虚拟软件虚拟化

华为USG9500系列下一代防火墙虚拟化技术白皮书文档版本V1.
4发布日期2017-10-31华为技术有限公司华为专有和保密信息版权所有华为技术有限公司i版权所有华为技术有限公司2017.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:http://enterprise.
huawei.
com客户服务邮箱:ask_FW_MKT@huawei.
com客户服务电话:4008302118华为USG6000系列下一代防火墙产品虚拟化技术白皮书目录华为专有和保密信息版权所有华为技术有限公司ii目录1技术背景.
12概念及原理.
12.
1虚拟化概念.
12.
1.
1虚拟化起源.
12.
1.
2网络虚拟化及发展.
22.
2虚拟防火墙原理.
53虚拟防火墙的业务与功能13.
1虚拟防火墙管理.
13.
1.
1设备管理虚拟化技术.
13.
1.
2资源分配与回收技术.
13.
1.
3特征扫描引擎虚拟化技术.
23.
2多业务转发.
33.
2.
1多样化的分流技术.
33.
2.
2跨虚拟防火墙转发技术.
44运营与部署.
14.
1数据中心/云计算组网模式.
14.
2企业部门隔离组网模式.
2USG6000系列下一代防火墙产品虚拟化技术白皮书华为专有和保密信息版权所有华为技术有限公司1华为USG9500系列下一代防火墙产品虚拟化技术白皮书关键词:NGFW、VPN、虚拟化、防火墙、云计算、数据中心摘要:该技术白皮书从虚拟化技术的发展和原理入手,阐述了目前防火墙产品的虚拟化技术,并对后续发展做了展望.
名称缩写完整拼写中文解释NGFWNextGenerationFirewall下一代防火墙VMMVirtualMachineMonitor虚拟机管理器IDCInternetDataCenter互联网数据中心VLANVirtualLocalAreaNetwork虚拟局域网SDNSoftwareDefinedNetworks软件定义网络VFWVirtualFireWall虚拟防火墙IPSIntrusionProventSystem入侵防御系统DLPDataLeakProtect数据泄露防御VPNVirtualPrivateNetwork虚拟私有网络AVAnti-Virus反病毒SSLSecureSocketLayer安全套接字层NATNetworkAddressTranslate网络地址转换ACLAccessControlList访问控制列表L2TPLayer2TunnelProtocol二层隧道协议GREGeneralRouteEncapsulation通用路由封装USG6000系列下一代防火墙产品虚拟化技术白皮书1技术背景华为专有和保密信息版权所有华为技术有限公司11技术背景虚拟化是一项日久弥新的技术,通过虚拟化,组件或系统可以获得隔离、解耦以及资源的最大化利用.
从虚拟操作系统平台、VMM、VLAN、VPN到当前的Hipervisor、OpenFlow、SDN,虚拟化技术一直没有停止创新和发展.
当前蓬勃发展的云计算及其相关产业,最重要的一项基础技术便是虚拟化.
虚拟化能够为用户带来节省投入、快速整合、降低运维成本等利益,越发体现其强大的生命力.
Gartner《服务器虚拟化的未来》显示"截止2008年,不能充分利用虚拟化技术的企业将会多支出40%的采购成本和20%左右的管理成本".
由云计算等新技术掀起的信息产业变革已不可阻挡,为适应正在发生的革命性变化与融合,华为做出面向客户的战略调整,华为的创新也从电信运营商网络向企业业务、消费者领域延伸,协同发展"云-管-端"业务.
在此业务转型的大背景下,防火墙产品也需要转变传统观念,以全新的视角来实现虚拟化并融合入大平台.
USG6000系列下一代防火墙产品虚拟化技术白皮书2概念及原理华为专有和保密信息版权所有华为技术有限公司12概念及原理2.
1虚拟化概念2.
1.
1虚拟化起源虚拟化(Virtualization)是资源的逻辑表示,而不受物理限制的约束.
虚拟化技术的实现形式是在系统中加入一个虚拟化层,将下层的资源抽象成另一形式的资源,提供给上层使用.
图2-1虚拟化历史虚拟化技术源于大型机,最早可以追溯到上世纪六、七十年代大型机上的虚拟分区技术,即允许在一台主机上运行多个操作系统,让用户尽可能充分地利用昂贵的大型机资源.
随着技术的发展和市场竞争的需要,虚拟化技术向小型机或UNIX服务器上移植.
