下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","虚拟系统管理")}}

虚拟系统管理

更新时间:2023-07-12

虚拟系统管理用于启用虚拟系统功能,并在此新增虚拟系统,进行资源池分配,划分物理接口、子接口和VLAN接口。

点击<启用虚拟系统>,如下图所示。

启用完成后,点击<新增>,设置虚拟系统名称和资源,资源调用[系统/虚拟系统/资源池]中的设置,如有自定义资源可自行选择,如下图所示。

再根据实际情况进行物理接口的分配,如下图所示。

如有需要可再进行分配子接口和分配VLAN操作。

系统创建完成后,根系统管理员可通过页面右上角进行系统的切换,如下图所示。

如需建立虚拟管理员给对应网络运维人员管理,可在对应虚拟系统[系统/管理员账号]中新增管理员,并在对应分配的虚拟系统接口上勾选WEBUI选项即可通过该接口登录管理。

虚拟系统配置案例

某企业购买了AF做网关部署在集团公司网络出口,有研发网络和业务网络通过该出口访问互联网,两个网络网段都为192.168.1.0/24,需要在AF上虚拟出两个防火墙进行单独管理,两个网络间不需要互访,业务网络可以访问互联网所有应用,研发网络只能访问互联网网页服务,拓扑如下图所示。

步骤1.进入[系统/虚拟系统/虚拟系统管理],启用虚拟系统。

步骤2.点击<新增>,配置“yanfa”虚拟系统,关联资源(可使用默认资源池“Resource”也可根据实际需要分配资源池),并分配物理接口eth3

步骤3.点击<新增>,配置“yewu”虚拟系统,关联资源(可使用默认资源池“Resource”也可根据客户实际需要分配资源池),并分配物理接口eth4

步骤4.进入“yanfa”虚拟系统[网络/接口/物理接口]配置eth3的区域和IP地址192.168.1.1/24

步骤5.“yanfa”虚拟系统[网络/接口/虚拟接口]配置vsysif1的区域和IP地址172.16.1.1/24

步骤6. “yanfa”虚拟系统[网络/路由/静态路由]配置默认路由指向目的虚拟路由器根系统“public”

步骤7.“yanfa”虚拟系统[策略/访问控制/应用控制策略]新增放通对应区域httphttpsdns服务。

步骤8.“yanfa”虚拟系统[策略/地址转换/IPv4地址转换]配置对应区域的源地址转换,源地址转换为出接口地址。

步骤9.切换到“yewu”虚拟系统[网络/接口/物理接口]配置eth4的区域和IP地址192.168.1.1/24

步骤10.“yewu”虚拟系统[网络/接口/虚拟接口]配置vsysif2的区域和IP地址172.16.2.1/24

步骤11. “yewu”虚拟系统[网络/路由/静态路由]配置默认路由指向目的虚拟路由器根系统“public”

步骤12.“yewu”虚拟系统[策略/访问控制/应用控制策略]新增放通对应区域所有服务。

步骤13.“yewu”虚拟系统[策略/地址转换/IPv4地址转换]配置源地址转换,源地址转换为出接口地址。

步骤14.切换到“public”根系统[网络/接口/物理接口]配置eth1的区域和IP地址172.22.7.111/21

步骤15.在根系统[网络/接口/虚拟接口]配置vsysif0的区域和IP地址172.16.3.1/24

步骤16. 在根系统[网络/路由/静态路由]配置默认路由指向互联网出口下一跳,并配置静态路由分别指向目的虚拟路由器“yanfa”“yewu”,目的IPvsys1vsys2的接口地址。

步骤17.在根系统[策略/访问控制/应用控制策略]新增放通对应区域所有服务。

步骤18.在根系统[策略/地址转换/IPv4地址转换]配置源地址转换,源地址转换为出接口地址。

步骤19.配置完成,研发网络和业务网络终端分别进行上网验证。