admin 管理员组文章数量: 887021
2024年3月22日发(作者:关于个人博客的搭建)
Virtual System
vsys
虚拟系统
虚拟系统是指物理与逻辑网络接口(包含VLAN与VPN接口)以及安全区域的集
合。
虚拟系统可以让用户分割管理防火墙提供的所有策略(安全策略、NAT、QoS等
等),同时,虚拟系统可以提供独立的报表与可视化。
例如,如果用户需要为财务部门有关的流量提供自定义安全性功能,则可以定义
财务虚拟系统,然后可以由财务虚拟系统的虚拟系统管理员来制定财务虚拟系统
的安全策略。
从软件架构上来看,虚拟系统,有独立的会话表(Session Table),有独立的策
略(Policy)
Zone
zone
区域包含了防火墙的一个或多个网络接口,定义安全策略时,用户必须指定流量
的来源于目的安全性区域。例如,连接至广域网的接口是“不受信任的”的安全
性区域,而连接内部网络的接口是“受信任的”安全性区域。
区域分为二层区域,三层区域,虚拟网线区域,以及管理区域和VPN区域等。一
个区域只能属于一个虚拟系统。
区域可以看做是同类别网络接口的集合,在做策略时,即可通过区域来做策略
(粗)也可以用具体的接口做策略(细)
Network Interface
ifnet
接口允许流量进出安全域。因此,为使流量能够流入和流出某个安全域,必须将接
口绑定到该 安全域,并且,如果是三层安全域,还需要为接口配置 IP 地址。然后,
必须配置相应的策略规则, 允许流量在不同安全域中的接口之间传输。多个接口
可以被绑定到一个安全域,但是一个接口不能被绑定到多个安全域。
接口有WAN和非WAN两种基本属性区别,WAN是指连接广域网的接口。
设备具有多种类型接口,根据性质的不同,分为物理接口和逻辑接口。
物理接口:
安全设备上的每一个以太网接口都表示一个物理接口。物理接口的名称是预先
定义的,由媒体类型、插槽号和位置参数组成,例如 ethernet2/1 或
ethernet0/2。
逻辑接口:
逻辑接口包括二层接口、三层接口、VSwitch接口、VLAN接口、回环接口、隧道
接口、集聚接口和冗余接口等;
Virtual Router
vrouter
虚拟路由器
虚拟路由器可以为不同的三层接口设定不同的静态路由和动态路由。防火墙上的
每个三层接口、回环接口以及VLAN接口都应该与虚拟路由器相关联。每个接口
只能属于一个虚拟路由器。
Virtual Link
vlink
虚拟链路,指逻辑上的虚拟链路,通过虚拟链路,才能实现流量的可视化与流量
控制。
虚拟链路由多个网络接口构成,虚拟链路包含的接口分为两类,一类是上行接口
(与WAN互联的接口),另一类是下行接口(与LAN互联的接口)。
一个接口可以属于多条虚拟链路,但是一对接口只能属于一条虚拟链路。例如,
eth1, eth2, eth3三个接口,最多可以划分为三条虚拟链路:
vlink1: eth1 -> eth2
vlink2: eth1 -> eth3
vlink3: eth2 -> eth3
一条虚拟链路可以包含多个接口,例如:
vlink1: eth1 -> (eth2 & eth3)
Pipe,Virtual Channel
pipe, vc
独有的Pipe、Visual Channel,两层流量分类管理概念,配合分层级的流量管
理策略,可以实现嵌套的立体的流量管理方案。
Authentication Policy
policy/auth
认证策略,根据src zone以及源IP目标IP地址范围进行不同的用户认证。
匹配条件是Source Zone, Source Address, Destination Zone, Destination
Address,动作为认证配置(例如可以根据网络情况配置多个认证配置,然后通
过认证策略来指定不同的网络来源和目的用户使用不同的认证配置)
Security Policy
版权声明:本文标题:vlink 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/free/1711037575h587639.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论