20世纪90年代,虚拟化软件厂商采用一种软件解决方案,以VMM(VirtualMachineMonitor,VMM虚拟机监视器)为中心使X86服务器平台实现虚拟化.
然而这种纯软件的"全虚拟化"模式,每个GuestOS(客户操作系统)获得的关键平台资源都要由VMM控制和分配,需要利用二进制转换,而二进制转换带来的开销使得"完全虚拟化"的性能大打折扣.
为解决性能问题,出现了一种新的虚拟化技术"半虚拟化",即不需要二进制转换,而是通过对客户操作系统进行代码级修改,使定制的GuestOS获得额外的性能和高扩展性,但是修改GuestOS也带来了系统指令级的冲突及运行效率问题,需要投入大量优化的工作.
当前,虚拟化技术已经发展到了硬件支持的阶段,"芯片辅助虚拟化"技术就是把纯软件虚拟化技术的各项功能用硬件电路来实现,可减少VMM运行的系统开销,可同时满足CPU半虚拟化和二进制转换技术的需求,使VMM的设计得到简化,进而使VMM能够按通用标准进行编写.
芯片辅助虚拟化技术除了在处理器USG6000系列下一代防火墙产品虚拟化技术白皮书2概念及原理华为专有和保密信息版权所有华为技术有限公司2上集成芯片辅助虚拟化指令,同时提供I/O方面的虚拟化支持,最终可实现整个平台的虚拟化.
虚拟化技术的实现和发展,都向人们展示了虚拟化应用的广阔前景.
2.
1.
2网络虚拟化及发展当前,快速变化的客户业务需要一个灵活的、易构建、易维护的网络设施.
这种灵活性通常体现在不变更网络的物理拓扑而仅变更逻辑即可达成目标.
网络虚拟化便是这样一种架构,它在物理设施上构建一系列逻辑上相互独立的网络环境给不同需求的用户使用,在用户看来,他使用的是一个独立的物理网络环境.
通过虚拟化,物理和逻辑实现了解耦,不管是物理网络升级还是逻辑网络变更,仅仅需要改动一部分而不动全部.
VLAN、VPN、VFW以及未来的SDN便是网络虚拟化的几种典型产物.
VLAN即虚拟局域网(VirtualLocalAreaNetwork),Vlan普遍地应用在二层交换机和三层交换机上.
Vlan的出现是为了解决广播域的问题,不同的用户划分在不同的广播域中,减少用户无用报文的接收,它是网络虚拟化的早期产物.
VPN是随着Internet的广泛应用而迅速发展起来的一种新技术,用于在公用网络上构建私有专用虚拟网络.
"虚拟"主要指这种网络是一种逻辑上的网络.
VPN用于用户和企业网络之间的安全接入或企业分部之间的安全连接,保证经济、安全、有效地进行网络互联.
VPN的基本原理是利用隧道技术,把VPN报文封装在隧道中,利用VPN骨干网建立专用数据传输通道,实现报文的透明传输.
隧道技术使用一种协议封装另外一种协议报文,而封装协议本身也可以被其他封装协议所封装或承载.
从用户角度看,VPN和传统的数据专网相比具有如下优势:安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性.
这对于实现电子商务或金融网络与通讯网络的融合特别重要.
廉价:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴.
支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求.
VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现.
VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性.
在全球任何一个角落,只要能够接入到Internet,即可使用VPN.
USG6000系列下一代防火墙产品虚拟化技术白皮书2概念及原理华为专有和保密信息版权所有华为技术有限公司3图2-2Internet上的VPN使用目前华为防火墙支持多种VPN,包括IPSecVPN、L2TPVPN、GREVPN和SSLVPN.
VFW即VirtualFireWall(虚拟防火墙),将一个防火墙系统划分成多个虚拟系统.
每个虚拟系统有独立的管理员,管理员可以设置自己的地址集、服务集、用户和策略满足自己的个性化安全需求.
图2-3虚拟防火墙示意图虚拟防火墙可以用于:设备租赁:目前有部分小型企业,其资金不足以支持购买一台网络安全设备以及相应的License和售后服务,但是其业务开展又急需网络安全设备的保护.
这时,便可通过虚拟系统技术将一台物理设备划分为多台独立的虚拟设备,分别向不同企业提供安全功能、各企业共享硬件资源,但是实际流量又被完全隔离.
USG6000系列下一代防火墙产品虚拟化技术白皮书2概念及原理华为专有和保密信息版权所有华为技术有限公司4网络隔离:通常大中型企业的网络都具有大量的网络设备和严密的网段、权限划分.
