《新一代防火墻技術(shù)及應(yīng)用》課件第12章 虛擬防火墻

12.1虛擬防火墻概述12.2深信服vNGAF簡(jiǎn)介

12.3深信服vNGAF部署與管理

12.4本章小結(jié)新一代防火墻技術(shù)及應(yīng)用12學(xué)習(xí)目標(biāo)了解虛擬防火墻的產(chǎn)生了解虛擬防火墻定義及優(yōu)勢(shì)掌握虛擬防火墻技術(shù)原理掌握深信服虛擬防火墻的部署和配置本章重點(diǎn)防火墻定義及優(yōu)勢(shì)虛擬防火墻技術(shù)深信服虛擬防火墻的部署和配置本章難點(diǎn)虛擬防火墻技術(shù)深信服虛擬防火墻的部署和配置新一代防火墻技術(shù)及應(yīng)用

12.1虛擬防火墻概述新一代防火墻技術(shù)及應(yīng)用312.1虛擬防火墻概述隨著互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)和機(jī)構(gòu)的業(yè)務(wù)規(guī)模和管理復(fù)雜度都在急劇的增加，安全問(wèn)題也日益凸顯，尤其是來(lái)自web應(yīng)用的攻擊，傳統(tǒng)防火墻在部署、防護(hù)、投資、運(yùn)維等各個(gè)方面捉襟見(jiàn)肘，各個(gè)信息安全廠商開(kāi)始研發(fā)虛擬防火墻產(chǎn)品。如深信服下一代虛擬防火墻vNGAF產(chǎn)品是專(zhuān)為虛擬化云計(jì)算網(wǎng)絡(luò)安全而設(shè)計(jì)，可以無(wú)縫集成到虛擬化或云計(jì)算平臺(tái)上，滿足用戶隨需選配和靈活擴(kuò)展的安全需求，實(shí)現(xiàn)對(duì)hypervisor上二層到七層流量深度檢測(cè)和清洗，有效解決虛擬網(wǎng)絡(luò)中的區(qū)域隔離、訪問(wèn)控制、風(fēng)險(xiǎn)識(shí)別、威脅防護(hù)、漏洞檢測(cè)、應(yīng)用控制等安全需求。新一代防火墻技術(shù)及應(yīng)用412.1.1虛擬防火墻的產(chǎn)生和定義我們以MPLSVPN(多協(xié)議標(biāo)簽交換虛擬專(zhuān)網(wǎng)技術(shù))組網(wǎng)為例，介紹在新的業(yè)務(wù)模型下傳統(tǒng)防火墻是如何實(shí)現(xiàn)對(duì)各相互獨(dú)立的業(yè)務(wù)部門(mén)進(jìn)行各自獨(dú)立的安全策略部署的。業(yè)界通行的做法是在園區(qū)各業(yè)務(wù)VPN前部署防火墻來(lái)完成對(duì)各部門(mén)的安全策略部署，實(shí)現(xiàn)對(duì)部門(mén)網(wǎng)絡(luò)的訪問(wèn)控制。傳統(tǒng)的防火墻的一般部署模式如圖所示。新一代防火墻技術(shù)及應(yīng)用512.1.1虛擬防火墻的產(chǎn)生和定義然而，由于企業(yè)VPN數(shù)量眾多，而且企業(yè)業(yè)務(wù)發(fā)展迅速，顯而易見(jiàn)，這種傳統(tǒng)的防火墻部署模式會(huì)導(dǎo)致防火墻數(shù)量增多，管理不方便，已經(jīng)不太適應(yīng)現(xiàn)有的應(yīng)用環(huán)境，存在著如下的不足：·為數(shù)較多的部門(mén)劃分，導(dǎo)致企業(yè)要部署管理多臺(tái)獨(dú)立防火墻，從而致使擁有和維護(hù)成本較高；·集中放置的多個(gè)獨(dú)立防火墻將占用較多的機(jī)架空間，并且給綜合布線帶來(lái)額外的復(fù)雜度；·物理防火墻的增加意味著網(wǎng)絡(luò)中需要管理的網(wǎng)元設(shè)備的增多，勢(shì)必增加網(wǎng)絡(luò)管理的復(fù)雜度。新一代防火墻技術(shù)及應(yīng)用612.1.1虛擬防火墻的產(chǎn)生和定義由于傳統(tǒng)防火墻部署缺陷和應(yīng)用的不足，以及虛擬化技術(shù)的普遍性發(fā)展，為了更加適應(yīng)新業(yè)務(wù)模式的需要，虛擬防火墻技術(shù)應(yīng)運(yùn)而生。虛擬防火墻就是可以將一臺(tái)防火墻在邏輯上劃分成多臺(tái)虛擬的防火墻，每個(gè)虛擬防火墻系統(tǒng)都可以被看成是一臺(tái)完全獨(dú)立的防火墻設(shè)備，可擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫(kù)等。虛擬防火墻可以分為軟件虛擬防火墻和硬件虛擬防火墻。新一代防火墻技術(shù)及應(yīng)用712.1.1虛擬防火墻的產(chǎn)生和定義虛擬防火墻誕生以后，對(duì)用戶來(lái)說(shuō)其部署模式變?yōu)槿鐖D所示形式。在MPLS網(wǎng)絡(luò)環(huán)境中，在PE與CE之間部署一臺(tái)物理防火墻。利用邏輯劃分的多個(gè)防火墻實(shí)例來(lái)部署多個(gè)業(yè)務(wù)VPN的不同安全策略。這樣的組網(wǎng)模式極大地減少了用戶擁有成本。隨著業(yè)務(wù)的發(fā)展，當(dāng)用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門(mén)時(shí)，可以通過(guò)添加或者減少防火墻實(shí)例的方式十分靈活地解決后續(xù)網(wǎng)絡(luò)擴(kuò)展問(wèn)題，在一定程度上極大地降低了網(wǎng)絡(luò)安全部署的復(fù)雜度。另一方面，由于以邏輯的形式取代了網(wǎng)絡(luò)中的多個(gè)物理防火墻，極大地減少了企業(yè)運(yùn)維中需要管理維護(hù)的網(wǎng)絡(luò)設(shè)備，簡(jiǎn)化了網(wǎng)絡(luò)管理的復(fù)雜度，減少了誤操作的可能性。