虚拟化

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 虚拟化

保障网络虚拟化安全:分布式防火墙解析

作者:雷霆出处:IT专家网2013-09-12 09:53

  VMware在本年度的VMworld大会上发出一个大信号,其虚拟化的下一个方向将是NSX,致力于网络和安全虚拟化。NSX将虚拟机模型提升到了网络级。我最近有机会同VMware网络和安全业务部(NSBU)设计师Brad•Hedlund探讨这个议题。他介绍了虚拟网络,特别是分布式防火墙。

  软件定义

  “一旦你创建虚拟机,你已经从根本上改变数据中心中计算的经营模式,因此,我们认为通过NSX和虚拟网络,我们将能够在网络层做同样的事情,”Hedlund说,“我们将能够把整个虚拟网络作为一个整体抽象,可以部署任何硬件上。这的确是一个软件驱动的系统和API。虚拟网络的一部分当然安全性,保证应用程序可以以任何形式,大小和拓扑结构。”

  分布式防火墙可以很好地保证在多层应用从一个网络层到另一个网络层的流量安全。下图显示了分布式防火墙的整体架构:

1.jpg

  分布式防火墙

  从物理防火墙虚拟防火墙

  “我们在过去所做的,就是用我们所知道的方式来提供安全保障,那就是防火墙,”Hedlund表示,“那是一个设备,上面带有端口,你将它插入到交换机上的某个地方,引导网络流量通过防火墙从某一层到另外一层。 ”

  根据Hedlund的观点,下一代的防火墙迭代是虚拟防火墙。“你把过去的带物理端口的物理设备,变成一个虚拟的设备。它本质上是同一种东西,一个我需要管理的防火墙,但它是一个虚拟设备。因此,我们仍然有需要控制流量通过虚拟防火墙,这是一个网络架构考虑。需要解决的挑战是,如何配置和部署网络以分发流量通过防火墙。”

  VMware正在力图改变现状,以NSX虚拟网络和安全,从根本上改变应用程序安全在数据中心的部署,特别是当你试图确保流量在应用程序中从一层安全地跑到另一个层。

  “我们倾向称之为东/西流量(east/west traffic),当你有从服务器到服务器流量以满足后端的应用程序。”Hedlund说,“这正是我们看到的分布式防火墙处理东/西流量。你还在数据中心中有南/北流量,那通常来自客户端到应用程序的前端,也可能是某种形式的Web服务器。肯定有外围防火墙在应用程序边缘并接触外面的世界,我们仍然可以看到一个传统的虚拟或物理防火墙的角色适合那里。”

  基本上,通过分布式防火墙,你引导流量穿过虚拟防火墙以保证东/西流量的安全。分布式防火墙在你挂接虚拟机的hypervisor实施防火墙安全。

  当一台虚拟机发送一个数据包到另一台虚拟机 - 之前它去任何地方,甚至是接触网络 - 能够在所有的hypervisor实现防火墙的安全。安全策略被集中管理,并推到所有的hypervisor。

  “所以你不再具备瓶颈了,你不必担心一个特定的虚拟的或物理的防火墙的规模和性能,因为防火墙和流程正在虚拟机所在的边缘。你无须再管理和照料一个防火墙设备。”Hedlund说。

  因此,这种模式使得防火墙变成一个易于管理的服务。

  简化应用程序部署

  “这将简化部署应用程序的方式。”Hedlund断言。

  现在,当你部署一个应用程序时,你配置安全作为应用程序拓扑的一部分,从一组虚拟机到另一组的虚拟机,通过在这两组虚拟机之间放置一个防火墙。

  使用虚拟防火墙提供的云管理门户,更优于实施一个虚拟或物理防火墙然后通过它控制流量。设置应用程序和Web服务器之间的协议时,几乎都是点选式的控制。这种简化管理,可以在跨项目或运营团队获得大量的好处。

  分布式防火墙还提供了更好的性能并简化应用程序的架构,这有助于节约成本。

  流量定向

  与传统的网络架构的做法相比较,可以看到分布式防火墙大大地简化了流量定向。

  “当你在hypervisor边缘编程实施安全策略,在那一点,你不再需要流量定向,”Hedlund说,“因为一旦包离开hypervisor和碰撞第一台网络交换机,它已经通过防火墙,我们没必要围绕防火墙推这些包,因为我们已经实施了安全策略。”

  结论

  当面临部署新的应用决策,客户可以拥抱分布式防火墙技术。分布式防火墙在SDN架构编程部署意味着在部署策略中可以减少出错的概率。它们还简化了在灾难恢复中移动应用程序,以及其他的应用程序迁移方案。当你部署虚拟机时,配置被无保留地应用,减少了人为错误的空间。Hedlund看到物理防火墙更少的未来,但它们仍会做它们最擅长的,在外围处理流量,而不是在网络层之间。

相关文章

关键词:网络虚拟化,安全虚拟化,分布式防火墙,VMware,实践

责任编辑:周钜翔

网警备案