虽然传统防火墙可以通过安全区域对网络进行隔离,但是在组网和需求复杂的情况下,通过接口划分的安全区域可能不能满足需求,或者导致策略配置异常复杂,容易出错.
同时由于网络管理员权限相同,不同网络的多个管理员操作同一台设备,容易造成配置冲突.
通过虚拟系统技术,可以在实现网络隔离的基础上,使得业务管理更加清晰和简便.
云计算:新兴的云计算技术,其核心理念是将网络资源和计算能力存放于网络云端.
网络用户只需通过网络终端接入公有网络,就可以访问相应的网络资源使用相应的服务.
在此过程中,不同用户之间的流量隔离、安全防护和资源分配是非常重要的一环.
通过虚拟系统技术,就可以让部署在云计算中心和数据中心出口的防火墙具备云计算网关的能力,对用户流量进行隔离的同时提供强大的安全防护能力.
SDN,即SoftwareDefinedNetworks(软件定义网络),它是随着云计算发展而来的一种仍未成熟商用的技术.
云计算服务商以按需分配为原则,为客户提供具有高可用性、高扩展性的计算、存储和网络等IT资源.
虚拟化技术将各种物理资源抽象为逻辑上的资源,隐藏了各种物理上的限制,为在更细粒度上对其进行管理和应用提供了可能性.
近些年,计算的虚拟化技术(主要指x86平台的虚拟化)取得了长足的发展;相比较而言,尽管存储和网络的虚拟化也得到了诸多发展,但是还有很多问题亟需解决,在云计算环境中尤其如此.
OpenFlow和SDN尽管不是专门为网络虚拟化而生,但是它们带来的标准化和灵活性却给网络虚拟化的发展带来无限可能.
OpenFlow起源于斯坦福大学的CleanSlate项目组,该项目试图通过一个集中式的控制器,让网络管理员可以方便地定义基于网络流的安全控制策略,并将这些安全策略应用到各种网络设备中,从而实现对整个网络通讯的安全控制.
将传统网络设备的数据转发(DataPlane)和路由控制(ControlPlane)两个功能模块相分离,通过集中式的控制器(Controller)以标准化的接口对各种网络设备进行管理和配置,那么这将为网络资源的设计、管理和使用提供更多的可能性,从而更容易推动网络的革新与发展.
于是,他们便提出了OpenFlow的概念,为网络带来的可编程的特性.
后来基于OpenFlow又进一步提出了SDN的概念.
如果将网络中所有的网络设备视为被管理的资源,那么参考操作系统的原理,可以抽象出一个网络操作系统(NetworkOS),这个网络操作系统一方面抽象了底层网络设备的具体细节,同时还为上层应用提供了统一的管理视图和编程接口.
这样,基于网络操作系统这个平台,用户可以开发各种应用程序,通过软件来定义逻辑上的网络拓扑,以满足对网络资源的不同需求,而无需关心底层网络的物理拓扑结构.
USG6000系列下一代防火墙产品虚拟化技术白皮书2概念及原理华为专有和保密信息版权所有华为技术有限公司5图2-4未来的网络虚拟化—SDN随着云计算的不断发展,防火墙势必也会成为SDN中的一员.
2.
2虚拟防火墙原理防火墙产品主要充当企事业单位、校园或数据中心的出口网关,对流量进行隔离、过滤和检测等安全处理.
从简单的包过滤到精细化的内容安全,防火墙已经历了几代的发展.
USG6000系列下一代防火墙产品虚拟化技术白皮书2概念及原理华为专有和保密信息版权所有华为技术有限公司6与之同时,虚拟化技术在防火墙上的应用也经历了VLAN、VPN、VFW,再到未来的SDN化.
目前华为防火墙产品已经具备下一代防火墙的特性,其虚拟化水平处于"从依附VPN技术,到脱离VPN并实现VFW全功能化"的过渡阶段(VFW即VirtualFireWall,我们定义为功能上和物理防火墙基本无二致的逻辑防火墙).
现有在外销售的USG等系列中低端防火墙产品依附于VPN技术,配置上通过与VPN实例的绑定实现防火墙的虚拟化.
这种技术的缺点是配置复杂,资源管理不够完善,无法保证虚拟系统在管理上的完全独立.
NGFWUSG6600系列防火墙产品将虚拟防火墙从VPN实例的绑定脱离出来,实现了绝大部分防火墙功能虚拟化,包括虚拟系统管理、部分资源保证和限制、安全策略、NAT、静态路由以及DDoS等流量检测功能.
