虛擬化是一項日久彌新的技術,通過虛擬化,組件或系統可以獲得隔離、解耦以及資源的最大化利用。從虛擬操作系統平臺、VMM、VLAN、VPN到當前的Hipervisor、OpenFlow、SDN,虛擬化技術一直沒有停止創新和發展。當前蓬勃發展的云計算及其相關產業,最重要的一項基礎技術便是虛擬化。虛擬化能夠為用戶帶來節省投入、快速整合、降低運維成本等利益,越發體現其強大的生命力。Gartner《服務器虛擬化的未來》顯示“截止2008年,不能充分利用虛擬化技術的企業將會多支出40%的采購成本和20%左右的管理成本
那么,我們來看看華為新一代防火墻USG6000有哪些地方可以匹配下一代虛擬化防火墻呢?它擁有哪些特點呢?
那我們先來看看,什么是虛擬化?
虛擬化(Virtualization)是資源的邏輯表示,而不受物理限制的約束。虛擬化技術的實現形式是在系統中加入一個虛擬化層,將下層的資源抽象成另一形式的資源,提供給上層使用。
快速變化的客戶業務需要一個靈活的、易構建、易維護的網絡設施。這種靈活性通常體現在不變更網絡的物理拓撲而僅變更邏輯即可達成目標。網絡虛擬化便是這樣一種架構,它在物理設施上構建一系列邏輯上相互獨立的網絡環境給不同需求的用戶使用,在用戶看來,他使用的是一個獨立的物理網絡環境。通過虛擬化,物理和邏輯實現了解耦,不管是物理網絡升級還是邏輯網絡變更,僅僅需要改動一部分而不動全部。
1.設備管理虛擬化技術
虛擬防火墻在邏輯上是一個獨立的網元,除了某些功能外,管理員操作虛擬防火墻和物理防火墻沒有什么兩樣
2.資源分配與回收技術
新建虛擬防火墻以后,虛擬防火墻缺省共享整機全部資源。共享資源機制可能會導致某些虛擬防火墻占用過量系統資源,使得其他虛擬防火墻不能及時申請到可用的資源。因而需要制定一種策略來保證每個虛擬防火墻都可以申請到一定的資源,同時也需要保證在部分虛擬防火墻空閑時,資源不至于過量浪費。資源包括CPU資源、內存資源和接口資源,為了對資源進行合理分配利用,防止某些虛擬防火墻占用過量資源,某些虛擬防火墻在特定時段占用的資源全部浪費,必須制定一種資源限制策略,保證虛擬防火墻申請資源進行合理處理。對虛擬防火墻進行資源限額,可以通過對各項資源配置保證數量和最大數量來對資源進行限制。若只配置了保證數量,未配置最大數量,缺省最大數量和保證數量相同。對安全策略數量、地址,本地用戶/用戶組、NAT地址/地址池數量、SSLVPN隧道數、僅配置一個保證數量(由命令行設計保證),因為該類資源一旦配置,相對比較穩定,用戶很少需要改動,也避免系統過于復雜。
3.特征掃描引擎虛擬化技術
內容安全功能(IPS、DLP、AV等)的核心是基于狀態機的特征掃描引擎。報文攻擊、病毒、威脅文件等均體現為一個或者多個特征串,這些特征串由安全專家分析得出,也可以由用戶自己定義。這些特征串編譯成狀態機后便可以匹配報文內容中的威脅片段。內容安全功能虛擬化后,各個管理員可以配置自己的規則,這些規則是放在一個狀態機中,還是分開存放是一個需要解決的技術問題。如果放在一起,狀態機可能會變得很大會影響性能,并且需要歸并完全一致的規則;如果分開放,狀態機的數量將與虛擬防火墻的規格數一致變得很大也會影響性能,并且報文需要多次送入引擎掃描。綜合了各種利弊,目前采用不同虛擬防火墻的規則放在一個狀態機的方案。
4.多業務轉發
不同的虛擬防火墻分別占有一個獨立的物理入口,共享一個物理出口。這種場景在部門數并不多,而且防火墻物理接口數又較為充足的情況下比較適用。實現分流較為簡單,將獨立的接口綁定在虛擬防火墻上,處理流量時根據入接口的索引即可導向不同的虛擬防火墻。
5.跨虛擬防火墻轉發技術
不同虛擬防火墻屬于不同的機構,如果不同機構之間需要互相訪問,則需要跨虛擬防火墻
部門1和2,需要跨虛擬防火墻的方式,把流量導向根虛擬防火墻。根虛擬防火墻建立和遠程之間的隧道。部門1和2的數據包可以通過根虛擬防火墻這個共享的隧道進行數據安全傳遞。
跨虛擬防火墻轉發是虛擬防火墻常用的功能,其主要技術難點在于流量在物理墻內就需要完成轉發,而不能將流量送出物理防火墻再收回來進行處理。通過虛擬接口技術可以實現數據包跨虛擬防火墻轉發。其主要特點是虛擬防火墻通信像一般防火墻之間通信一樣,
華為USG6000憑借以上幾個特點,引導著下一代防火墻的技術前端,由云計算等新技術掀起的信息產業變革已不可阻擋,為適應正在發生的革命性變化與融合,華為做出面向客戶的戰略調整,華為的創新也從電信運營商網絡向企業業務、消費者領域延伸,協同發展“云-管-端”業務。在此業務轉型的大背景下,防火墻產品也需要轉變傳統觀念,以全新的視角來實現虛擬化并融合入大平臺。
京公網安備 11010502049343號