新一代防火墻技術(shù)及應(yīng)用812.1.2虛擬防火墻的優(yōu)勢(shì)和安全隱患通過(guò)上述對(duì)虛擬防火墻的介紹，可以看出虛擬防火墻與傳統(tǒng)的防火墻相比，存在著如下優(yōu)勢(shì)：(1)通過(guò)一臺(tái)防火墻虛擬多個(gè)邏輯防火墻，降低了投資成本；(2)通過(guò)邏輯管理虛擬防火墻設(shè)備，體現(xiàn)了靈活性和擴(kuò)展性；(3)通過(guò)虛擬化統(tǒng)一管理平臺(tái)，管理員只需對(duì)一臺(tái)防火墻進(jìn)行管理，大大減輕了工作量，減少了故障點(diǎn)；(4)虛擬防火墻作為產(chǎn)品和服務(wù)供應(yīng)是MSSP(管理安全服務(wù)供應(yīng)商)服務(wù)模式的體現(xiàn)。新一代防火墻技術(shù)及應(yīng)用912.1.2虛擬防火墻的優(yōu)勢(shì)和安全隱患虛擬防火墻雖然有很多優(yōu)勢(shì)，但同時(shí)也存在著一些安全隱患：(1)虛擬化產(chǎn)品本身的安全性不足則會(huì)帶來(lái)黑客使用隱患；(2)虛擬化安全產(chǎn)品的可控性是產(chǎn)品使用的關(guān)鍵點(diǎn)，尤其是關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)中的應(yīng)用；(3)虛擬化產(chǎn)品的管理需要較為嚴(yán)格的應(yīng)用管理規(guī)范，從而為虛擬化產(chǎn)品的使用提供管理保障。新一代防火墻技術(shù)及應(yīng)用1012.1.3虛擬防火墻技術(shù)原理虛擬化技術(shù)的實(shí)現(xiàn)形式是在系統(tǒng)中加入一個(gè)虛擬化層，將下層的資源抽象成另一形式的資源，提供給上層使用。防火墻虛擬化就是使軟件和硬件相互分離，把軟件從主要安裝硬件中分離出來(lái)，使得上層虛擬應(yīng)用防火墻系統(tǒng)可以直接運(yùn)行在虛擬環(huán)境上，可允許多個(gè)應(yīng)用防火墻系統(tǒng)同時(shí)運(yùn)行在一個(gè)物理防火墻主機(jī)上。虛擬防火墻技術(shù)原理如圖所示。新一代防火墻技術(shù)及應(yīng)用11虛擬化平臺(tái)上物理CPU可以虛擬出多個(gè)邏輯CPU，虛擬防火墻和虛擬CPU的協(xié)同需求一般基于虛擬防火墻系統(tǒng)處理的業(yè)務(wù)和性能需求進(jìn)行按需分配，以實(shí)現(xiàn)多個(gè)虛擬防火墻同時(shí)運(yùn)行在一個(gè)硬件平臺(tái)上。

12.2深信服vNGAF簡(jiǎn)介新一代防火墻技術(shù)及應(yīng)用1212.2深信服vNGAF簡(jiǎn)介深信服新一代防火墻虛擬化產(chǎn)品，以下簡(jiǎn)稱(chēng)vNGAF(亦可稱(chēng)為vAF)，是為了滿足當(dāng)前日益增長(zhǎng)的數(shù)據(jù)中心和服務(wù)器虛擬化而推出的一款更易于在虛擬化環(huán)境部署、更好地針對(duì)虛擬化網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)系統(tǒng)進(jìn)行安全防護(hù)的防火墻產(chǎn)品。深信服vNGAF是面向應(yīng)用層設(shè)計(jì)的虛擬化新一代防火墻，可以對(duì)hypervisor平臺(tái)上虛擬機(jī)間的流量進(jìn)行雙向檢測(cè)，并深入到數(shù)據(jù)內(nèi)容層面的全面風(fēng)險(xiǎn)核查，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備L2到L7完整安全防護(hù)能力，不僅能夠全面替代傳統(tǒng)防火墻，同時(shí)智能融合了IPS、WAF、防病毒、漏洞檢測(cè)、僵尸網(wǎng)絡(luò)檢測(cè)、數(shù)據(jù)防泄密、應(yīng)用控制、URL過(guò)濾、服務(wù)器風(fēng)險(xiǎn)識(shí)別等功能，同時(shí)創(chuàng)新的單次解析架構(gòu)保障了強(qiáng)勁的應(yīng)用層安全處理能力，實(shí)現(xiàn)了在數(shù)據(jù)中心云平臺(tái)等大流量場(chǎng)景下的一體化安全防護(hù)。新一代防火墻技術(shù)及應(yīng)用1312.2.1vNGAF產(chǎn)品說(shuō)明目前，深信服vNGAF產(chǎn)品有AF5.8R2和AF6.1R1兩個(gè)版本，AF5.8R2是通用版，AF6.1R1是升級(jí)版，兩者的部署和配置基本相同。vNGAF是基于VmwareESXi5.5進(jìn)行開(kāi)發(fā)和測(cè)試的，支持部署在VMwareESXi5.1～5.5的虛擬環(huán)境中，部署vNGAF的VMware主機(jī)至少需要有40GB的硬盤(pán)空間剩余。vNGAF提供一個(gè)用于在VMware部署的OVA模板，可以通過(guò)VMware管理平臺(tái)“部署OVF模板”部署到VMware虛擬環(huán)境中。部署vNGAF需要配合部署一個(gè)授權(quán)服務(wù)器的虛擬主機(jī)，授權(quán)服務(wù)器使用USBKEY給vNGAF進(jìn)行安全防護(hù)功能的授權(quán)。vNGAF不對(duì)VMware的虛擬機(jī)配置和操作(如克隆、快照、遷移等)進(jìn)行限制，管理員可以通過(guò)VMware的這些常用操作對(duì)vNGAF的部署和配置進(jìn)行簡(jiǎn)易靈活的修改。新一代防火墻技術(shù)及應(yīng)用1412.2.1vNGAF產(chǎn)品說(shuō)明1.vNGAF配置管理(1)管理員可以通過(guò)VMware管理界面的控制臺(tái)進(jìn)行管理IP/網(wǎng)關(guān)的配置，也可以查看vNGAF基本的網(wǎng)絡(luò)配置(如路由、ARP、IP等)和進(jìn)行網(wǎng)絡(luò)互通的測(cè)試(如ping、traceroute)。