如图2-5所示,在防火墙的生态系统中,它扮演了三个角色:转发检测单元、管理单元、通信主机.
首先防火墙是一个带安全检测功能的转发系统;其次,防火墙也是一个通信主机,完成自身IP地址获取、路由协议协商、VPN密钥协商等功能;再次,防火墙是一个可被管理的网元.
图2-5防火墙生态系统物理防火墙虚拟化之后,这三种角色均从一个变成了多个,如图2-6所示.
同类角色之间在功能上是相互独立,虽然使用的资源是共享的.
例如共享使用物理防火墙的CPU、内存;或者使用同一个接口完成通信或者转发等功能.
要完成角色的拷贝,需要实现一些技术来达成,下文会详细阐述.
USG6000系列下一代防火墙产品虚拟化技术白皮书2概念及原理华为专有和保密信息版权所有华为技术有限公司7图2-6虚拟化后角色的拷贝USG6000系列下一代防火墙产品虚拟化技术白皮书3虚拟防火墙的业务与功能华为专有和保密信息版权所有华为技术有限公司13虚拟防火墙的业务与功能3.
1虚拟防火墙管理3.
1.
1设备管理虚拟化技术虚拟防火墙在逻辑上是一个独立的网元,除了某些功能外,管理员操作虚拟防火墙和物理防火墙没有什么两样.
管理虚拟化需要解决几个问题,包括:配置存储如何独立采用的方案是仍旧使用一个配置文件,虚拟防火墙配置在其中分段保存.
多个虚拟用户保存的时候,需要串行操作执行.
虚拟管理员可以单独将本虚拟系统的配置导入导出.
特性配置如何隔离一般采用增加虚拟系统ID或者映射的方法,使得各特性,例如IPS的自定义签名条目打上虚拟系统的烙印,而不必担心重名、ID冲突等.
虚拟系统管理员如何隔离引入虚拟防火墙视图,也就是面向虚拟防火墙的独立的配置管理界面.
将虚拟防火墙相关的配置命令都收集在虚拟防火墙视图下进行,所有的配置命令和根防火墙管理员在系统视图下配置根防火墙的命令一致,不用添加额外的参数.
这样使用户在配置虚拟防火墙时更像是在配置一台独立的防火墙,同时使虚拟防火墙的配置集中,配置效率高,也便于查看和管理.
日志、审计如何独立在各种日志、审计信息中增加虚拟系统信息例如ID等.
虚拟系统也可以配置自己的日志服务器.
3.
1.
2资源分配与回收技术新建虚拟防火墙以后,虚拟防火墙缺省共享整机全部资源.
共享资源机制可能会导致某些虚拟防火墙占用过量系统资源,使得其他虚拟防火墙不能及时申请到可用的资源.
因而需要制定一种策略来保证每个虚拟防火墙都可以申请到一定的资源,同时也需要保证在部分虚拟防火墙空闲时,资源不至于过量浪费.
资源包括CPU资源、内存资源和接口资源.
对资源的使用需要满足下列条件:确保每个虚拟防火墙都有资源可用.
USG6000系列下一代防火墙产品虚拟化技术白皮书3虚拟防火墙的业务与功能华为专有和保密信息版权所有华为技术有限公司2确保每个虚拟防火墙不会使用资源过量,使得其他虚拟防火墙无资源可用.
避免形成某些虚拟防火墙恶意占用资源,导致拒绝服务攻击的漏洞.
避免部分虚拟防火墙空闲占用的资源浪费,其他活动的虚拟防火墙申请不到资源.
为了对资源进行合理分配利用,防止某些虚拟防火墙占用过量资源,某些虚拟防火墙在特定时段占用的资源全部浪费,必须制定一种资源限制策略,保证虚拟防火墙申请资源进行合理处理.
对虚拟防火墙进行资源限额,可以通过对各项资源配置保证数量和最大数量来对资源进行限制.
若只配置了保证数量,未配置最大数量,缺省最大数量和保证数量相同.
对安全策略数量、地址,本地用户/用户组、NAT地址/地址池数量、SSLVPN隧道数、仅配置一个保证数量(由命令行设计保证),因为该类资源一旦配置,相对比较稳定,用户很少需要改动,也避免系统过于复杂.
另一类资源,一般是系统在运行过程中根据转发流的情况动态申请.
