华三：虚拟防火墙解决方案

9
虚拟防火墙组网图
通过不同的物理接口，或者通过各逻辑接口来识别VLAN，划分不同的虚拟防火 墙，满足在一台防火墙上实现不同的策略、路由、管理等功能的需求
SecPath防火墙

10
SecPath虚拟防火墙规格及特点
电力调度数据网
PE CE
MPLS
PE VFW SecPath 1800F CE 地调
SecPath 1800F VFW
CE 省中心
VFW
CE

县调 15
虚拟防火墙市场机会点
3、金融行业
在银行网络中，也较多的采用MPLS VPN组网。从银行总行到各省分行、支行等各分支机构，采用不 同的VPN隔离。在各PE与CE设备之间，部署一台SecPath1800F防火墙，采用虚拟防火墙技术，可以 对各分支机构的访问做安全控制，每个VPN分配一个虚拟防火墙，配置不同的安全策略，互相之间不 影响，避免MPLS VPN中IP地址重叠的问题，并且可以对VPN灵活的增加或删除。

21
友商竞争分析—Cisco
Cisco
Ø Cisco PIX/FWSM/ASA均支持虚拟防火墙 ØPIX515E、525、525支持虚拟防火墙，其他型号不支持，并且需要升级至7.0版本，7.0 需要另付费购买 ØCisco 6500交换机/7600路由起防火墙模块FWSM最多可支持256个虚拟防火墙 ØCisco Network-Based Security Service，核心是通过将安全服务和MPLS VPN功能集 成起来，使得76路由器成为IPSec集成器、虚拟防火墙设备和PE设备的集成
电子政务网
MPLS
PE SecPath 1800F
VFWLeabharlann VFWVFWCE

CE
CE
14
虚拟防火墙市场机会点
2、电力行业
电力调度数据网中，采用MPLS组网，从省中心到地调、县调、变电站、电厂，均通过MPLS VPN连 接。在各PE与CE设备之间，部署一台SecPath1800F，采用虚拟防火墙技术，可以对各分支机构的访 问做安全控制，每个VPN分配一个虚拟防火墙，配置不同的安全策略，互相之间不影响，避免MPLS VPN中IP地址重叠的问题，并且可以对VPN灵活的增加或删除。
VFW
IDC
运营商网络
SecPath 1800F VFW

18
虚拟防火墙市场机会点
6、教育行业--网络安全实验室
用一台防火墙实现多用户教学实验。将一台SecPath1800F防火墙虚拟成多台 防火墙，分配给个实验小组，各实验组预先分配不同的网段和配置文件，对各 自的虚拟防火墙进行操作。实验结束后，防火墙可以记录各小组在实验中的安 全策略配置，管理帐户信息、日志审计等，独立的生成实验结果。
采购多台防火墙，浪费投资

6
目录
1. 虚拟防火墙需求 2. 虚拟防火墙介绍 3. 虚拟防火墙市场机会点 4. 友商竞争分析 5. 虚拟防火墙典型配置
Table of Contents

7
虚拟防火墙介绍
什么是虚拟防火墙？
V1 Trust
V2 Trust PC
V1 DMZ
V2 DMZ
V1 Untrust
PC 192.168.1.0/24
192.168.3.2/24
192.168.2.2/24
3、易于管理
管理员只需对一台防火墙进行管理，大大减轻工作量，减少故障点

12
目录
1. 虚拟防火墙需求 2. 虚拟防火墙介绍 3. 虚拟防火墙市场机会点 4. 友商竞争分析 5. 虚拟防火墙典型配置
Table of Contents

