1usg防火墻產品基本功能特性與配置

前

言本膠片介紹了USG系列產品主要的安全技術和安全特性，以及各安全特性在USG產品上的配置。包括如：

區(qū)域，工作模式，ASPF技術，NAT技術以及一些擴展技術。Page1Copyright

?

2012Technologies

Co.,.s.培訓目標學完本課程后，您應該能：掌握USG產品的主要安全技術和安全特性掌握各安全特性在USG產品上的配置Page2Copyright

?

2012Technologies

Co.,.s.的基本概念基本功能擴展功能Page3Copyright

?

2012Technologies

Co.,.s.1.的基本概念1.安全區(qū)域工作模式會話Page4Copyright

?

2012Technologies

Co.,.s.特征邏輯區(qū)域過濾器隱藏內網(wǎng)網(wǎng)絡結構自身安全保障主動防御內網(wǎng)流量可防護嗎？路由器Copyright

?

2012Technologies

Co.,.s.分類按照形態(tài)分為硬件?按照保護對象分為?單機網(wǎng)絡按照

控制方式分為濾?狀態(tài)檢測Copyright

?

2012Technologies

Co.,.s.分類

—

濾APP數(shù)據(jù)鏈路層TCP層IP層TCP層IP層只檢測報頭IP

TCP無法關聯(lián)數(shù)據(jù)包之間關系無法適應多通道協(xié)議3.

通常

查應用層數(shù)據(jù)數(shù)據(jù)鏈路層Copyright

?

2012Technologies

Co.,.s.分類—終端發(fā)送連接請求內網(wǎng)Server對請求進行安全檢查，不通過則阻斷連接通過檢查后與Server建立連接通過檢查后與Client建立連接向發(fā)送報文A向向Server發(fā)送報文A’發(fā)送回應報文B向終端發(fā)送回應報文B’處理速度慢升級Copyright

?

2012Technologies

Co.,.s.分類—狀態(tài)檢測Host

Server

安全策略檢查記錄會話信息狀態(tài)錯誤，丟棄處理后續(xù)包速度快安全性高

TCP

ACK

TCP

SYN`TCP

ACKCopyright

?

2012Technologies

Co.,.s.Copyright

?

2012Technologies

Co.,

.s.的安全區(qū)域Page10Local區(qū)域100Trust區(qū)域85DMZ區(qū)域50UnTrust區(qū)域5接口2接口3接口4接口1用戶自定義區(qū)域Vzone0安全區(qū)域與接口關系安全區(qū)域與接口關系?是否存在兩個具有完全相同安全級別的安全區(qū)域？是否允許同一物理接口分屬于兩個不同的安全區(qū)域？的不同接口是否可以屬于同一個安全區(qū)域？Internet??G0/0/2→DMZ區(qū)域G0/0/3→Untrust區(qū)域G0/0/0→Trust區(qū)域G0/0/1→Trust區(qū)域Copyright

?

2012Technologies

Co.,.s.安全區(qū)域的方向Inbound與Outbound定義高安全級別低安全級別企業(yè)內網(wǎng)Untrust

區(qū)域InternetTrust區(qū)域OutboundInboundCopyright

?

2012Technologies

Co.,.s.接口、網(wǎng)絡和安全區(qū)域關系outboundEth1/0/0Eth2/0/0inboundoutboundinboundoutboundEth0/0/0USGLocalinboundoutboundinboundoutboundinboundoutboundVzoneTrustUntrustServerServerDMZ外部網(wǎng)絡網(wǎng)絡Page13Copyright

?

2012Technologies

Co.,.s.安全區(qū)域配置－1創(chuàng)建一個安全區(qū)域[USG2100]

firewall

zone

name

userzone設置優(yōu)先級[USG2100-zone-userzone]

set

priority

60給安全區(qū)域添加接口[USG2100-zone-userzone]

add

interface

GigabitEthernet

0/0/1Page14Copyright

?

2012Technologies

Co.,.s.安全區(qū)域配置驗證查看

安全區(qū)域配置[USG2100]display

zone

usernameusernamepriority

is

60interface

of

the

zone

is(1):GigabitEthernet0/0/1Page15Copyright

?