(2)管理員通過(guò)VMware給vNGAF設(shè)置的管理IP，使用瀏覽器訪問(wèn)vNGAF的管理控制臺(tái)，可以對(duì)vNGAF的網(wǎng)絡(luò)、部署方式、安全防護(hù)策略等進(jìn)行專(zhuān)業(yè)化的配置。(3)在vNGAF管理控制臺(tái)上管理員根據(jù)需要可以為vNGAF配置更多的管理方式，如SSH、SNMP等。新一代防火墻技術(shù)及應(yīng)用1512.2.1vNGAF產(chǎn)品說(shuō)明2.產(chǎn)品設(shè)計(jì)理念(1)更精細(xì)的應(yīng)用層安全控制：·貼近國(guó)內(nèi)應(yīng)用、持續(xù)更新的應(yīng)用識(shí)別規(guī)則庫(kù)；·識(shí)別內(nèi)外網(wǎng)超過(guò)1500多種應(yīng)用、3000多種動(dòng)作；·支持包括AD域、Radius等8種用戶身份識(shí)別方式；·面向用戶與應(yīng)用策略配置，減少錯(cuò)誤配置的風(fēng)險(xiǎn)。(2)更全面的內(nèi)容級(jí)安全防護(hù)：·基于攻擊過(guò)程的服務(wù)器保護(hù)，防御黑客掃描、入侵、破壞三部曲；·強(qiáng)化的Web應(yīng)用安全，支持多種SQL注入防范、XSS攻擊、CSRF漏洞、權(quán)限控制等；·完整的終端安全保護(hù)，支持漏洞、病毒防護(hù)等；·雙向內(nèi)容檢測(cè)，功能防御策略智能聯(lián)動(dòng)。(3)更高性能的應(yīng)用層處理能力：·單次解析架構(gòu)實(shí)現(xiàn)報(bào)文一次拆解和匹配；·多核并行處理技術(shù)提升應(yīng)用層分析速度；·Regex正則表達(dá)引擎提升規(guī)則解析效率；·全新技術(shù)架構(gòu)實(shí)現(xiàn)應(yīng)用層萬(wàn)兆處理能力。新一代防火墻技術(shù)及應(yīng)用1612.2.2vNGAF產(chǎn)品功能特色1.可視的網(wǎng)絡(luò)安全情況：vNGAF獨(dú)創(chuàng)的應(yīng)用可視化技術(shù)，可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過(guò)去只能通過(guò)IP地址來(lái)控制的尷尬，即使加密過(guò)的數(shù)據(jù)流也能應(yīng)付自如。1)可視化的網(wǎng)絡(luò)應(yīng)用；2)可視化的業(yè)務(wù)和終端安全；3)智能用戶身份識(shí)別；4)面向用戶與應(yīng)用的訪問(wèn)控制策略；5)基于應(yīng)用的流量管理。新一代防火墻技術(shù)及應(yīng)用1712.2.2vNGAF產(chǎn)品功能特色2.強(qiáng)化的應(yīng)用層攻擊防護(hù)：1)基于應(yīng)用的深度入侵防御；2)強(qiáng)化的Web攻擊防護(hù)；3)全面的終端安全保護(hù)；4)獨(dú)特的雙向內(nèi)容檢測(cè)技術(shù)；5)智能的網(wǎng)絡(luò)安全防御體系；6)更高效的應(yīng)用層處理能力；7)涵蓋傳統(tǒng)安全功能。新一代防火墻技術(shù)及應(yīng)用1812.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢(shì)1.深度內(nèi)容解析vNGAF的灰度威脅識(shí)別技術(shù)不但可以將數(shù)據(jù)包還原的內(nèi)容級(jí)別進(jìn)行全面的威脅檢測(cè)，而且還可以針對(duì)黑客入侵過(guò)程中使用的不同攻擊方法進(jìn)行關(guān)聯(lián)分析，從而精確定位出一個(gè)黑客的攻擊行為，有效阻斷威脅風(fēng)險(xiǎn)的發(fā)生。灰度威脅識(shí)別技術(shù)改變了傳統(tǒng)IPS等設(shè)備防御威脅種類(lèi)單一，威脅檢測(cè)經(jīng)常出現(xiàn)漏報(bào)、誤報(bào)的問(wèn)題，可以幫助用戶最大程度地減少風(fēng)險(xiǎn)短板的出現(xiàn)，保證業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。新一代防火墻技術(shù)及應(yīng)用1912.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢(shì)2.雙向內(nèi)容檢測(cè)深信服的雙向內(nèi)容檢測(cè)技術(shù)，主要是針對(duì)攻擊事件發(fā)生前的預(yù)防以及攻擊事件發(fā)生后的檢測(cè)補(bǔ)救措施，通過(guò)對(duì)服務(wù)器發(fā)起的請(qǐng)求以及服務(wù)器的回復(fù)包進(jìn)行雙向內(nèi)容檢測(cè)，使得敏感數(shù)據(jù)信息不被外發(fā)，黑客達(dá)不到攻擊的最終目的。新一代防火墻技術(shù)及應(yīng)用2012.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢(shì)3.分離平面設(shè)計(jì)分離平面設(shè)計(jì)和內(nèi)容檢測(cè)平面如圖所示。新一代防火墻技術(shù)及應(yīng)用2112.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢(shì)3.