一、防火墙虚拟化

  1.虚拟化技术原理：

   将一台物理的防火墙，从逻辑上划分为多台虚拟防火墙，但是共享CPU、内存等物理资源；不同的虚拟防火墙之间，配置、转发完全隔离，从而实现功能定制、个性化管理以及资源的最大化利用

 

2.虚拟化两种类型：

一虚多（提升系统资源利用率；降低硬件成本；节省能耗、空间及管理成本）

多虚一（简化运维，可靠性高）

vrrp（把两台防火墙的接口虚拟成一个接口，统一对外提供一个IP地址）

服务器负载均衡属于虚拟化技术

 

二、防火墙虚拟化的发展

1.从VFW（虚拟防火墙）到VSYS（虚拟系统）

上一代防火墙的虚拟化完全依赖于VPN实例实现的。vpn-instance有独立的安全区域、路由表。通过绑定不同的接口，就相当于有了一*立的防火墙。

2.防火墙的基本要素：能实现路由转发，能实现基于安全区域的策略配置

下一代防火墙的虚拟化不完全依赖于VPN实例，而是改为了VSYS，即Virtual-system

（每个虚拟系统创建的时候，都会创建一个同名称的vpn-instance，这个vpn-instance就是为了实现各个虚拟系统之间的路由隔离。也就是说虚拟系统在底层的转发业务还是依赖于vpn-instance来实现，但是到了上层的业务虚拟化时，不在依赖于vpn-instance）

 

3.下一代防火墙的“真实性”

1）有自己独立的配置界面和独立的管理员账号

2）虚拟防火墙有自己独立的软件资源，如会话表数、策略数、用户数等，这样也不用去争抢公共资源。上一代防火墙仅能分配最大带宽、会话数等几个资源项

3）目前华为防火墙硬件资源仍然不支持虚拟化，部分厂商可以实现。

 

4.虚拟系统系统管理

根系统：  缺省存在的一个特殊的虚拟系统，未配置其他虚拟系统时，根系统就等同于防火墙自身

虚拟系统：逻辑上划分出来的虚拟设备

根系统管理员：配置根系统业务外，还可以创建虚拟系统，并为虚拟系统分配资源和创建虚拟系统管理员。（权限最高，所有创建的虚拟系统都可以配置）

虚拟系统管理员：配置虚拟系统的业务

 

5.虚拟系统对资源的占用方式

资源是指业务正常运转时所必须的硬件、软件表项等各种形态的计算和存储单元。

虚拟系统对资源的占用有两种方式：限额使用和共享抢占

对于关键资源两种均可选，对于非关键资源只有共享抢占方式

关键资源包括会话、一体化策略、用户、用户组、在线用户和带宽，其他位非关键资源

资源分配的目的是为了防止单个虚拟系统抢占过多的资源，导致其他虚拟系统无法工作

 

6.虚拟系统转发：

Virtualif 是逻辑接口，是一个“交通要道”，创建虚拟系统时系统自动创建作为虚拟系统自身与其他虚拟系统之间的通信接口。根系统的虚拟接口名为virtualif0，其他虚拟系统的virtualif接口号从1开始。特点：不配置IP地址也能生效

 

虚拟系统只支持静态路由，不支持动态路由