2012Technologies

Co.,.s.安全區(qū)域配置－2在域間下發(fā)ACL<USG2100>system-view[USG2100]

policy

interzone

trust

untrust

outbound[USG2100-policy-interzone-trust-untrust-outbound]

policy

1[USG2100-policy-interzone-trust-untrust-outbound-1]

action

permitPage16Copyright

?

2012Technologies

Co.,.s.1.的基本概念安全區(qū)域工作模式安全策略會話Page17Copyright

?

2012Technologies

Co.,.s.的三種工作模式透明模式路由模式混合模式Page18Copyright

?

2012Technologies

Co.,.s.透明模式服務器PCTrust區(qū)服務器USGPCPCUntrust區(qū)/24Page19Copyright

?

2012Technologies

Co.,.s.路由模式服務器PC外部網(wǎng)絡/24Trust區(qū)服務器USGPC54網(wǎng)絡/24PCUntrust區(qū)Page20Copyright

?

2012Technologies

Co.,.s.混合模式USG（主）網(wǎng)絡/24USG（備）VRRPTrust區(qū)服務器PC服務器PCPCUntrust區(qū)外部網(wǎng)絡/24Page21Copyright

?

2012Technologies

Co.,.s.1.的基本概念安全區(qū)域工作模式安全策略會話Page22Copyright

?

2012Technologies

Co.,.s.安全策略的匹配原則Trust區(qū)域Untrust區(qū)域客戶端服務器首包流程，做安全策略過濾Rule

0：permit源為……Rule

1：deny源為

…………缺省default策略動作為按安全策略順序進行匹配未命中會話表

執(zhí)行首包流程后續(xù)包流程，不做安全策略過濾命中會話表

執(zhí)行后續(xù)包流程Copyright

?

2012Technologies

Co.,.s.安全策略業(yè)務流程（1）Copyright

?

2012Technologies

Co.,.s.安全策略業(yè)務流程（2）Copyright

?

2012Technologies

Co.,.s.會話（Session）USG是狀態(tài)

，采用會話表維持通信狀態(tài)。會話表包括五個元素：源IP地址、源端口、目的IP地址、目的端口和協(xié)議號(如果支持虛擬

的話還有一個

-ID)。當

收到報文后，根據(jù)上述五個元素查詢會話表，并根據(jù)具體情況進行如下操作：條件操作報文的五元組匹配會話表轉發(fā)該報文報文的五元組不匹配會話表域間規(guī)則允許通過轉發(fā)該報文，并創(chuàng)建會話表表項域間規(guī)則不允許通過丟棄該報文會話Page26Copyright

?

2012Technologies

Co.,.s.會話相關命令查看 的Session信息[USG2100]

display

firewall

session

table

verboseCurrent

Total

Sessions

:

1net :public

-->

publicTTL:

00:10:00

Left:

00:10:00

Interface:InLoopBack0

NextHop:

MAC:

00-00-00-00-00-00<--packets:1269

bytes:66769

-->packets:1081

bytes:43715:2855-->00:23重置

的session<USG2100>

reset

firewall

session

tablePage27Copyright

?

2012Technologies

Co.,.s.會話相關命令Timeout(s)查看

的Session

aging-time[USG2100]

display

firewall

session

aging-timeSequence

Pre-defined-1httpAll6002….netAll600[USG2100]

firewall

session

aging-time

icmp

15Page28Copyright

?

2012Technologies

Co.,.s.長連接會話配置ACL，用于控制需要長連接會話的數(shù)據(jù)流[USG2100]

acl

3001[USG2100-acl-adv-3001]

rule

permit

tcp

source

0設置長連接的老化時間[USG2100]

firewall

long-link

aging-time

2在域間應用長連接[USG2100]

firewall

interzone

trust

untrust[USG2100-interzone-trust-untrust]

long-link

3001

inbound[USG2100]display

firewall

session

table

verboseFTP :

public

->

public

RemoteZone:

zone1

->

out

TTL:

168:00:00

Left:

168:00:00Interface:

E1.200

Nexthop:

MAC:

00-00-02-00-c8-01<--

packets:9

bytes:774

-->

packets:7

bytes:602-->:21(LongLink)Page29Copyright

?

2012Technologies

Co.,.s.的基本概念基本功能擴展功能Page30Copyright

?

2012Technologies

Co.,.s.2.的技術ASPF影響性能的指標Page31Copyright

?

