高级篇(5.6) 01. VDOM 虚拟域 - 创建虚拟域 ❀ 飞塔 (Fortinet) 防火墙

        【简介】虚拟域(VDOM)，可以理解为虚拟防火墙，是一种将一台设备分为两个或两个以上虚拟设备的技术，它能起到多个独立设备的作用。VDOM可提供单独防火墙策略，在NAT/路由模式下，它可完全分开配置，从而为各连通网络或组织提供路由或v*n服务，同时VDOM之间也可以互访。设备的系统资源可以手动分配给不同的VDOM。一般常用于需要完成独立分割的多个网络，比如云环境。

---

  VDOM 运用环境

        假设有两家公司各有内网和外网，共用一台防火墙，那么我们就需要建立两个VDOM。

  VDOM 功能开启与关闭

        默认情况下VDOM功能是关闭的，需要用命令开启VDOM功能。

        ① 飞塔防火墙最新固件版本5.6.0，命令行图标在窗口右上角，点击命令行图标【>_】。

        ② 使用以上命令，进入全局模式，设置虚拟域状态为启用。确定后会退出并重新登录防火墙。

        ③ 再次登录防火墙后，可以看到左边的菜单有了很大的变化。

        ④ 在没有建新VDOM的情况下，在全局状态下选择菜单【系统管理】-【设定】，拉到系统设置窗口的最下方，关闭Virtual Domains开关，就可以关闭VDOM功能。

  新建 VDOM

        开启VDOM功能后，默认产生一个root VDOM，这是一个管理域。

        ① 假设有两家公司用一台防火墙，那么我们就需要建立两个VDOM，root VDOM是管理域，不算在里面。在全局状态下选择菜单【系统管理】-【VDOM】， 点击【新建】。

        ② 新建 VDOM-A 虚拟域，默认检测模式基于流，可以使用UTM功能。

        ③ 再建一个 VDOM-B 虚拟域，这里我们将检测模式设为代理，后面我们将看到两种检测模式有什么不同。

        ④ 建好VDOM的样子。

  分配接口给 VDOM

        默认情况下所有的接口都是归root VDOM，现在我们要把这些接口分配给两个新建的VDOM。

        ① 在全局状态下，编辑每个内网口，通过修改虚拟局，把接口分配给VDOM-A和VDOM-B。

        ② 有的接口因为有相关联，只能属于 root 虚拟域，例如wan1口。

        ③ 当然我们还是要给root VDOM留一个管理口的。

        ④ VDOM-A 分配了1-4口，其中三个是设置为内网口，一个设置为外网口。

        ⑤ VDOM-B 分配了5-7口和wan2口，其中5-7口设置为内网口，wan2口设置为外网口。剩下wan1和DMZ口仍由root VDOM保留。

  分配管理权限给 VDOM

        我们已经建立好两家公司用的VDOM，并将接口分配好了，下一步就是要给两家公司各自的管理帐号，由他们自己的管理员去管理配置防火墙。

        ① 在全局状态下，选择菜单【系统管理】-【管理员】， 点击【新建】。

        ② 新建VDOM-A的管理员帐号，输入帐号名称和密码，管理员配置选择prof_admin，虚拟域选择VDOM-A，建议给管理人员限制登录主机的IP地址，以防其它人知道密码修改防火墙配置。用同样的方法建立VDOM-B的管理员由帐号。

        ③ 管理员admin管理root VDOM，默认密码为空，这很不安全，建议编辑admin帐号，设置密码以及信任主机登录。这样就可以做到各自VDOM只能连接各自的接口，输入各自的帐号和密码进行管理。

        ④ 选择右上角管理员名称，点击【退出】。

        ⑤ 将网线接到1口中，1口是VDOM-A的内网接口，修改网卡IP地址为172.20.1.38，浏览器打开地址 https://172.20.1.1，用新建立的管理员帐号登录。

        ⑥ 可以象管理一*立的防火墙一样，只是接口只有4个可用。

        ⑦ 连接宽带到4号口，配置1-3号口的上网策略，VDOM-A 可以上网了，仪表板里显示的内容比root VDOM里少了很多，但这不影响使用。最新版本OS5.6.0显示的接口、会话、CPU、内存状态比老版本好看多了。

飞塔技术-老梅子   QQ：57389522

---