分離平面設(shè)計(jì)vNGAF通過(guò)軟件設(shè)計(jì)將網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)處理相分離，在底層通過(guò)以應(yīng)用識(shí)別模塊為基礎(chǔ)，對(duì)所有網(wǎng)卡接收到的數(shù)據(jù)進(jìn)行識(shí)別，再通過(guò)抓包驅(qū)動(dòng)把需要處理的應(yīng)用數(shù)據(jù)報(bào)文抓取到應(yīng)用層，如果應(yīng)用層發(fā)生數(shù)據(jù)處理失敗的情況，也不會(huì)影響到網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)數(shù)據(jù)報(bào)文的高效、可靠處理。新一代防火墻技術(shù)及應(yīng)用2212.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢(shì)4.單次解析架構(gòu)單次解析架構(gòu)如圖所示。新一代防火墻技術(shù)及應(yīng)用2312.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢(shì)要進(jìn)行應(yīng)用層威脅過(guò)濾，就必須將數(shù)據(jù)報(bào)文重組才能檢測(cè)，而報(bào)文重組、特征檢測(cè)都會(huì)極大地消耗內(nèi)存和CPU，因而UTM的多引擎、多次解析架構(gòu)工作效率低下。于是，vNGAF所采用的單次解析引擎通過(guò)統(tǒng)一威脅特征、統(tǒng)一匹配引擎，針對(duì)每個(gè)數(shù)據(jù)包做到了只有一次報(bào)文重組和特征匹配，消除了重復(fù)性工作對(duì)內(nèi)存和資源的占用，從而系統(tǒng)的工作效率提高了70%～80%。新一代防火墻技術(shù)及應(yīng)用2412.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢(shì)5.多核并行處理現(xiàn)在CPU核越來(lái)越多，從雙核到4核，再?gòu)?核到8核、16核，現(xiàn)在已有128核的CPU了。這樣來(lái)看，如果1個(gè)核能夠做到1個(gè)GB，那么16個(gè)核不就能夠超過(guò)10個(gè)GB了嗎?但是通常設(shè)備性能并不能夠根據(jù)核的增加而迅速增加。因?yàn)殡m然各個(gè)核物理上是獨(dú)立的，但是有很多資源是共享的，包括CPU的Cache、內(nèi)存，這些核在訪問(wèn)共享資源的時(shí)候是要等其他核釋放資源的，因此很多工作只能串行完成。多核并行處理如圖所示。新一代防火墻技術(shù)及應(yīng)用2512.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢(shì)同時(shí)vNGAF的多核并行處理技術(shù)進(jìn)行了大量的優(yōu)化工作——減少臨界資源的訪問(wèn)，除了在軟件處理流程的設(shè)計(jì)上盡量減少臨界資源以及臨界資源的訪問(wèn)周期，還需要充分利用讀寫(xiě)鎖、原子操作、內(nèi)存鏡像等機(jī)制來(lái)提高臨界資源的訪問(wèn)效率。新一代防火墻技術(shù)及應(yīng)用2612.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢(shì)6.智能聯(lián)動(dòng)技術(shù)智能聯(lián)動(dòng)的本義是指通過(guò)各個(gè)系統(tǒng)協(xié)調(diào)運(yùn)作使系統(tǒng)集成實(shí)現(xiàn)數(shù)據(jù)上的共享，便于統(tǒng)一分析處理，成功實(shí)現(xiàn)多個(gè)系統(tǒng)之間的協(xié)同工作，使得各個(gè)子系統(tǒng)之間進(jìn)行智能聯(lián)動(dòng)成為可能，更大地發(fā)揮了單個(gè)子系統(tǒng)的作用，真正使多個(gè)子系統(tǒng)結(jié)合成一個(gè)有機(jī)整體。深信服的智能聯(lián)動(dòng)技術(shù)正是基于此原理，將防火墻技術(shù)、入侵檢測(cè)(IPS)、Web應(yīng)用防護(hù)系統(tǒng)(WAF)功能進(jìn)行組合，動(dòng)態(tài)生成防火墻規(guī)則，發(fā)揮更大的防護(hù)作用。其智能聯(lián)動(dòng)技術(shù)原理如圖所示。新一代防火墻技術(shù)及應(yīng)用2712.2.3vNGAF產(chǎn)品技術(shù)優(yōu)勢(shì)7.Regex正則引擎vNGAF使用正則表達(dá)式對(duì)流量的內(nèi)容進(jìn)行匹配，正則表達(dá)式是一種識(shí)別特定模式數(shù)據(jù)的方法，可以精確識(shí)別網(wǎng)絡(luò)中的攻擊。但經(jīng)我們研究分析，業(yè)界已有的正則表達(dá)式匹配方法，其速度一般比較慢，制約了AF設(shè)備整機(jī)速度的提高。為此，深信服設(shè)計(jì)并實(shí)現(xiàn)了全新的SangforRegex正則引擎，把正則表達(dá)式的匹配速度提高到數(shù)十Gb/s，比PCRE和Google的RE2等知名引擎快數(shù)十倍，達(dá)到業(yè)界領(lǐng)先水平。整體而言，SangforRegex大幅降低了CPU占用率，提高AF的整機(jī)吞吐，從而更高速地處理客戶業(yè)務(wù)數(shù)據(jù)。這項(xiàng)技術(shù)尤其適合對(duì)每秒吞吐量要求非常高的場(chǎng)合，如運(yùn)營(yíng)商、電商等。新一代防火墻技術(shù)及應(yīng)用28

12.3深信服vNGAF部署與管理新一代防火墻技術(shù)及應(yīng)用2912.3深信服vNGAF部署與管理