Ø 在MPLS VPN网络中，防火墙可以部署在PE设备与CE设备之间，对应每个C E分配一个虚拟防火墙，有自己独立的路由表，支持转发多实例和路由多实 例，允许不同的VPN地址空间重叠 Ø 不同的虚拟防火墙里设置独立的访问策略、NAT策略和内容过滤策略，即可 以实现各种安全功能的多实例 Ø 虚拟防火墙支持路由模式，目前不支持透明模式 Ø 可以限定各虚拟防火墙资源使用能力（暂时不支持） Ø 可以设置分级管理，不同的管理员可以登陆到不同的虚拟防火墙，看到独立 的管理界面（暂时不支持） Ø 目前SecPath1800F支持虚拟防火墙，最大支持99个虚拟防火墙 Ø 其他型号07年1月支持虚拟防火墙
在一台物理防火墙上虚拟出多台逻辑上的防火墙，具有各自的管理员，并配置 完全不同的安全策略，各台虚拟防火墙的安全策略互不影响
Root
Root区：
A B
C
系统管理区 A、B、C： 虚拟防火墙实例

8
虚拟防火墙实例
Ø 虚拟防火墙实例提供相互隔离的安全服务，具备私有的区域、域间、ACL规 则组和NAT地址池，并且能够将绑定接口加入私有区域 Ø 虚拟防火墙实例能够提供地址绑定、黑名单、地址转换、包过滤、统计、攻 击防范、ASPF和NAT ALG等私有的安全服务 Ø 虚拟防火墙为用户提供相互隔离的配置管理平面 Ø 虚拟防火墙管理员登录防火墙后有权管理和维护私有的防火墙路由和安全策 略

25
典型组网图
202.110.200.2/24 Internet
Eth4/0/0 202.110.200.1/24 vlan2 192.168.1.1/24 Eth4/0/3
Eth4/0/1
Eth4/0/2
V2 Untrust
SecPath1800F
vlan1 202.110.201.2/24 Vlan1 192.168.1.1/24 Vlan2 192.168.3.1/24 Vlan1 192.168.2.1/24 Vlan2 192.168.2.1/24 192.168.1.0/24
IDC

5
虚拟防火墙需求分析
如果采用传统物理防火墙部署方式，则会出现以下问题 1、管理难度加大
管理员需要管理多台防火墙，管理难度较大 MPLS VPN网络随时需要增加和撤消VPN，非常不灵活
2、网络结构混乱
多台防火墙造成网络结构复杂 增加故障点
3、投资增大
13
虚拟防火墙市场机会点
1、政府行业
电子政务网中较多采用MPLS VPN网络，各VPN需采用防火墙做安全隔离，通过虚拟防 火墙技术，可以只部署一台SecPath1800F防火墙，为各VPN划分出对应的虚拟防火 墙，配置不同的安全策略，避免MPLS VPN中IP地址重叠的问题，并且可以对VPN灵活的 增加或删除。
在MPLS VPN网络中，各VPN之间需要安全防护，传统的方式是在CE前各部署一台防火墙。 这样就会导致防火墙数量增多，网络结构混乱，管理不方便，无法在MPLS VPN增加或撤消 的时候灵活的配置。 而 如 果 所 有 CE 共 用 一 台 防 火 墙， 则 无 法 对 各 VPN 实 施 不 同 的安 全 策 略 ， 也 无 法 解 决 IP地址重叠的问题。
CE PE PE CE
CE
MPLS
SecPath 1800F
SecPath 1800F VFW
CE 总行
CE 分行
VFW

地调
16
虚拟防火墙市场机会点
4、大型企业
大型企业中各部门相对较独立，如财务、研发等部门安全要求性较高，企业数据中心（E DC）为各部门提供服务，在EDC边界部署一台SecPath1800F防火墙，可以为各部门分 配虚拟防火墙，并且由各部门管理员独立管理，灵活的配置各自的防火墙策略、路由等 信息。
SecPath 1800F
VFW
各实验小组

19
目录
1. 虚拟防火墙需求 2. 虚拟防火墙介绍 3. 虚拟防火墙市场机会点 4. 友商竞争分析 5. 虚拟防火墙典型配置
Table of Contents

