虚拟防火墙的缘起

从古至今,火攻战术层出不穷,从孙子兵法的火攻计到三国时期的火烧赤壁,甚至现代战争二战期间的李梅火攻(美军针对日本东京的战略轰炸),火的攻击艺术被展现得淋漓尽致。而对于这类攻击的防护,最常见的莫过于筑建深沟高垒,通过纵深防御体系进行阻击。

时至IT时代,人们为了防御来自于外部网络的各种攻击,也在网络世界“筑”起了一道墙,这就是网络防火墙。

网络防火墙历经三十年发展,在网络安全领域里有着不可替代的地位。但随着计算机科学技术的不断发展,硬件防火墙已经越来越不能满足企业的需求了。

其一,跨地域的全国性超大企业集团和机构的业务规模及管理复杂度都在急剧增加,传统的管理运营模式已经不能适应业务发展需求。企业信息化成为解决目前业务发展的关键,得到各企业和机构的重视。

其二,随着企业业务规模的不断扩大,各个部门的权责和职能划分越来越清晰,也初步形成了相应的不同安全级别的安全区域,比如共享服务器和办公自动化(Office Automation,OA)等。对企业信息系统重点安全区域的防护要求越来越迫切。

其三,硬件防火墙的成本太高,不论是过多的电力和能源消耗,还是从分公司到数据中心高昂的空间成本,都不能真正实现绿色IT。多台传统硬件防火墙的集中放置占用的机架空间较多,而且会带来复杂的布线维护工作。此外,硬件防火墙往往也会使服务器的利用率不足。

因此,随着虚拟化在信息系统的广泛应用,越来越多的用户享受到了方便、快捷、高效的服务。虚拟化环境下,虚拟域边界是动态的,传统网络防火墙不再适用,需要支持深层防御的虚拟防火墙。这也对安全区域隔离“利器”——防火墙提出了更高的要求,于是虚拟防火墙应运而生。

虚拟防火墙的部署

虚拟防火墙是专门为虚拟化环境设计的网络安全产品,以虚拟化形态部署,适用于多种虚拟化平台,使管理员可以快速高效地调配和扩展防火墙。

虚拟防火墙是一个逻辑概念,可以在一个单一的硬件平台上虚拟化出多个防火墙的实体,把每台虚拟防火墙看成是一台拥有独立的数据库、管理员、安全策略的完全独立的防火墙设备。虚拟防火墙具备访问控制、应用识别、内容过滤、URL过滤、入侵防御、IPS以及VPN等功能,能够作为虚拟逻辑网络中的网关,实现防火墙的大部分特性,给企业级用户提供全面有效的安全防护,保障企业业务的安全性和连续性。

对于云平台,防火墙需要实现对传统网络环境中的安全域的隔离,也需要实现对虚拟化环境中的安全域(如生产域及其子区、支撑服务域及其子区、管理域及其子区、DMZ域及其子区等)的隔离。传统网络环境中的安全域,采用传统防火墙、传统的部署方式即可,而虚拟化环境中的安全域则需采用虚拟防火墙实现。

以VMware ESXi虚拟化平台为例,虚拟防护墙的部署方式如下图所示。

虚拟防火墙解决了传统防火墙部署方式存在的不足,通过在同一台物理设备上划分出多个防火墙的逻辑实例来实现对多个虚拟专用网的独立安全策略部署。通过应用虚拟防火墙,由各虚拟专用网采用独立安全策略所带来的网络拓扑和管理复杂化、网络结构扩展性差、成本高等几大问题,能够得到有效缓解,也可以利用这种灵活的部署来满足企业新业务模型所带来的新需求。

虚拟防火墙的特点

1. 兼具安全性和灵活性

虚拟防火墙作为虚拟设备,在与其所保护的工作负载相同的虚拟环境中运行,实现虚拟域中各虚拟机之间的访问控制。它可以对通过物理网络的流量应用安全策略,实现网络安全性,又不影响虚拟化的灵活性。

用户通过云平台进行网络业务编排和安全设备管理,根据网络建设的需求,调配和扩展防火墙,以满足虚拟环境的动态要求,从而达到东西向流量以及南北向流量的全面防护。其部署简单便捷,有助于用户管理和规划自己的业务,同时对设备进行更直接便捷的管理。

2. 按需扩展效率高

虚拟防火墙能够在云平台上动态创建,并按需使用,实现了网络安全按使用量付费,这一创新之举将更加人性化和清晰化,帮助用户降低使用成本,最大化使用产品的安全防护能力。

在大型云计算中心和互联网数据中心,互联网出口流量巨大,单台防火墙受限于系统资源,往往存在瓶颈,即便是机框式设备,也有处理能力的上限。除了南北向流量防护,东西向流量也会被纳入监测范畴,这时候,就需要更加弹性的性能扩展方案。网络安全解决方案需要考虑纵向和横向两种扩展模式,分别针对虚拟防火墙的容量和数量进行扩展。

虚拟防火墙可为每种业务进行单独防护,按需分配,各虚拟防火墙彼此资源隔离,单个瘫痪不影响整机,使得每个部门/业务的管理员可以自助管理,做到安全防护资源隔离,各自独立多虚一,提高效率,简化管理虚拟资源池及按需扩展。同时,虚拟防火墙也应具备灾备方案的有效管理,高效的主备切换实现数据的安全性和业务的连续性。

云计算的发展要求对安全的管理粒度越来越细,虚拟防火墙的落地让网关安全随需而动成为可能,场景化、细粒度、资源池化、业务随行、按需即时加载,所有这些,都会为虚拟防火墙创造新的增长空间。对于用户而言,安全产品只有做到有用、能用才能真正发挥最大的价值,虚拟防火墙不仅融合必要的安全功能,能够防御更复杂、隐秘的攻击,用数据支撑用户实现闭环安全管理,更能有效利用和适应云平台优势,满足用户个性需求。

参考文献:

[1] 王志红,成飚.虚拟防火墙在企业网络中的应用[J].价值工程, 2011,30(26):127.

[2] 冯苜川,杜晓峰,张笑燕.一种基于CloudStack的企业级云资源平台网络优化研究[J].互联网天地,2014(12):22~30.

[3] 屈波.我国服务器虚拟化技术相关问题探讨[J].信息与电脑:理论版,2013(03):135~136.

[4] 李琪,徐国爱.虚拟防火墙CPU保护机制的原理与改进[J]. 软件, 2010,31(10):37~39.

END

(文章来源:《保密科学技术》;作者: 邹景嫽 /  北京神州绿盟信息安全科技股份有限公司;文中图片来源:百度图库)

声明:本文来自保密科学技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。