如转发面会话表、监控表、带宽等资源表现为实时性很高,可能某一个时段仅需要占用少量资源,另一个时段会占用较大资源,甚至全部资源.
这样根防火墙管理员为虚拟防火墙分配资源时就可以配置一个保证数量和一个最大数量,防止某些虚拟防火墙空闲时,分配的资源浪费掉,通过预留一部分资源为全部虚拟防火墙所共享,大家抢占使用.
使得防火墙的整机资源得到高效利用,也可以避免空闲的虚拟防火墙在使用时出现饥饿申请不到资源的情况.
删除虚拟防火墙时,按照一定的顺序对各子系统的资源进行回收,保证资源回收干净.
3.
1.
3特征扫描引擎虚拟化技术内容安全功能(IPS、DLP、AV等)的核心是基于状态机的特征扫描引擎.
报文攻击、病毒、威胁文件等均体现为一个或者多个特征串,这些特征串由安全专家分析得出,也可以由用户自己定义.
这些特征串编译成状态机后便可以匹配报文内容中的威胁片段.
内容安全功能虚拟化后,各个管理员可以配置自己的规则,如图3-1所示.
这些规则是放在一个状态机中,还是分开存放是一个需要解决的技术问题.
如果放在一起,状态机可能会变得很大会影响性能,并且需要归并完全一致的规则;如果分开放,状态机的数量将与虚拟防火墙的规格数一致变得很大也会影响性能,并且报文需要多次送入引擎扫描.
综合了各种利弊,目前采用不同虚拟防火墙的规则放在一个状态机的方案.
USG6000系列下一代防火墙产品虚拟化技术白皮书3虚拟防火墙的业务与功能华为专有和保密信息版权所有华为技术有限公司3图3-1特征扫描引擎的虚拟化3.
2多业务转发3.
2.
1多样化的分流技术如图3-2所示,不同的虚拟防火墙分别占有一个独立的物理入口,共享一个物理出口.
这种场景在部门数并不多,而且防火墙物理接口数又较为充足的情况下比较适用.
实现分流较为简单,将独立的接口绑定在虚拟防火墙上,处理流量时根据入接口的索引即可导向不同的虚拟防火墙.
图3-2虚拟防火墙有独立物理接口的部署场景如图3-3所示,防火墙工作在透明模式下,不同机构通过VLAN接入防火墙设备,在防火墙上就可以通过VLAN标志对接入不同机构的流量进行划分区分,通过VLAN绑定不同到不同机构的虚拟防火墙,则不同VLAN的流量可以导向不同的虚拟防火墙.
USG6000系列下一代防火墙产品虚拟化技术白皮书3虚拟防火墙的业务与功能华为专有和保密信息版权所有华为技术有限公司4图3-3虚拟防火墙透明模式下VLAN分流场景如上图所示,对VLAN而言,要求接口要起Trunk模式,这样才能接收不同的VLAN的数据包.
系统根据VLANID区分流量.
VLAN10,20的数据包进入防火墙设备,防火墙根据进入的数据包的VLANID区分进入的虚拟防火墙.
3.
2.
2跨虚拟防火墙转发技术不同虚拟防火墙属于不同的机构,如果不同机构之间需要互相访问,则需要跨虚拟防火墙,如图3-4所示.
图3-4跨企业、部门业务应用如图3-5所示,部门1和2,需要跨虚拟防火墙的方式,把流量导向根虚拟防火墙.
根虚拟防火墙建立和远程之间的隧道.
部门1和2的数据包可以通过根虚拟防火墙这个共享的隧道进行数据安全传递.
图3-5虚拟防火墙IPSecVPN部署场景USG6000系列下一代防火墙产品虚拟化技术白皮书3虚拟防火墙的业务与功能华为专有和保密信息版权所有华为技术有限公司5跨虚拟防火墙转发是虚拟防火墙常用的功能,其主要技术难点在于流量在物理墙内就需要完成转发,而不能将流量送出物理防火墙再收回来进行处理.
通过虚拟接口技术可以实现数据包跨虚拟防火墙转发.
其主要特点是虚拟防火墙通信像一般防火墙之间通信一样,如图3-6所示,流量送入VSYS1后经过处理后再送入VSYS2(可以是ROOT,也可以是一般虚拟防火墙)处理后发出.
虚拟防火墙都有一个称为虚拟接口(VirtualInterface)的逻辑接口,接口的编号为VirtualIfxx,其中xx即虚拟防火墙的VPNID.
