虚拟防火墙技术在数据中心的应用VIP专享VIP免费

虚拟防火墙技术在数据中心的应用一、概述运营商作为网络的承建者和服务提供者，不仅为用户提供各种业务，还要对数据中心的网络和信息安全进行完全的监控和管理维护等。数据中心作为网络数据的核心，经常会受到来自外界的攻击入侵，安全问题是极其重要的一环。互联网每年都有大量数据中心服务器遭受攻击的事件发生，对用户造成巨大的损失，数据中心安全在其建设发展中越来越受到重视。为数据中心内部网络与服务器提供网络安全功能，通常会部署防火墙产品作为攻击防范和安全过滤的设备，同时为内网服务器间互访提供安全控制。防火墙是数据中心必不可少的安全防御组件，可为后端服务器提供攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能。随着数据中心虚拟化技术的不断发展，防火墙虚拟化做为其中关键技术之一日益兴起。二、虚拟防火墙技术的产生早期的互联网时代，当企业需要为用户提供互联网服务时，为了节省管理成本与加快互联网用户访问速度，很多企业将其服务器放置到运营商数据中心（IDC，InternetDataCenter）内，由运营商代维代管，并直接提供互联网接入，这种形式也被称为运营商的主机托管业务。随着互联网的飞速发展，运营商数据中心业务已经成为其盈利的重点核心业务。同时，安全要求日趋严格，需要在大规模部署的多企业用户服务器间的进行访问控制，如存在相关业务企业间的受控访问，无关企业间的绝对隔离等。因此，对运营商数据中心管理人员来说，如何灵活方便的实现各企业安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。这也对提供安全区域隔离功能的防火墙设备提出了更高的要求。针对以上要求，传统防火墙的部署模式存在着以下缺陷：较多的企业用户使得运营商要部署管理多台独立防火墙，导致拥有和维护成本增高；集中放置的多个独立防火墙会占用较多的物理空间，并加大布线的复杂度；物理防火墙的增加将增加网络管理的复杂度；当企业用户发生新的变化后，需要在物理组网上对传统防火墙做改动，对整个网络造成影响较大。为了适应新的业务模式需求，虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务部门的独立安全策略部署，利用其部署的灵活性可实现企业网络的对新业务的适应性。三、虚拟防火墙技术虚拟防火墙是一个逻辑概念，该技术可以在一个单一的硬件平台上提供多个防火墙实体，即把一台防火墙设备在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性，并且虚拟防火墙之间相互独立，一般情况下不允许相互通信。虚拟防火墙具有如下技术特点：每个虚拟防火墙独立维护一组安全区域；每个虚拟防火墙独立维护一组资源对象（地址/地址组，服务/服务组等）；每个虚拟防火墙独立维护自己的包过滤策略；每个虚拟防火墙独立维护自己的ASPF策略、NAT策略、ALG策略；可限制每个虚拟防火墙占用资源数，如防火墙Session以及ASPFSession数目。每个虚拟防火墙都是VPN实例和安全实例的综合体，能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、三层VLAN子接口和二层Trunk接口+VLAN。VPN实例与虚拟防火墙是一一对应的，它为虚拟防火墙提供相互隔离的VPN路由，与虚拟防火墙相关的信息主要包括：VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑定的接口的报文提供路由支持。安全实例为虚拟防火墙提供相互隔离的安全服务，同样与虚拟防火墙一一对应。安全实例具备私有的ACL规则组和NAT地址池；安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NATALG等私有的安全服务。虚拟防火墙一方面解决了业务多实例的问题，更主要的是，通过它可将一个物理防火墙划分为多个逻辑防火墙来用。多个逻辑防火墙可以单独配置不同的安全策略，同时默认情况下，不同的虚拟防火墙之间是默认隔离的。对于防火墙系统接收到的数据流，系统根据数据的VlanID、入接口、源地址确定数据流所属的系统。在各个...