【简介】虚拟域(VDOM),可以理解为虚拟防火墙,是一种将一台设备分为两个或两个以上虚拟设备的技术,它能起到多个独立设备的作用。VDOM可提供单独防火墙策略,在NAT/路由模式下,它可完全分开配置,从而为各连通网络或组织提供路由或VPN服务,同时VDOM之间也可以互访。设备的系统资源可以手动分配给不同的VDOM。一般常用于需要完成独立分割的多个网络,比如云环境。
假设有两家公司各有内网和外网,共用一台防火墙,那么我们就需要建立两个VDOM。
默认情况下VDOM功能是关闭的,需要用命令开启VDOM功能。
① 飞塔防火墙最新固件版本5.6.0,命令行图标在窗口右上角,点击命令行图标【>_】。
② 使用以上命令,进入全局模式,设置虚拟域状态为启用。确定后会退出并重新登录防火墙。
③ 再次登录防火墙后,可以看到左边的菜单有了很大的变化。
④ 在没有建新VDOM的情况下,在全局状态下选择菜单【系统管理】-【设定】,拉到系统设置窗口的最下方,关闭Virtual Domains开关,就可以关闭VDOM功能。
开启VDOM功能后,默认产生一个root VDOM,这是一个管理域。
① 假设有两家公司用一台防火墙,那么我们就需要建立两个VDOM,root VDOM是管理域,不算在里面。在全局状态下选择菜单【系统管理】-【VDOM】, 点击【新建】。
② 新建 VDOM-A 虚拟域,默认检测模式基于流,可以使用UTM功能。
③ 再建一个 VDOM-B 虚拟域,这里我们将检测模式设为代理,后面我们将看到两种检测模式有什么不同。
④ 建好VDOM的样子。
默认情况下所有的接口都是归root VDOM,现在我们要把这些接口分配给两个新建的VDOM。
① 在全局状态下,编辑每个内网口,通过修改虚拟局,把接口分配给VDOM-A和VDOM-B。
② 有的接口因为有相关联,只能属于 root 虚拟域,例如wan1口。
③ 当然我们还是要给root VDOM留一个管理口的。
④ VDOM-A 分配了1-4口,其中三个是设置为内网口,一个设置为外网口。
⑤ VDOM-B 分配了5-7口和wan2口,其中5-7口设置为内网口,wan2口设置为外网口。剩下wan1和DMZ口仍由root VDOM保留。
我们已经建立好两家公司用的VDOM,并将接口分配好了,下一步就是要给两家公司各自的管理帐号,由他们自己的管理员去管理配置防火墙。
① 在全局状态下,选择菜单【系统管理】-【管理员】, 点击【新建】。
② 新建VDOM-A的管理员帐号,输入帐号名称和密码,管理员配置选择prof_admin,虚拟域选择VDOM-A,建议给管理人员限制登录主机的IP地址,以防其它人知道密码修改防火墙配置。用同样的方法建立VDOM-B的管理员由帐号。
③ 管理员admin管理root VDOM,默认密码为空,这很不安全,建议编辑admin帐号,设置密码以及信任主机登录。这样就可以做到各自VDOM只能连接各自的接口,输入各自的帐号和密码进行管理。
④ 选择右上角管理员名称,点击【退出】。
⑤ 将网线接到1口中,1口是VDOM-A的内网接口,修改网卡IP地址为172.20.1.38,浏览器打开地址 https://172.20.1.1,用新建立的管理员帐号登录。
⑥ 可以象管理一台独立的防火墙一样,只是接口只有4个可用。
⑦ 连接宽带到4号口,配置1-3号口的上网策略,VDOM-A 可以上网了,仪表板里显示的内容比root VDOM里少了很多,但这不影响使用。最新版本OS5.6.0显示的接口、会话、CPU、内存状态比老版本好看多了。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
