随着虚拟化基础设施的发展,众多企业感到在这些环境中,需要利用并扩展现有的物理网络安全工具来提供更大的可视性和功能性。虚拟防火墙是当今可用的主要的虚拟安全产品之一,也有很多选择性;Check Point有VPN-1防火墙的虚拟版本(VE),思科提供的虚拟网关产品仿真ASA防火墙。Juniper拥有更具特色的虚拟网关(the vGW line),来源于其Altor Networks收购项目,Catbird和Reflex Systems都有虚拟防火墙产品和功能。因此,在评估虚拟防火墙技术的时候我们要考虑什么呢?
虚拟防火墙:管理和可扩展性
在深入钻研虚拟防火墙的具体内容之前,确定是否需要非常重要。很多小型的虚拟化部署很可能不需要。然而,多变敏感级别的大量虚拟机,以及高度复杂的虚拟网络,在多层防御战略中,虚拟防火墙技术就有相当有可能起作用。要注意的是在大多数案例中,虚拟防火墙取代所有的物理防火墙是完全不可能的(尽管一些兼并寄望于大量的物理防火墙)。假设你需要一个虚拟防火墙,怎么办呢?
对于任何安全或者网络团队来说有一些关键的注意事项,包括评估虚拟防火墙。首先,需要评估的两方面类似于你对物理防火墙所作出的评估:可扩展性和管理。从管理方面来看,首先要确定是否能够通过一个单独的控制台(通常是基于Web的)进行主要管理,或者集成到虚拟化管理平台进行管理(像VMware的vCenter)。对于单独的控制台,标准管理要考虑应用,像易用性、基于角色的访问控制、配置选项的粒度等等。另一方面要考虑虚拟设备的命令行管理功能,以及他们如何被访问。例如,大多数思科工程师更喜欢命令行IOS操作,大多数防火墙可以通过SSH来访问。
可扩展性是虚拟防火墙的关键,尤其是对于大型复杂环境。虚拟防火墙可扩展性归根结底是两方面的内容。首先,需要确定单一虚拟防火墙可以调节多少虚拟机或者/和虚拟交换机。对于大型环境,众多虚拟交换机和VM在单一的超级管理器上,就是个大问题。第二个可扩展性主要关注的是从厂商的控制台可以管理的虚拟防火墙的数量,以及各种虚拟防火墙设备之间的策略和配置细节如何更好地共享。
虚拟防火墙:集成
对于虚拟防火墙至关重要的评估点就是防火墙如何实际地集成到虚拟化平台或者环境中。有两个通用的实现方法。第一个也是最简单的一个:防火墙是虚拟设备或者具体的虚拟机(VM)。就像任何其他VM一样可以加载到超级管理器上,然后进行配置,同新的或者现有的虚拟路由器工作。这种模式的好处就是简单以及易于实现,不好的地方在于包含了超级管理器上更高的性能影响,与虚拟化基础架构集成较少,可能配置选择更少。
第二个实现方法是完全同超级管理器内核集成,我们熟知的虚拟机监视器(VMM)。这样提供了访问本地超级管理器和管理平台API,同时自动化性能和低水平的VM流量识别,但是可能也需要额外的时间和精力来正确地安装和配置平台,一些高度自定制虚拟化环境可能会遇到稳定性问题或者冲突。
在评估虚拟防火墙的时候需要考虑的其他因素包括物理安全集成和VM安全策略深度和广度。虚拟防火墙可以“看到”虚拟环境中发生了什么,但是它们能够向物理副本转播警告和安全信息吗?要考虑任何本地或者和物理防火墙、IDS/IPS甚至是管理平台的简单集成功能。此外,虚拟防火墙可以也应该能够超前即将到来的流量以及即将进入的虚拟环境评估VM配置和安全情形。一些虚拟防火墙可以反恶意软件、网络访问控制(NAC)以及配置管理和控制函数,所有的这些都增加了其特性价值。