深信服虛擬防火墻vNGAF產(chǎn)品是專(zhuān)為虛擬化平臺(tái)網(wǎng)絡(luò)安全而設(shè)計(jì)的，不需要依賴專(zhuān)用的硬件，可以以軟件鏡像的方式，完美支持在VMware、KVM、XEN等服務(wù)器虛擬化環(huán)境下的部署。虛擬化軟件設(shè)備支持路由、單臂等部署方式，針對(duì)不同租戶開(kāi)啟一個(gè)對(duì)應(yīng)的虛擬機(jī)鏡像，通過(guò)集中管理平臺(tái)開(kāi)通虛擬設(shè)備授權(quán)，然后配置vSwitch連通網(wǎng)絡(luò)，只需數(shù)分鐘即可為不同租戶提供各種增值網(wǎng)絡(luò)服務(wù)。新一代防火墻技術(shù)及應(yīng)用3012.3.1vNGAF支持多種虛擬化平臺(tái)vNGAF支持在多種虛擬化云平臺(tái)環(huán)境提供安全服務(wù)，可以以虛機(jī)的方式智能融合到Vmware/KVM/XEN等虛擬化平臺(tái)，提供對(duì)這些平臺(tái)上全面的網(wǎng)絡(luò)安全保護(hù)，并支持虛擬機(jī)克隆、漂移等功能，滿足OpenStack等云管理平臺(tái)的統(tǒng)一管理要求；vNGAF支持在公有云平臺(tái)的在線使用，阿里云和亞馬遜云上的租戶可以在線選配深信服vNGAF服務(wù)，實(shí)現(xiàn)云中業(yè)務(wù)二層到七層全面專(zhuān)業(yè)的安全保障。新一代防火墻技術(shù)及應(yīng)用3112.3.1vNGAF支持多種虛擬化平臺(tái)1.vNGAF產(chǎn)品所含五大組件(1)授權(quán)中心(VLS)：深信服虛擬防火墻授權(quán)中心提供了對(duì)所有購(gòu)買(mǎi)的軟件防火墻防護(hù)資源的集中授權(quán)服務(wù)，需要和授權(quán)KEY配合使用，從而實(shí)現(xiàn)對(duì)資源的讀取和分配，該中心以虛擬主機(jī)OVA模板提供給客戶。(2)授權(quán)KEY(USBKEY)：深信服虛擬防火墻授權(quán)KEY中存儲(chǔ)了所購(gòu)買(mǎi)的防護(hù)資源的授權(quán)信息，授權(quán)信息由深信服統(tǒng)一頒發(fā)并具有唯一性，能夠被授權(quán)中心讀取使用。(3)集中管理平臺(tái)(vNGAFvCenter)：集中管理平臺(tái)實(shí)現(xiàn)對(duì)全網(wǎng)虛擬化軟件防火墻的集中統(tǒng)一運(yùn)維管理。(4)虛擬防火墻軟件(vNGAF)：虛擬防火墻軟件是虛擬化云計(jì)算平臺(tái)上安全防護(hù)的實(shí)體，以虛擬主機(jī)OVA模板倒入大虛擬化平臺(tái)，實(shí)現(xiàn)L2～L7的安全核查和防護(hù)。(5)vNGAF插件(Plug-in)：與VMsafe結(jié)合的插件，主要用作和VMware的VMsafe接口實(shí)現(xiàn)聯(lián)動(dòng)，實(shí)現(xiàn)從VMware底層引流到vNGAF進(jìn)行檢測(cè)和清洗，同時(shí)實(shí)現(xiàn)干凈流量的回注。新一代防火墻技術(shù)及應(yīng)用3212.3.1vNGAF支持多種虛擬化平臺(tái)2.vNGAF產(chǎn)品優(yōu)勢(shì)(1)虛擬網(wǎng)絡(luò)安全區(qū)域劃分。利用vNGAF可以在虛擬化網(wǎng)絡(luò)內(nèi)部定義清晰的區(qū)域和邊界，設(shè)置不同的安全等級(jí)，制定嚴(yán)格的訪問(wèn)控制策略，防止虛擬網(wǎng)絡(luò)內(nèi)部不同區(qū)域之間的越權(quán)訪問(wèn)。(2)安全策略動(dòng)態(tài)跟隨遷移。vNGAF以虛擬機(jī)的形式存在于虛擬化云平臺(tái)中，支持vCenter和vmotion的監(jiān)管，滿足在虛擬化平臺(tái)內(nèi)動(dòng)態(tài)部署和遷移，無(wú)論是vNGAF自身或者被保護(hù)的VM出現(xiàn)漂移，安全策略都能實(shí)時(shí)跟隨并保障業(yè)務(wù)暢通，極大地滿足虛擬網(wǎng)絡(luò)的安全和可靠性要求。(3)全面可視的應(yīng)用層安全。在虛擬化環(huán)境應(yīng)用只與虛擬層交互，而與真正的硬件隔離，導(dǎo)致應(yīng)用層的安全威脅缺乏監(jiān)管而泛濫。vNGAF提供全面、專(zhuān)業(yè)、可視的應(yīng)用層安全識(shí)別和防護(hù)能力，有效識(shí)別針對(duì)虛擬平臺(tái)業(yè)務(wù)應(yīng)用的安全威脅，并及時(shí)清除風(fēng)險(xiǎn)內(nèi)容。(4)防止虛擬機(jī)之間橫向攻擊。虛擬機(jī)之間的通信可能直接在虛擬平臺(tái)內(nèi)部完成，這也導(dǎo)致了云數(shù)據(jù)中心的安全設(shè)備無(wú)法感知虛擬機(jī)之間的相互攻擊。vNGAF可以制定不同虛擬機(jī)區(qū)域(甚至細(xì)化到某臺(tái)虛擬機(jī))的安全防護(hù)策略，有效防御虛擬機(jī)之間的安全風(fēng)險(xiǎn)向橫向擴(kuò)散。新一代防火墻技術(shù)及應(yīng)用3312.3.1vNGAF支持多種虛擬化平臺(tái)2.vNGAF產(chǎn)品優(yōu)勢(shì)(5)防范南北向安全風(fēng)險(xiǎn)。出口安全設(shè)備提供了全局安全策略，但可能無(wú)法針對(duì)某些虛擬機(jī)或區(qū)域做到很細(xì)，來(lái)自互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)依然嚴(yán)峻，對(duì)于云租戶來(lái)說(shuō)，更需要對(duì)自身業(yè)務(wù)系統(tǒng)的安全負(fù)責(zé)。vNGAF具備二層到七層全面的安全功能，包括防火墻、WAF、IPS、防病毒、僵尸識(shí)別、漏洞識(shí)別等功能，有效防止外部網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)向內(nèi)部滲透，同時(shí)避免虛擬機(jī)上的安全風(fēng)險(xiǎn)向外蔓延。