2012Technologies

Co.,.s.ASPFASPF（Application

Specific

Packet

Filter）是一種改進的高級通信過濾技術，ASPF不但對報文的網(wǎng)絡層的信息進行檢測，還能對豐富的應用層協(xié)議進行深度檢測，支持多范功能，支持的協(xié)議包括：H.323協(xié)議族、業(yè)務的NAT以及安全防、SIP、H248、RTSP、HWCC及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等?；贏CL規(guī)則的

濾可以在網(wǎng)絡層和傳輸層檢測數(shù)據(jù)包，防止非法

。ASPF對應用層的協(xié)議信息進行檢測，通過

會話的狀態(tài)和檢查會話報文的協(xié)議和端

等信息，

的

。Page32Copyright

?

2012Technologies

Co.,.s.多通道協(xié)議多通道協(xié)議是指某個應用在進行通訊或提供服務時需要建立兩個以上的會話（通道），其中有一個控制通道，其他的通道是根據(jù)控制通道中雙方協(xié)商的信息動態(tài)創(chuàng)建的，一般

稱之為數(shù)據(jù)通道或子通道。多通道協(xié)議在狀態(tài)

當中需要特殊處理。單通道協(xié)議是指某個應用在進行通訊或提供服務時只需要建立一個會話的應用協(xié)議。根據(jù)TCP三次握

制，狀態(tài)

能夠

會話的五元組信息。Page33Copyright

?

2012Technologies

Co.,.s.ASPF與多通道協(xié)議用戶USGFTP

server0創(chuàng)建Servermap表項三次握手Port

89,3三次握手Port

89,3200

Port

Command

OKRETR

Sample.txt200

Port

Command

OK150

Opening

ASCII

connectionRETR

Sample.txt150

Opening

ASCII

connection檢測Servermap表項，命中表項，打開通道SYN:22787SYN:22787Page34Copyright

?

2012Technologies

Co.,.s.三元組ASPFUSG相當于一個六元組(支持

情況下，有-ID)的NAT設備，即上的每個會話的建立都需要六元組：源IP地址、源端口、目的IP地址、目的端口、協(xié)議號和

-ID。只有這些元素都具備了，會話才能建立成功，報文才能通過。而一些實時通訊工具，如、

MSN等，通過NAT設備，需要按三元組處理：源IP地址、源端口、協(xié)議號。USG為了適配類似、MSN等通訊機制，支持三元組處理方式，讓類似、MSN等的通訊方式能夠正常的穿越。除

、MSN穿越NAT設備外，其他僅使用源IP地址、源端口、協(xié)議號的會話，如TFTP，同樣需要配置

三元組ASPF。Page35Copyright

?

2012Technologies

Co.,.s.ASPF配置進入安全區(qū)域域間[USG2100]

firewall

interzone

trust

untrust打開ASPF功能[USG2100-interzone-trust-untrust]

detect

protocol[USG2100-interzone-trust-untrust]

detect

{

activex-blocking

|

java-blocking

}Page36Copyright

?

2012Technologies

Co.,.s.性能指標—吞吐量吞吐量：

能同時處理的最大數(shù)據(jù)量有效吞吐量：除掉TCP因為丟包和超時重發(fā)的數(shù)據(jù),實際的每秒傳輸有效速率Copyright

?

2012Technologies

Co.,.s.性能指標—時延到最后一個比特輸出防處理數(shù)據(jù)的速度理定義：數(shù)據(jù)包的第一個比特進入火墻的時間間隔指標，是用于測量想的情況時間間隔Smartbits

6000B第一個比特進入最后一個比特輸出Copyright

?

2012Technologies

Co.,.s.性能指標—每秒新建連接數(shù)定義：指每秒鐘可以通過

建立起來的完整TCP連接該指標是用來衡量數(shù)據(jù)流的實時處理能力Copyright

?

2012Technologies

Co.,.s.性能指標—并發(fā)連接數(shù)定義：由于是指的是針對連接進行處理報文的，并發(fā)連接數(shù)目可以同時容納的最大的連接數(shù)目，

接就是一個TCP/UDP的

。該參數(shù)是用來衡量主機和服務器間能同時建立的最大連接數(shù)Copyright

?

2012Technologies

Co.,.s.的基本概念基本功能擴展功能Page41Copyright

?

