下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
{{sendMatomoQuery("下一代防火墙AF","系统划分")}}

系统划分

更新时间:2023-10-12

AF设备上存在两种类型的虚拟系统:

根系统(Public

根系统是AF设备上缺省存在的一个特殊的虚拟系统。即使虚拟系统功能未启用,根系统也依然存在。此时,管理员对AF设备进行配置等同于对根系统进行配置。启用虚拟系统功能后,根系统会继承先前AF设备上的配置。

在虚拟系统这个特性中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务。

虚拟系统(VSYS)

虚拟系统是在AF设备上划分出来的、独立运行的逻辑设备。

虚拟系统划分的逻辑结构如下图所示。

  

为了实现每个虚拟系统的业务都能够做到正确转发、独立管理、相互隔离,AF设备主要实现了几个方面:

资源虚拟化:根系统管理员可以为每个虚拟系统分配固定的系统资源,包括接口、VLAN、策略和会话等,各个虚拟系统自行管理和使用。保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。

配置虚拟化:每个虚拟系统都拥有独立的虚拟系统管理员和配置界面(CLI/WEB),每个虚拟系统管理员只能管理自己所属的虚拟系统,根系统管理员可以管理所有虚拟系统。使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。

路由虚拟化:每个虚拟系统都拥有各自的路由表,相互独立隔离。这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。

交换虚拟化:每个虚拟系统都拥有各自的MAC转发表、ARP表,相互独立隔离。

日志隔离:每个虚拟系统都拥有各自的日志文件、日志显示界面。

通过以上几个方面,当创建虚拟系统之后,每个虚拟系统的管理员都像在使用一台独占的设备。