虚拟接口可以加入任意一个虚拟防火墙安全域,在跨墙转发中,虚拟接口起着导流和构建安全安全域间关系的作用.
另外,虚拟接口只在跨虚拟墙转发时才生效,其余场景不生效.
图3-6虚拟系统间的通信USG6000系列下一代防火墙产品虚拟化技术白皮书4运营与部署华为专有和保密信息版权所有华为技术有限公司14运营与部署4.
1数据中心/云计算组网模式数据中心是大量业务、应用、计算、数据加工、存储和处理的中心.
数据中心一般会存放大量的服务器、磁盘阵列、安全设备、网络设备,是为了接入、承载服务器的业务而建设的基础设施.
新兴的云计算技术,其核心理念是将网络资源和计算能力存放于网络云端.
网络用户只需通过网络终端接入公有网络,就可以访问相应的网络资源,使用相应的服务.
一般来说,云即是一个或者多个实现了虚拟化等技术的数据中心.
在数据中心及云里,不同用户之间的流量隔离、安全防护和资源分配是非常重要的一环.
通过虚拟系统技术,使得部署在云计算中心或数据中心出口的NGFW具备云计算网关的能力,对用户流量进行隔离的并提供强大的安全防护能力.
在下图中:虚拟机是指物理服务器一虚多出来的逻辑服务器,能够独立提供相关的业务服务.
SSMC即SharedServiceManagementCenter,共享服务管理中心,用以管理存储、服务器、IP、带宽、网络安全设施等资源进行统一管理.
虚拟机间通过VLAN进行隔离,不同VLAN间的虚拟机不能互访,一个VLAN里可有多个虚拟机.
业务服务器和SSMC能够访问各虚拟机.
虚拟防火墙是各虚拟机的默认网关,虚拟防火墙通过共享的公网IP或者地址组和Internet进行互联.
各虚拟防火墙通过SSMC统一进行监管,一般SSMC通过下发脚本进行管理,可以在各虚拟防火墙上配置安全策略、带宽策略等.
USG6000系列下一代防火墙产品虚拟化技术白皮书4运营与部署华为专有和保密信息版权所有华为技术有限公司2图4-1虚拟防火墙在数据中心/云中的使用4.
2企业部门隔离组网模式通常大中型企业的网络都具有大量的网络设备.
为了保护核心资产,网段需要严密的权限划分.
虽然传统防火墙可以通过安全区域对网络进行隔离,但是在组网和需求复杂的情况下,通过接口划分的安全区域可能并不能满足需求,或者导致策略配置异常复杂,容易出错.
同时由于网络管理员权限相同,不同网络的多个管理员操作同一台设备,更加容易造成配置的冲突.
通过虚拟系统技术,可以在实现网络隔离的基础上,使得业务管理更加清晰和简便.
USG6000系列下一代防火墙产品虚拟化技术白皮书4运营与部署华为专有和保密信息版权所有华为技术有限公司3图4-2虚拟防火墙在企业部门隔离中的应用如上图所示,某大型企业将公司网络分为研发部和市场部等区域.
网络流量主要集中在每个区域内网络、以及区域与Internet之间.
不同区之间出于安全考虑,很少有通信需求.
上图中:通过两个虚拟防火墙VSYS-Market和VSYS-RnD将各部门的网络隔离开来,研发部不能访问市场部办公区和服务器,同理,市场部不能访问研发部办公区和服务器.
但是,研发部和市场部均可以访问公共服务器.
各部门间的IP地址可以重叠,组网灵活.
VSYS-Market和VSYS-RnD可以分别被各自部门的IT管理员管理.
各管理员可以根据自身部门要求配置不同的上网认证策略、安全策略、带宽策略等.
通过这种分而治之的策略,使得网络管理变得更为清晰.
根防火墙(ROOT)管理员可以根据各部门的实际情况(例如人员规模、业务模型等),分配不同额度的资源(带宽、策略、会话数)给各个虚拟防火墙使用.
各部门通过共享根防火墙的接口进行Internet互联.
在外分支机构通过与根防火墙建立IPSec隧道接入各自部门的服务器网络.
根防火墙根据IPSec的SPI索引来区分报文来自哪个隧道并将报文引流到不同的虚拟防火墙上再行处理.
市场出差人员通过与根防火墙建立L2TPoverIPSec隧道接入市场部服务器网络.
根防火墙根据根据VT口上绑定的不同VPN实例号再将报文引流到不同的虚拟防火墙上再行处理.