2012Technologies

Co.,.s.3.基本功能1.MAC綁定端口IDS聯(lián)動日志Page42Copyright

?

2012Technologies

Co.,.s.多業(yè)務功能交換P2P/IMUTMAVIPS安全?SNMPv2v3RMONTR069?net/SSL/HTTP(s)Copyright

?

2012?TTFeTcPhnologies

Co.,

.??路由靜態(tài)路由策略路由RIPv2OSPFv2BGPv4管理??FE,

GEVLAN?Trunk,802.1ad?ACLNAT:L2TP/GRE/IPSec/SSLLAN/WANPPPPPPoE???反

郵件URL過濾UTMs.主要功能—控制主機A服務器MACIPTCP數(shù)據(jù)載荷識別報頭標識，給出執(zhí)行措施控制操作策略訪問控制Copyright

?

2012Technologies

Co.,.s.外部網(wǎng)絡企業(yè)內網(wǎng)日志服務器企業(yè)內網(wǎng)用戶配合eLog日志

，可以為用戶提供清晰網(wǎng)絡日志和

記錄。日志審計可收集網(wǎng)絡中所有通過該設備的日志通過二進志日志格式實現(xiàn)高速日志流傳輸Copyright

?

2012Technologies

Co.,.s.防范網(wǎng)絡

主要分為四大類：流量型掃描窺探畸形報文特殊報文Packets受害主機AttackerCopyright

?

2012Technologies

Co.,.s.報文統(tǒng)計報文統(tǒng)計對于

來說，不僅要對數(shù)據(jù)流量進行

，還要對內外部網(wǎng)絡之間的連接發(fā)起情況進行檢測，因此要進行大量的統(tǒng)計、計算與分析。對報文統(tǒng)計結果的分析有如下兩個方面：專門的

事后分析日志信息。?實時完成一部分分析功能。Copyright

?

2012Technologies

Co.,.s.?創(chuàng)建是一個IP地址列表。

將檢查報文源地址，如果命中,

丟棄所有報文快速有效地

特定IP地址的用戶。表項，有如下兩種方式：通過命令行手工創(chuàng)建。通過

防范模塊或IDS模塊動態(tài)創(chuàng)建。來自的報文查找丟棄192

168

1

3Copyright

?

2012Technologies

Co.,.s.特點：根據(jù)報文的源IP地址進行過濾簡單高效可動態(tài)添加刪除Page49Copyright

?

2012Technologies

Co.,.s.靜態(tài)配置[USG2100]

firewall

blacklist

item

timeout

100[USG2100]

firewall

blacklist

enable服務器/24PC/24USGEth1/0/1/24Eth1/0/0/24Page50Copyright

?

2012Technologies

Co.,.s.動態(tài)配置服務器/24PC/24USGEth1/0/1/24Eth1/0/0/24[USG2100]

firewall

defend

ip-sweep

enable[USG2100]

firewall

defend

ip-sweep

max-rate

1000[USG2100]

firewall

defend

ip-sweep

blacklist-timeout

20[USG2100]

firewall

blacklist

enablePage51Copyright

?

2012Technologies

Co.,.s.配置驗證[USG2100]

display

firewall

blacklist

itemTotal:1IDS:0Manual:1Login

Failed:0IP

Sweep:0PreAuthed:0Port

Scan:0Get

Flood:0tcp-illeage-session:0IP

ReasoninstanceUnknown:0InsertTimeAgeTime-

Manual2009/05/12

17:47:35

PermanentPage52Copyright

?

2012Technologies

Co.,.s.3.基本功能1.MAC綁定端口IDS聯(lián)動日志Page53Copyright

?

2012Technologies

Co.,.s.MAC綁定問題的提出網(wǎng)絡中常有一些IP地址的MAC綁定應用限制條件與二層直接相連的網(wǎng)絡Page54Copyright

?

2012Technologies

Co.,.s.MAC綁定配置[USG2100]

firewall

mac-binding

enable[USG2100]

firewall

mac-binding

00e0-fc00-0100服務器/24PC/24USGEth1/0/1/24Eth1/0/0/24Page55Copyright

?

2012Technologies

Co.,.s.MAC綁定配置驗證[USG2100]

display

firewall

mac-binding

itemFirewall

Mac-binding

items

:Current

items

:

38

0087-0326-ea9d00e0-fc08-058900e0-fc98-5679Page56Copyright

?