(6)實(shí)時(shí)漏洞檢測(cè)防御。云平臺(tái)業(yè)務(wù)系統(tǒng)不斷更新、新的業(yè)務(wù)持續(xù)上線，都會(huì)引入新的安全風(fēng)險(xiǎn)，而這些風(fēng)險(xiǎn)若不能及時(shí)發(fā)現(xiàn)和加固的話，極有可能會(huì)被黑客利用從而成功入侵系統(tǒng)。vNGAF提供了實(shí)時(shí)漏洞檢測(cè)功能，可以快速識(shí)別Hypervisor平臺(tái)和虛擬機(jī)業(yè)務(wù)系統(tǒng)的0DAY漏洞，及時(shí)防御黑客利用0DAY漏洞的入侵行為，通過(guò)虛擬補(bǔ)丁的方式，避免了正常打補(bǔ)丁對(duì)業(yè)務(wù)正常運(yùn)行的影響。(7)支持多種虛擬云端環(huán)境。vNGAF支持集成在VMware、KVM、XEN等多種虛擬化平臺(tái)來(lái)提供安全服務(wù)，支持由Openstack的統(tǒng)一管理，并滿足在阿里云、亞馬遜云等公有云平臺(tái)在線應(yīng)用。(8)靈活適配安全防護(hù)需求。vNGAF滿足云數(shù)據(jù)中心用戶按需選配安全服務(wù)，可以跟隨業(yè)務(wù)發(fā)展的需求而靈活擴(kuò)展，幫助用戶最大程度節(jié)省安全建設(shè)的初始投資，并滿足用戶個(gè)性化安全防護(hù)和運(yùn)維的需求。新一代防火墻技術(shù)及應(yīng)用3412.3.2vNGAF授權(quán)服務(wù)器部署與配置vNGAF支持部署在VMwareESXi5.1，5.5，6.0的虛擬環(huán)境中。vNGAF提供一個(gè)可在VMware部署的OVA模板，可部署到VMware虛擬環(huán)境中。部署vNGAF需要配合部署深信服授權(quán)服務(wù)器的虛擬主機(jī)(同樣以O(shè)VA模板提供)，授權(quán)服務(wù)器使用USBKEY給vNGAF進(jìn)行安全防護(hù)功能的授權(quán)。授權(quán)服務(wù)器主要解決對(duì)虛擬化產(chǎn)品進(jìn)行合法運(yùn)行的授權(quán)方案，解決設(shè)備虛擬化后容易被盜版的問(wèn)題。新一代防火墻技術(shù)及應(yīng)用3512.3.2vNGAF授權(quán)服務(wù)器部署與配置1.部署授權(quán)服務(wù)器1)獲取USBKEY聯(lián)系儲(chǔ)運(yùn)接口人楊漢平獲取USBKEY硬件及序列號(hào)；把授權(quán)服務(wù)器的USBKEY插入到需要部署授權(quán)服務(wù)器的VMware物理主機(jī)的USB接口上。新一代防火墻技術(shù)及應(yīng)用3612.3.2vNGAF授權(quán)服務(wù)器部署與配置2)獲取授權(quán)服務(wù)器(VLS)和虛擬防火墻(vNGAF)的OVA模板獲取授權(quán)服務(wù)器(VLS)和虛擬防火墻(vNGAF)的OVA模板，可以從公司官網(wǎng)或其他渠道獲取。(1)從公司服務(wù)器獲取授權(quán)服務(wù)器(VLS)和虛擬防火墻(vNGAF)的OVA模板如圖所示。新一代防火墻技術(shù)及應(yīng)用3712.3.2vNGAF授權(quán)服務(wù)器部署與配置3)導(dǎo)入授權(quán)服務(wù)器的OVA模板通過(guò)VMware管理平臺(tái)vSphereClient(當(dāng)前支持esxi5.1-6.0版本)的【部署OVF模板】，打開(kāi)部署向?qū)?，如圖所示。新一代防火墻技術(shù)及應(yīng)用3812.3.2vNGAF授權(quán)服務(wù)器部署與配置根據(jù)向?qū)c(diǎn)擊【下一步】，使用默認(rèn)配置。向?qū)瓿珊?，彈出?dǎo)入進(jìn)度框，如圖所示。等待部署完成后，可看到虛擬機(jī)vNGAF，如圖所示。新一代防火墻技術(shù)及應(yīng)用3912.3.2vNGAF授權(quán)服務(wù)器部署與配置4)確認(rèn)當(dāng)前ESXi主機(jī)的時(shí)間與實(shí)際系統(tǒng)時(shí)間吻合確定當(dāng)前ESXi主機(jī)的時(shí)間與實(shí)際系統(tǒng)時(shí)間是吻合的，在這里強(qiáng)調(diào)一下這一步驟是不能省略的，操作界面如圖所示。新一代防火墻技術(shù)及應(yīng)用4012.3.2vNGAF授權(quán)服務(wù)器部署與配置5)在EXSi主機(jī)上插入VLS的USB-KEY在EXSi主機(jī)上插圖VLS的USB-KEY，在vSphereClient中選擇導(dǎo)入的VLS虛擬機(jī)，選擇【編輯虛擬機(jī)配置】，如圖所示。新增USB控制器，在添加硬件界面中，點(diǎn)擊【添加】按鈕，選擇【USB控制器】，如圖所示。新一代防火墻技術(shù)及應(yīng)用4112.3.2vNGAF授權(quán)服務(wù)器部署與配置6)再次修改VLS虛擬機(jī)配置并在USB設(shè)備列表中選擇USB-KEY再次修改VLS虛擬機(jī)配置，新增USB設(shè)備，在添加硬件界面中點(diǎn)擊【添加】按鈕，選擇【USB設(shè)備】，并在USB設(shè)備列表中選擇USB-KEY后確認(rèn)新增，如圖所示。新一代防火墻技術(shù)及應(yīng)用4212.3.2vNGAF授權(quán)服務(wù)器部署與配置7)配置授權(quán)服務(wù)器的IP地址首先啟動(dòng)授權(quán)服務(wù)器，如圖所示。打開(kāi)授權(quán)服務(wù)器控制臺(tái)，如圖所示。新一代防火墻技術(shù)及應(yīng)用4312.3.2vNGAF授權(quán)服務(wù)器部署與配置通過(guò)選擇【ManagementSetupWizard】進(jìn)入，如圖所示。