(quán)序列號。如圖所示。新一代防火墻技術(shù)及應(yīng)用4612.3.2vNGAF授權(quán)服務(wù)器部署與配置步驟2：將獲取的序列號導(dǎo)入授權(quán)服務(wù)器。點(diǎn)擊【導(dǎo)入序列號】，將序列號粘貼并點(diǎn)擊【提交】按鈕，如圖所示。此時會彈出【序列號對比】窗口，如圖所示。新一代防火墻技術(shù)及應(yīng)用4712.3.2vNGAF授權(quán)服務(wù)器部署與配置步驟3：點(diǎn)擊【提交】，導(dǎo)入序列號資源成功，如圖所示。新一代防火墻技術(shù)及應(yīng)用4812.3.2vNGAF授權(quán)服務(wù)器部署與配置3)添加vNGAF設(shè)備步驟1：在【授權(quán)界面】中點(diǎn)擊【添加設(shè)備】，彈出添加授權(quán)設(shè)備對話框，如圖所示。新一代防火墻技術(shù)及應(yīng)用4912.3.2vNGAF授權(quán)服務(wù)器部署與配置步驟2：授權(quán)成功后，點(diǎn)擊【查看】可看到該設(shè)備已正確授權(quán)的信息，如圖所示。若給該設(shè)備授權(quán)的是低端設(shè)備(1核CPU2GB內(nèi)存)，則會授權(quán)失敗，如圖所示。新一代防火墻技術(shù)及應(yīng)用5012.3.2vNGAF授權(quán)服務(wù)器部署與配置若給該設(shè)備授權(quán)的是中高端設(shè)備，則提示授權(quán)成功，但資源不匹配。此時并不影響vNGAF的正常功能，只是存在授權(quán)資源浪費(fèi)的情況，如圖所示。新一代防火墻技術(shù)及應(yīng)用5112.3.2vNGAF授權(quán)服務(wù)器部署與配置點(diǎn)擊【刪除設(shè)備】，vNGAF會立即進(jìn)入初始化狀態(tài)。點(diǎn)擊【設(shè)備名稱】，可對設(shè)備資源進(jìn)行編輯，點(diǎn)擊【提交】按鈕，編輯后的資源會立即發(fā)送給vNGAF，如圖所示。新一代防火墻技術(shù)及應(yīng)用5212.3.3vNGAF部署配置1.vNGAF的部署通過部署開放式虛擬化格式OVF(OpenVirtualizationFormat)模板，選擇本地開放式虛擬化設(shè)備OVA(OpenVirtualizationAppliance)模板文件，接著按向?qū)崾静襟E生成虛擬機(jī)。具體操作過程如下：1)獲取vNGAF的OVA模板從公司官網(wǎng)或其他渠道獲取vNGAF的OVA模板(當(dāng)前版本是AF6.1R1)，如圖所示。新一代防火墻技術(shù)及應(yīng)用5312.3.3vNGAF部署配置2)部署OVA模板步驟1：部署OVF模板。通過VMware管理平臺的【部署OVF模板】，打開部署向?qū)?，如圖所示。新一代防火墻技術(shù)及應(yīng)用5412.3.3vNGAF部署配置步驟2：選擇OVF模板文件。在【從文件或URL部署】中點(diǎn)擊【瀏覽】按鈕，選擇本地vNGAF的OVF模板，如圖所示。選擇OVF模板文件。然后點(diǎn)擊【下一步】，從部署的信息中可以看到vNGAF相關(guān)的產(chǎn)品信息，如圖所示。新一代防火墻技術(shù)及應(yīng)用5512.3.3vNGAF部署配置步驟3：接下來，根據(jù)向?qū)нx擇下一步的操作，在這個過程中使用默認(rèn)配置即可。設(shè)置完成后，彈出導(dǎo)入進(jìn)度框，如圖所示。步驟4：完成部署。等部署完成后，可看到虛擬機(jī)vNGAF(AF6.1_R1)，如圖所示。新一代防火墻技術(shù)及應(yīng)用5612.3.3vNGAF部署配置3)配置vNGAF通過vSpereClient客戶端登錄到服務(wù)器，選擇前面新建好的虛擬機(jī)(AF6.1-R1)，點(diǎn)擊【編輯虛擬機(jī)設(shè)置】，在彈出框中可修改vNGAF的硬件配置，如CPU、內(nèi)存、網(wǎng)卡數(shù)量等的設(shè)置，如圖所示。新一代防火墻技術(shù)及應(yīng)用5712.3.3vNGAF部署配置配置完成后，啟動虛擬機(jī)。開機(jī)完成后，打開控制臺，如圖所示。這個控制臺界面主要用于配置vNGAF管理IP，同時也防止虛擬環(huán)境下有多臺vNGAF時發(fā)生IP沖突。默認(rèn)情況下，管理IP與物理AF一樣，都是51。新一代防火墻技術(shù)及應(yīng)用5812.3.3vNGAF部署配置選擇上圖中的【StartCommandLineInterface】選項(xiàng)，則進(jìn)入命令行界面。此界面主要提供了網(wǎng)線配置相關(guān)的命令工具集，如圖所示。新一代防火墻技術(shù)及應(yīng)用5912.3.3vNGAF部署配置上圖中選擇【StaticIPAddress】，則進(jìn)入配置管理IP界面。此界面默認(rèn)針對eth0口進(jìn)行IP、Mask、GeteWay等信息配置。