2012Technologies

Co.,.s.3.基本功能1.MAC綁定端口IDS聯(lián)動日志Page57Copyright

?

2012Technologies

Co.,.s.端口問題的提出?服務器在非知名端口提供知名服務，例如在1021端口提供FTP服務端口?并非要更改數(shù)據(jù)包的端口信息可以用來保護因為知名端口而帶來的針對性Page58Copyright

?

2012Technologies

Co.,.s.端口組網(wǎng)示例FTP

Server/24WWW

Server/24Eth1/0/0/24/24公司

以太網(wǎng)Eth2/0/0/16網(wǎng)段網(wǎng)段USGWANPage59Copyright

?

2012Technologies

Co.,.s.端口

配置驗證[USG2100]

display

port-mapSERVICE

PORT

ACLTYPEftp21system

definedsmtp25system

definedhttp80system

definedrtsp554system

definedh3231720system

definedftp802010user

definedhttp56782020user

definedPage60Copyright

?

2012Technologies

Co.,.s.配置參考[USG2100]

acl

number

2010[USG2100

-acl-basic-2010]

rule

permit

source

[USG2100]port-map ftp

port

80

acl

2010[USG2100]

acl

number

2020[USG2100-acl-basic-2020]

rule

permit

source

55[USG2100]

port-map http

port

5678

acl

2020[USG2100]

firewall

interzone

dmz

untrust[USG2100-interzone-dmz-untrust]

detect

ftp將去往主機的使用端80的報文識別為FTP報文需要在域間detect相應的協(xié)議Page61Copyright

?

2012Technologies

Co.,.s.3.基本功能1.MAC綁定端口IDS聯(lián)動日志Page62Copyright

?

2012Technologies

Co.,.s.IDS聯(lián)動的局限性?不能防止通向站點的后門；一般不提供對

的保護；無法防范數(shù)據(jù)驅動型的

；不能根據(jù)網(wǎng)絡被

使用和???的情況動態(tài)調整自己的策略等。檢測系統(tǒng)）的優(yōu)勢IDS（Intrusion

Detection

System，實時地監(jiān)視、分析網(wǎng)絡中所有的數(shù)據(jù)報文，發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文，對系統(tǒng)記錄的網(wǎng)絡事件進行統(tǒng)計分析，發(fā)現(xiàn)異?，F(xiàn)象，主動切斷連接或與

聯(lián)動，調用其他程序處理。Page63Copyright

?

2012Technologies

Co.,.s.與IDS聯(lián)動組網(wǎng)示例INTERNET管理信息日志告警NIP

NIDS辦公網(wǎng)DMZ區(qū)管理端口

響應端口端口受保護服務器群USGEth1/0/1Eth1/0/0Page64Copyright

?

2012Technologies

Co.,.s.與IDS聯(lián)動配置123[USG2100]

firewall

ids

server

0[USG2100]

firewall

ids

port

3000[USG2100]

firewall

ids

authentication

type

md5

key[USG2100]

firewall

ids

enable最后一定得使能IDS的功能Page65Copyright

?

2012Technologies

Co.,.s.IDS配置驗證[USG2100]

display

firewall

idsFirewall

IDS

information:firewall

IDS:

enabledebug

flag:

offserver

port:

3000authentication

type:

md5authentication

string:123client

address

0:

0Page66Copyright

?

2012Technologies

Co.,.s.3.基本功能1.MAC綁定端口IDS聯(lián)動日志Page67Copyright

?

2012Technologies

Co.,.s.日志LogServer防范地址綁定二進制流日志監(jiān)視終端控制臺緩沖區(qū)……信息中心重定向NAT/ASPF流量統(tǒng)計日志信息日志信息Page68Copyright

?

2012Technologies

Co.,.s.日志輸出配置組網(wǎng)示例Ethernet2/0/1/24服務器日志服務器PCEthernet2/0/0/24Ethernet1/0/0/24USGPC/24Page69Copyright

?

2012Technologies

Co.,.s.日志輸出配置[USG2100]

info-center

enable[USG2100]

info-center

loghost

language

english[USG2100]

firewall

session

log-type

binary

host

1

9002Page70Copyright

?