20
友商竞争分析—Juniper

4
虚拟防火墙需求—运营商IDC
运营商IDC中，对于各主机托管用户，需要提供对于主机的安全防护，传统方式 是在每台服务器或各用户服务器群前部署一台防火墙，由管理员或用户管理防火 墙安全策略。如采用虚拟防火墙，则可以只用一台防火墙就能提供给多个用户使 用，并由用户自行管理。

23
目录
1. 虚拟防火墙需求 2. 虚拟防火墙介绍 3. 虚拟防火墙市场机会点 4. 友商竞争分析 5. 虚拟防火墙典型配置
Table of Contents

24
组网需求
Ø SecPath1800F向外提供出租业务，其中虚拟防火墙VFW1租给企业A，虚拟 防火墙VFW2租给企业B Ø 企业A和企业B可以地址重叠，并使用vlan划分出的不同虚拟局域网 Ø 企业A分为Trust、Dmz和Untrust区，其中trust为内部网络，Dmz区部署对外 服务器，Untrust区拥有公网地址 Ø 企业B分为Trust、Dmz和Untrust区，其中Trust为内部网络，Dmz区提供对外 服务器，Untrust区拥有私网地址
PE S8500/路由器
防火墙
VPN1
VPN2
VPN3
VPN4
CE1

CE2
CE3
CE4
3
虚拟防火墙需求—大型企业数据中心
大型企业数据中心中，各部门需要通过防火墙对各自的服务器进行保护，通过虚 拟防火墙，管理员可以自行管理各自的虚拟防火墙，配置安全策略，保证部门之 间的安全隔离及灵活管理。如果没有虚拟防火墙，则需要在每个部门服务器前部 署一台物理防火墙。
Juniper
Juniper NetScreen/ISG均支持虚拟防火墙，以下为型号及支持情况
型号
NetScreen 500
NetScreen 5200 最多500个
NetScreen 5400 最多500个
ISG 1000
ISG 2000
支持情况
最多25个
最多10个
最多50个
Ø其余低端型号均不支持虚拟防火墙 ØJuniper安全产品增加虚拟防火墙功能均需购买license，价格较高

11
虚拟防火墙的好处
1、部署灵活
十分灵活的对各虚拟防火墙划分资源，配置安全策略、路由信息、管理员信 息，并且可以由各管理员对各自的虚拟防火墙进行管理，互相独立，互不影 响，对于要增加或撤消某个区域也不需修改网络结构
2、降低投资
购买一台支持虚拟防火墙的设备，可以当成若干台防火墙来使用，大大降低企 业的投资

22
我司应对策略
Ø目前仅SecPath1800F支持虚拟防火墙，07年1月后大多数型号均能支持 Ø不需要另外付费即可使用，性价比较高 Ø国内少数几个能支持虚拟防火墙厂商之一，天融信、联想不支持，东软宣称支 持，可以通过结合证书和虚拟防火墙功能来有效屏蔽国内外友商
虚拟防火墙解决方案
安全产品行销部

目录
1. 虚拟防火墙需求 2. 虚拟防火墙介绍 3. 虚拟防火墙市场机会点 4. 友商竞争分析 5. 虚拟防火墙典型配置
Table of Contents

2
虚拟防火墙需求—MPLS VPN
SecPath 1800F
VFW
VFW
VFW
VFW
数据中心

17
虚拟防火墙市场机会点
5、运营商
运营商向用户提供专线接入、主机托管等业务，需要为不同用户提供不同等级、相对独 立的安全服务。网络出口处或IDC边界部署一台SecPath1800F防火墙，采用虚拟防火墙 技术可以将一台防火墙分配给多个用户使用，并且各用户可以自主管理各自的虚拟防火 墙，配置各自的安全策略，保证用户之间的安全隔离，同时可以根据不同级别的用户分 配不同的防火墙资源，并且可以作为运营商提供的一种增值服务。