如圖所示，配置的IP為：42、掩碼為22、網(wǎng)關(guān)為：54，網(wǎng)關(guān)配置相當(dāng)于增加了一條默認(rèn)路由。新一代防火墻技術(shù)及應(yīng)用6012.3.3vNGAF部署配置配置IP成功后，有提示信息，點(diǎn)擊【OK】即可，如圖所示。選擇【ShowCurrentSettings】，會彈出信息框，如圖所示。里面包括當(dāng)前配置的管理口、管理口MAC地址、管理IP地址、掩碼、網(wǎng)關(guān)等基本信息。新一代防火墻技術(shù)及應(yīng)用6112.3.3vNGAF部署配置通過按Ctrl+Alt+F1組合鍵，切換回原始的命令行界面以進(jìn)入后臺，如圖所示。新一代防火墻技術(shù)及應(yīng)用6212.3.4vNGAF的管理1.登錄vNGAF登錄vNGAF，通過之前配置的管理IP地址使用瀏覽器訪問進(jìn)行登錄(https://xxx.xxx.xxx.xxx/)，如圖所示。新一代防火墻技術(shù)及應(yīng)用6312.3.4vNGAF的管理2.配置管理與授權(quán)第一次登錄vNGAF，如果vNGAF沒有獲取授權(quán)，此時網(wǎng)絡(luò)業(yè)務(wù)是中斷的，進(jìn)入了初始化狀態(tài)，會有提示信息。如圖所示。新一代防火墻技術(shù)及應(yīng)用6412.3.4vNGAF的管理獲取授權(quán)后，所有vNGAF的前端控制臺都需要重新登錄，重新登錄控制臺后，發(fā)現(xiàn)vNGAF已正確獲取授權(quán)，進(jìn)入授權(quán)狀態(tài)，如圖所示。授權(quán)狀態(tài)時vNGAF的使用與物理AF一致，這里不再贅述。新一代防火墻技術(shù)及應(yīng)用6512.3.4vNGAF的管理授權(quán)之后，重新登錄，在vNGAF管理界面的上端有授權(quán)客戶和授權(quán)有效期的提示，如圖所示。新一代防火墻技術(shù)及應(yīng)用6612.3.4vNGAF的管理查看【系統(tǒng)】/【系統(tǒng)配置】/【授權(quán)信息】頁面，該頁面是只讀頁面。授權(quán)的資源不可在此處編輯(可在授權(quán)服務(wù)器上編輯)，如圖所示。新一代防火墻技術(shù)及應(yīng)用6712.3.4vNGAF的管理若因?yàn)槟撤N原因(如網(wǎng)絡(luò)不可達(dá)等)24小時未收到授權(quán)服務(wù)器的心跳信息，此時vNGAF從授權(quán)切換到非法狀態(tài)，如圖所示。新一代防火墻技術(shù)及應(yīng)用6812.3.5vNGAF授權(quán)特別說明授權(quán)狀態(tài)這一點(diǎn)十分重要，要能分辨出不同狀態(tài)時vNGAF的表現(xiàn)以便進(jìn)行不同支出，以及不同情況進(jìn)行狀態(tài)的切換。vNGAF的授權(quán)狀態(tài)是圍繞表和圖的條件進(jìn)行轉(zhuǎn)換的。新一代防火墻技術(shù)及應(yīng)用6912.3.5vNGAF授權(quán)特別說明狀態(tài)的詳細(xì)說明：·vNGAF首次開機(jī)后默認(rèn)進(jìn)入初始化狀態(tài)，此時接口和IP可配置，但數(shù)據(jù)不轉(zhuǎn)發(fā)，原因處于斷網(wǎng)狀態(tài)?！氖跈?quán)服務(wù)器得到授權(quán)后，進(jìn)入授權(quán)狀態(tài)；若從授權(quán)服務(wù)器回收(刪除)授權(quán)，則vNGAF再次進(jìn)入初始化狀態(tài)。·已授權(quán)的vNGAF，由于某種原因(網(wǎng)絡(luò)不可達(dá)等)24小時內(nèi)未收到授權(quán)服務(wù)器的心跳信息，則進(jìn)入非法狀態(tài)。·對處于非法狀態(tài)的vNGAF，網(wǎng)絡(luò)功能可用，但安全防護(hù)功能不再可用。若連續(xù)30天未獲得授權(quán)，數(shù)據(jù)不再轉(zhuǎn)發(fā)，進(jìn)入初始化狀態(tài)。·無論vNGAF是非法還是初始化狀態(tài)，一旦收到服務(wù)器授權(quán)信息，則進(jìn)入授權(quán)狀態(tài)。新一代防火墻技術(shù)及應(yīng)用7012.3.6vNGAF常見問題與診斷1.VLS常見問題與診斷問題1：導(dǎo)入序列號后，提示系統(tǒng)時間不正確?！締栴}現(xiàn)象】錯誤提示“錯誤：導(dǎo)入序列號時系統(tǒng)時間不正確”，如圖所示?！窘鉀Q方法】方法一：請檢查授權(quán)服務(wù)的系統(tǒng)時間與當(dāng)前現(xiàn)實(shí)時間是否一致，若不一致請后臺修改系統(tǒng)時間后，重新導(dǎo)入序列號。方法二：如系統(tǒng)時間與現(xiàn)實(shí)相差幾秒，等待1分鐘后重新導(dǎo)入就可以了。新一代防火墻技術(shù)及應(yīng)用7112.3.6vNGAF常見問題與診斷問題2：導(dǎo)入序列號后提示服務(wù)/軟件過期，或提