虛擬防火墻的緣起

　　從古至今，火攻戰術層出不窮，從孫子兵法的火攻計到三國時期的火燒赤壁，甚至現代戰爭二戰期間的李梅火攻（美軍針對日本東京的戰略轟炸），火的攻擊藝術被展現得淋漓盡致。而對于這類攻擊的防護，最常見的莫過于筑建深溝高壘，通過縱深防御體系進行阻擊。

　　時至IT時代，人們為了防御來自于外部網絡的各種攻擊，也在網絡世界“筑”起了一道墻，這就是網絡防火墻。

　　網絡防火墻歷經三十年發展，在網絡安全領域里有著不可替代的地位。但隨著計算機科學技術的不斷發展，硬件防火墻已經越來越不能滿足企業的需求了。

　　其一，跨地域的全國性超大企業集團和機構的業務規模及管理復雜度都在急劇增加，傳統的管理運營模式已經不能適應業務發展需求。企業信息化成為解決目前業務發展的關鍵，得到各企業和機構的重視。

　　其二，隨著企業業務規模的不斷擴大，各個部門的權責和職能劃分越來越清晰，也初步形成了相應的不同安全級別的安全區域，比如共享服務器和辦公自動化（Office Automation，OA）等。對企業信息系統重點安全區域的防護要求越來越迫切。

　　其三，硬件防火墻的成本太高，不論是過多的電力和能源消耗，還是從分公司到數據中心高昂的空間成本，都不能真正實現綠色IT。多臺傳統硬件防火墻的集中放置占用的機架空間較多，而且會帶來復雜的布線維護工作。此外，硬件防火墻往往也會使服務器的利用率不足。

　　因此，隨著虛擬化在信息系統的廣泛應用，越來越多的用戶享受到了方便、快捷、高效的服務。虛擬化環境下，虛擬域邊界是動態的，傳統網絡防火墻不再適用，需要支持深層防御的虛擬防火墻。這也對安全區域隔離“利器”——防火墻提出了更高的要求，于是虛擬防火墻應運而生。

　　虛擬防火墻的部署

　　虛擬防火墻是專門為虛擬化環境設計的網絡安全產品，以虛擬化形態部署，適用于多種虛擬化平臺，使管理員可以快速高效地調配和擴展防火墻。

　　虛擬防火墻是一個邏輯概念，可以在一個單一的硬件平臺上虛擬化出多個防火墻的實體，把每臺虛擬防火墻看成是一臺擁有獨立的數據庫、管理員、安全策略的完全獨立的防火墻設備。虛擬防火墻具備訪問控制、應用識別、內容過濾、URL過濾、入侵防御、IPS以及VPN等功能，能夠作為虛擬邏輯網絡中的網關，實現防火墻的大部分特性，給企業級用戶提供全面有效的安全防護，保障企業業務的安全性和連續性。

　　對于云平臺，防火墻需要實現對傳統網絡環境中的安全域的隔離，也需要實現對虛擬化環境中的安全域（如生產域及其子區、支撐服務域及其子區、管理域及其子區、DMZ域及其子區等）的隔離。傳統網絡環境中的安全域，采用傳統防火墻、傳統的部署方式即可，而虛擬化環境中的安全域則需采用虛擬防火墻實現。

　　以VMware ESXi虛擬化平臺為例，虛擬防護墻的部署方式如下圖所示。

　　虛擬防火墻解決了傳統防火墻部署方式存在的不足，通過在同一臺物理設備上劃分出多個防火墻的邏輯實例來實現對多個虛擬專用網的獨立安全策略部署。通過應用虛擬防火墻，由各虛擬專用網采用獨立安全策略所帶來的網絡拓撲和管理復雜化、網絡結構擴展性差、成本高等幾大問題，能夠得到有效緩解，也可以利用這種靈活的部署來滿足企業新業務模型所帶來的新需求。

　　虛擬防火墻的特點

　　1. 兼具安全性和靈活性

　　虛擬防火墻作為虛擬設備，在與其所保護的工作負載相同的虛擬環境中運行，實現虛擬域中各虛擬機之間的訪問控制。它可以對通過物理網絡的流量應用安全策略，實現網絡安全性，又不影響虛擬化的靈活性。

　　用戶通過云平臺進行網絡業務編排和安全設備管理，根據網絡建設的需求，調配和擴展防火墻，以滿足虛擬環境的動態要求，從而達到東西向流量以及南北向流量的全面防護。其部署簡單便捷，有助于用戶管理和規劃自己的業務，同時對設備進行更直接便捷的管理。

　　2. 按需擴展效率高

　　虛擬防火墻能夠在云平臺上動態創建，并按需使用，實現了網絡安全按使用量付費，這一創新之舉將更加人性化和清晰化，幫助用戶降低使用成本，最大化使用產品的安全防護能力。

　　在大型云計算中心和互聯網數據中心，互聯網出口流量巨大，單臺防火墻受限于系統資源，往往存在瓶頸，即便是機框式設備，也有處理能力的上限。除了南北向流量防護，東西向流量也會被納入監測范疇，這時候，就需要更加彈性的性能擴展方案。網絡安全解決方案需要考慮縱向和橫向兩種擴展模式，分別針對虛擬防火墻的容量和數量進行擴展。

　　虛擬防火墻可為每種業務進行單獨防護，按需分配，各虛擬防火墻彼此資源隔離，單個癱瘓不影響整機，使得每個部門/業務的管理員可以自助管理，做到安全防護資源隔離，各自獨立多虛一，提高效率，簡化管理虛擬資源池及按需擴展。同時，虛擬防火墻也應具備災備方案的有效管理，高效的主備切換實現數據的安全性和業務的連續性。

　　云計算的發展要求對安全的管理粒度越來越細，虛擬防火墻的落地讓網關安全隨需而動成為可能，場景化、細粒度、資源池化、業務隨行、按需即時加載，所有這些，都會為虛擬防火墻創造新的增長空間。對于用戶而言，安全產品只有做到有用、能用才能真正發揮最大的價值，虛擬防火墻不僅融合必要的安全功能，能夠防御更復雜、隱秘的攻擊，用數據支撐用戶實現閉環安全管理，更能有效利用和適應云平臺優勢，滿足用戶個性需求。

責任編輯：韓希宇