对于一些网络环境较复杂的企业来说,通常在数据机房中会放置多台工作服务器;但出于对成本的考虑,很多时候不可能为每台服务器都通过硬件防火墙来实施安全保护,因此多数情况下所有服务器都是在一台防火墙的保护之下来共享资源的。但这对于多台服务器的安全保护、系统资源的利用等方面来说,都是有影响的;而虚拟防火墙的概念,则可较好的解决这一问题。
传统防火墙是一个物理的实体,而虚拟防火墙是在这个物理实体里面可以划分多个虚拟的防火墙。虚拟防火墙的某些功能甚至比传统防火墙做的还要好。其简单的运行机制是:将资源分别独立分配给各个虚拟的系统,彼此之间互不干扰,因此当一个虚拟系统因抵御黑客攻击耗费大量资源的时候,另一个虚拟系统的资源却不受任何影响,从而有效保证网络其它应用的正常运行;其网络结构如图1所示。
虚拟防火墙网络结构图
一、虚拟防火墙方案应用
目前通过虚拟化实现网络存储、共享等方面的应用案例很多,比如虚拟存储、虚拟VPN等等;由于在虚拟系统里面需要部署很多的应用系统,需要对各个应用系统之间的安全进行防护和访问控制,同时需要监控和限制各个应用系统之间的流量,而虚拟防火墙正是服务于这些虚拟应用最好的安全保护方法。
需要明确的是,虚拟防火墙只是融合在现有硬件防火墙中的一种功能、或是一种单独的软件。目前看来,带有虚拟防火墙功能的硬件防火墙设备(如图2所示)是最好的应用方向。即是说管理员可以根据产品应用手册或自带的管理软件,将一台传统防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等,以此来实现对不同网段或不同设备的安全防护。
硬件防火墙与交换机连接后,再通过交换机连接不同类别的PC终端,这样虚拟防火墙功能将转嫁应用在每台交换机上,使得每台交换机都成了逻辑上的防火墙设备,以此来实现PC终端或多台服务器的虚拟防火墙保护。不难看出,这样的布置不仅增加了各终端的安全保护级别,而且也可实现对虚拟VPN的间接防护;另外,它也类似于一组独立的物理防火墙,但是更加便于管理。因为它们是虚拟设备,所以组织可以轻松地根据用户的增长情况添加或者删除此种安全结构。
二、关于虚拟防火墙的一些特点说明
从以上应用过程的介绍中我们不难理解,虚拟防火墙的特点不外乎以下两点:
1、以一台硬件设备的投入获得多台同样设备的保护效果,并可满足一些特殊部署的安全需求,比如虚拟VPN、虚拟存储等。
2、由于只是一台硬件防火墙,因此可以大大减少管理的繁锁性。即是说网络管理员通过对一台防火墙的管理,即可达到对多台设备统一管理的目的,大大降低了管理难度。
三、相关产品选购介绍
既然虚拟防火墙功能需要选择相应的硬件防火墙产品才能实现,那么现在市场上有哪些硬件防火墙满足这一要求呢?为方便大家的选购,这里为大家淘到了几款:
1、东软NetEye 5200防火墙
NetEye 5200系列(产品如图3所示)采用全新的三层交换技术,消除了原来复杂的工作模式概念,在应用方面也对行业用户较重视的虚拟防火墙、策略NAT、链路绑定等功能模块进行了细化与加强。值得一提的是,此款设备还提供了对多播、硬件等方面的监控。
2、H3C SecPath F1800-A防火墙
通过虚拟防火墙技术可以在SecPath F1800-A(如图4所示)上创建多个虚拟防火墙,每个虚拟防火墙具有独立的接口、路由、安全策略等资源,可以简化企业网络安全部署的复杂度和降低总体拥有成本。