選擇【SpecifyAstaticIPaddress】，進(jìn)行靜態(tài)IP地址的配置。如圖所示。新一代防火墻技術(shù)及應(yīng)用4412.3.2vNGAF授權(quán)服務(wù)器部署與配置2.授權(quán)服務(wù)器的配置1)登錄授權(quán)服務(wù)器通過(guò)配置的IP地址登錄到授權(quán)的服務(wù)器，通過(guò)瀏覽器訪問(wèn)：https://xxx.xxx.xxx.xxx/，如圖所示。新一代防火墻技術(shù)及應(yīng)用4512.3.2vNGAF授權(quán)服務(wù)器部署與配置2)導(dǎo)入授權(quán)序列號(hào)步驟1：從【授權(quán)管理】獲取USBKEY的ID號(hào)，根據(jù)這個(gè)ID從授權(quán)管理部門(mén)獲取授權(quán)序列號(hào)。如圖所示。新一代防火墻技術(shù)及應(yīng)用4612.3.2vNGAF授權(quán)服務(wù)器部署與配置步驟2：將獲取的序列號(hào)導(dǎo)入授權(quán)服務(wù)器。點(diǎn)擊【導(dǎo)入序列號(hào)】，將序列號(hào)粘貼并點(diǎn)擊【提交】按鈕，如圖所示。此時(shí)會(huì)彈出【序列號(hào)對(duì)比】窗口，如圖所示。新一代防火墻技術(shù)及應(yīng)用4712.3.2vNGAF授權(quán)服務(wù)器部署與配置步驟3：點(diǎn)擊【提交】，導(dǎo)入序列號(hào)資源成功，如圖所示。新一代防火墻技術(shù)及應(yīng)用4812.3.2vNGAF授權(quán)服務(wù)器部署與配置3)添加vNGAF設(shè)備步驟1：在【授權(quán)界面】中點(diǎn)擊【添加設(shè)備】，彈出添加授權(quán)設(shè)備對(duì)話框，如圖所示。新一代防火墻技術(shù)及應(yīng)用4912.3.2vNGAF授權(quán)服務(wù)器部署與配置步驟2：授權(quán)成功后，點(diǎn)擊【查看】可看到該設(shè)備已正確授權(quán)的信息，如圖所示。若給該設(shè)備授權(quán)的是低端設(shè)備(1核CPU2GB內(nèi)存)，則會(huì)授權(quán)失敗，如圖所示。新一代防火墻技術(shù)及應(yīng)用5012.3.2vNGAF授權(quán)服務(wù)器部署與配置若給該設(shè)備授權(quán)的是中高端設(shè)備，則提示授權(quán)成功，但資源不匹配。此時(shí)并不影響vNGAF的正常功能，只是存在授權(quán)資源浪費(fèi)的情況，如圖所示。新一代防火墻技術(shù)及應(yīng)用5112.3.2vNGAF授權(quán)服務(wù)器部署與配置點(diǎn)擊【刪除設(shè)備】，vNGAF會(huì)立即進(jìn)入初始化狀態(tài)。點(diǎn)擊【設(shè)備名稱(chēng)】，可對(duì)設(shè)備資源進(jìn)行編輯，點(diǎn)擊【提交】按鈕，編輯后的資源會(huì)立即發(fā)送給vNGAF，如圖所示。新一代防火墻技術(shù)及應(yīng)用5212.3.3vNGAF部署配置1.vNGAF的部署通過(guò)部署開(kāi)放式虛擬化格式OVF(OpenVirtualizationFormat)模板，選擇本地開(kāi)放式虛擬化設(shè)備OVA(OpenVirtualizationAppliance)模板文件，接著按向?qū)崾静襟E生成虛擬機(jī)。具體操作過(guò)程如下：1)獲取vNGAF的OVA模板從公司官網(wǎng)或其他渠道獲取vNGAF的OVA模板(當(dāng)前版本是AF6.1R1)，如圖所示。新一代防火墻技術(shù)及應(yīng)用5312.3.3vNGAF部署配置2)部署OVA模板步驟1：部署OVF模板。通過(guò)VMware管理平臺(tái)的【部署OVF模板】，打開(kāi)部署向?qū)?，如圖所示。新一代防火墻技術(shù)及應(yīng)用5412.3.3vNGAF部署配置步驟2：選擇OVF模板文件。在【從文件或URL部署】中點(diǎn)擊【瀏覽】按鈕，選擇本地vNGAF的OVF模板，如圖所示。選擇OVF模板文件。然后點(diǎn)擊【下一步】，從部署的信息中可以看到vNGAF相關(guān)的產(chǎn)品信息，如圖所示。新一代防火墻技術(shù)及應(yīng)用5512.3.3vNGAF部署配置步驟3：接下來(lái)，根據(jù)向?qū)нx擇下一步的操作，在這個(gè)過(guò)程中使用默認(rèn)配置即可。設(shè)置完成后，彈出導(dǎo)入進(jìn)度框，如圖所示。步驟4：完成部署。等部署完成后，可看到虛擬機(jī)vNGAF(AF6.1_R1)，如圖所示。新一代防火墻技術(shù)及應(yīng)用5612.3.3vNGAF部署配置3)配置vNGAF通過(guò)vSpereClient客戶端登錄到服務(wù)器，選擇前面新建好的虛擬機(jī)(AF6.1-R1)，點(diǎn)擊【編輯虛擬機(jī)設(shè)置】，在彈出框中可修改vNGAF的硬件配置，如CPU、內(nèi)存、網(wǎng)卡數(shù)量等的設(shè)置，如圖所示。新一代防火墻技術(shù)及應(yīng)用5712.3.3vNGAF部署配置配置完成后，啟動(dòng)虛擬機(jī)。開(kāi)機(jī)完成后，打開(kāi)控制臺(tái)，如圖所示。這個(gè)控制臺(tái)界面主要用于配置vNGAF管理IP，同時(shí)也防止虛擬環(huán)境下有多臺(tái)vNGAF時(shí)發(fā)生IP沖突。默認(rèn)情況下，管理IP與物理AF一樣，都是51。新一代防火墻技術(shù)及應(yīng)用5812.3.3vNGAF部署配置選擇上圖中的【StartCommandLineInterface】選項(xiàng)，則進(jìn)入命令行界面。此界面主要提供了網(wǎng)線配置相關(guān)的命令工具集，如圖所示。