2012Technologies

Co.,.s.日志配置驗證[USG2100]

display

info-centerInformation

Center:

enabledLog

host:,

channel

number

2,

channel

name

loghost,language

english

,

host

facility

local7Console:channel

number

:

0,

channel

name

:

consoleMonitor:channel

number

:

1,

channel

name

:

monitor……Page71Copyright

?

2012Technologies

Co.,.s.的基本概念基本功能擴展功能Page72Copyright

?

2012Technologies

Co.,.s.4.擴展功能負載均衡虛擬Page73Copyright

?

2012Technologies

Co.,.s.負載均衡當前的網(wǎng)絡應用中，單臺服務器的處理能力已經(jīng)成為網(wǎng)絡中的瓶頸，尤其是在IDC、等應用場合。USG

的負載均衡即是將用戶流量分配到多個服務器上，從而達到流量分擔的目的，進而保障服務器的可用性。防火墻按照配置的算法，將用戶流量分配到不同的服務器上，充分利用各個服務器的處理能力，達到最佳的可擴展性。Page74Copyright

?

2012Technologies

Co.,.s.負載均衡組網(wǎng)示例Eth1/0/0/24Eth1/0/1/24服務器1/24服務器2/24服務器3/24USGvip

交換機PC/24Page75Copyright

?

2012Technologies

Co.,.s.負載均衡配置[USG2100]

slb

enable[USG2100]

slb[USG2100

-slb]

rserver

1

rip

[USG2100

-slb]

rserver

2

rip

[USG2100

-slb]

rserver

3

rip

[USG2100]

firewall

packet-filter

default

permit

interzone

local

dmzdirection

outbound由于

對實服務器缺省進行健康行檢查，此時需要配置允許健康檢查報文在

Local和DMZ域間出方向流動使能SLB和自動健康檢查功能。Page76Copyright

?

2012Technologies

Co.,.s.負載均衡配置(續(xù))[USG2100

-slb]

group

group1[USG2100

-slb-group-

group1]

metric

roundrobin[USG2100

-slb-group-

group1]

addrserver

1[USG2100

-slb-group-

group1]

addrserver

2[USG2100

-slb-group-

group1]

addrserver

3[USG2100

-slb]

vserver vip

group

group1Page77Copyright

?

2012Technologies

Co.,.s.負載均衡配置驗證[USG2100

-slb]

display

thisslbrserver

1

rip

weight

32

healthchkrserver

2

rip

weight

32

healthchkrserver

3

rip

weight

32

healthchkgroup

group1metric

roundrobinaddrserver

1addrserver

2addrserver

3vservervip

group

group1Page78Copyright

?

2012Technologies

Co.,.s.負載均衡效果[USG2100]

display

firewall

session

tableicmp,

(icmp,

(icmp,

(:

public

->

public)

:2048-->:43:

public

->

public)

:2048-->:43:

public

->

public)

:2048-->:43FTP,

(FTP,

(FTP,

(FTP,

(FTP,

(:

public

->

public)

:21[:21]<-+:1227:

public

->

public)

:21[:21]<-+:1229:

public

->

public)

:21[:21]<-+:1231:

public

->

public)

:21[:21]<-+:1233:

public

->

public)

:21[:21]<-+:1235Current

Total

Sessions

:

8Page79Copyright

?

2012Technologies

Co.,.s.4.擴展功能負載均衡虛擬Page80Copyright

?

2012Technologies

Co.,.s.虛擬Vfw3Vfw2Vfw1Rfw在USG上創(chuàng)建邏輯上的虛擬防火墻（Virtual-firewall,Vfw），能夠每個虛擬 都是提供

的出租業(yè)務，實現(xiàn)子網(wǎng)

和解決地址

的問題。實例（

-Instance）、安全實例和配置實例的綜合體，能夠為虛擬用戶提供私有的路由轉發(fā)平面、安全服務和配置管理平面。Page81Copyright

?

2012Technologies

Co.,.s.虛擬支持虛擬防火USG墻特性每個虛擬均可以獨立支持Local、TRUST、UNTRUST、DMZ、VZONE

5個安全區(qū)域，接口靈活劃分和分配。系統(tǒng)資源獨立分配，提供獨立的安全業(yè)務、NAT多實例、

多實例特性。...Root根FW一臺Eudemon物理虛擬Virtual

FWVZONETrust-