新一代防火墻技術(shù)及應(yīng)用5912.3.3vNGAF部署配置上圖中選擇【StaticIPAddress】，則進(jìn)入配置管理IP界面。此界面默認(rèn)針對(duì)eth0口進(jìn)行IP、Mask、GeteWay等信息配置。如圖所示，配置的IP為：42、掩碼為22、網(wǎng)關(guān)為：54，網(wǎng)關(guān)配置相當(dāng)于增加了一條默認(rèn)路由。新一代防火墻技術(shù)及應(yīng)用6012.3.3vNGAF部署配置配置IP成功后，有提示信息，點(diǎn)擊【OK】即可，如圖所示。選擇【ShowCurrentSettings】，會(huì)彈出信息框，如圖所示。里面包括當(dāng)前配置的管理口、管理口MAC地址、管理IP地址、掩碼、網(wǎng)關(guān)等基本信息。新一代防火墻技術(shù)及應(yīng)用6112.3.3vNGAF部署配置通過(guò)按Ctrl+Alt+F1組合鍵，切換回原始的命令行界面以進(jìn)入后臺(tái)，如圖所示。新一代防火墻技術(shù)及應(yīng)用6212.3.4vNGAF的管理1.登錄vNGAF登錄vNGAF，通過(guò)之前配置的管理IP地址使用瀏覽器訪問(wèn)進(jìn)行登錄(https://xxx.xxx.xxx.xxx/)，如圖所示。新一代防火墻技術(shù)及應(yīng)用6312.3.4vNGAF的管理2.配置管理與授權(quán)第一次登錄vNGAF，如果vNGAF沒(méi)有獲取授權(quán)，此時(shí)網(wǎng)絡(luò)業(yè)務(wù)是中斷的，進(jìn)入了初始化狀態(tài)，會(huì)有提示信息。如圖所示。新一代防火墻技術(shù)及應(yīng)用6412.3.4vNGAF的管理獲取授權(quán)后，所有vNGAF的前端控制臺(tái)都需要重新登錄，重新登錄控制臺(tái)后，發(fā)現(xiàn)vNGAF已正確獲取授權(quán)，進(jìn)入授權(quán)狀態(tài)，如圖所示。授權(quán)狀態(tài)時(shí)vNGAF的使用與物理AF一致，這里不再贅述。新一代防火墻技術(shù)及應(yīng)用6512.3.4vNGAF的管理授權(quán)之后，重新登錄，在vNGAF管理界面的上端有授權(quán)客戶和授權(quán)有效期的提示，如圖所示。新一代防火墻技術(shù)及應(yīng)用6612.3.4vNGAF的管理查看【系統(tǒng)】/【系統(tǒng)配置】/【授權(quán)信息】頁(yè)面，該頁(yè)面是只讀頁(yè)面。授權(quán)的資源不可在此處編輯(可在授權(quán)服務(wù)器上編輯)，如圖所示。新一代防火墻技術(shù)及應(yīng)用6712.3.4vNGAF的管理若因?yàn)槟撤N原因(如網(wǎng)絡(luò)不可達(dá)等)24小時(shí)未收到授權(quán)服務(wù)器的心跳信息，此時(shí)vNGAF從授權(quán)切換到非法狀態(tài)，如圖所示。新一代防火墻技術(shù)及應(yīng)用6812.3.5vNGAF授權(quán)特別說(shuō)明授權(quán)狀態(tài)這一點(diǎn)十分重要，要能分辨出不同狀態(tài)時(shí)vNGAF的表現(xiàn)以便進(jìn)行不同支出，以及不同情況進(jìn)行狀態(tài)的切換。vNGAF的授權(quán)狀態(tài)是圍繞表和圖的條件進(jìn)行轉(zhuǎn)換的。新一代防火墻技術(shù)及應(yīng)用6912.3.5vNGAF授權(quán)特別說(shuō)明狀態(tài)的詳細(xì)說(shuō)明：·vNGAF首次開(kāi)機(jī)后默認(rèn)進(jìn)入初始化狀態(tài)，此時(shí)接口和IP可配置，但數(shù)據(jù)不轉(zhuǎn)發(fā)，原因處于斷網(wǎng)狀態(tài)?！氖跈?quán)服務(wù)器得到授權(quán)后，進(jìn)入授權(quán)狀態(tài)；若從授權(quán)服務(wù)器回收(刪除)授權(quán)，則vNGAF再次進(jìn)入初始化狀態(tài)?！ひ咽跈?quán)的vNGAF，由于某種原因(網(wǎng)絡(luò)不可達(dá)等)24小時(shí)內(nèi)未收到授權(quán)服務(wù)器的心跳信息，則進(jìn)入非法狀態(tài)?！?duì)處于非法狀態(tài)的vNGAF，網(wǎng)絡(luò)功能可用，但安全防護(hù)功能不再可用。若連續(xù)30天未獲得授權(quán)，數(shù)據(jù)不再轉(zhuǎn)發(fā)，進(jìn)入初始化狀態(tài)?！o(wú)論vNGAF是非法還是初始化狀態(tài)，一旦收到服務(wù)器授權(quán)信息，則進(jìn)入授權(quán)狀態(tài)。新一代防火墻技術(shù)及應(yīng)用7012.3.6vNGAF常見(jiàn)問(wèn)題與診斷1.VLS常見(jiàn)問(wèn)題與診斷問(wèn)題1：導(dǎo)入序列號(hào)后，提示系統(tǒng)時(shí)間不正確?！締?wèn)題現(xiàn)象】錯(cuò)誤提示“錯(cuò)誤：導(dǎo)入序列號(hào)時(shí)系統(tǒng)時(shí)間不正確”，如圖所示。【解決方法】方法一：請(qǐng)檢查授權(quán)服務(wù)的系統(tǒng)時(shí)間與當(dāng)前現(xiàn)實(shí)時(shí)間是否一致，若不一致請(qǐng)后臺(tái)修改系統(tǒng)時(shí)間后，重新導(dǎo)入序列號(hào)。方法二：如系統(tǒng)時(shí)間與現(xiàn)實(shí)相差幾秒，等待1分鐘后重新導(dǎo)入就可以了。新一代防火墻技術(shù)及應(yīng)用7112.3.6vNGAF常見(jiàn)問(wèn)題與診斷問(wèn)題2：導(dǎo)入序列號(hào)后提示服務(wù)/軟件過(guò)期，或提