隨著我們的數(shù)據(jù)過渡到虛擬數(shù)據(jù)中心和云中，我們如何保持原來的一切以及過渡之后又會有哪些變化呢?在本周專欄里，筆者解決了選擇物理防火墻還是虛擬防火墻的問題以及如何根據(jù)環(huán)境確定理想的形成要素。許多為虛擬化環(huán)境和云環(huán)境尋找安全方案的企業(yè)會自然而然地認為選擇的范圍只有一兩個。筆者認為其實答案要根據(jù)架構的實際情況來定。

對虛擬防火墻的需求

讓我們首先從虛擬防火墻的使用案例開始。在下面的圖一中，請看一下A和B中描述的情境。假設在虛擬化的數(shù)據(jù)中心環(huán)境中，你通過不同的應用層級——應用，Web和數(shù)據(jù)庫，為數(shù)據(jù)中心分層。在A中，你在相同服務器上保留了相同的應用信任級別。在B中，你將應用信任級別進行了混合。在C中一個服務器上應用的信任級別不同。

在A中，流量是從應用走向數(shù)據(jù)庫，例如，微軟SharePoint到SQL服務器，而且每個應用層級都位于自己的VLAN中。流量可通過虛擬交換機通向外部交換網(wǎng)絡和外部防火墻。

同樣的選擇可以應用到B中，但是卻并不是這一情境最理想的選擇。大多數(shù)B情境的流量都是橫向的，迫使流量縱向通過物理防火墻是低效且昂貴的，因為這樣操作會增加為虛擬機流量提供服務的物理端口數(shù)量。虛擬服務器中的每個應用都需要在自己的VLAN中保護從應用VM到數(shù)據(jù)庫VM的數(shù)據(jù)。因此，一個虛擬的防火墻應該比物理防火墻更適合用于內部托管檢測，如C情境所示。

盡管如此，對于虛擬防火墻的一些考量也很重要。一個虛擬防火墻如果不能夠從硬件加速中獲益，就不能與物理防火墻媲美的性能。但是，軟件架構是差異所在，所以對于配備了軟件架構可優(yōu)化性能和減少延時的虛擬化防火墻要認真考慮。

還需要了解在自己的環(huán)境中虛擬防火墻支持的性能有哪些。在過去兩年里，虛擬化的網(wǎng)絡安全產品激增。許多供應商都努力要與“虛擬化和云”沾上邊，但卻只是給物理防火墻加點虛擬要素的包裝而已，卻忽略了而對虛擬化環(huán)境中實際情況的考量。特別是安全策略應該對虛擬機的創(chuàng)建或動向進行跟蹤，而且應該將目前需要手動執(zhí)行的策略更改變成自動化操作。

你的虛擬平臺供應商有虛擬安全裝置，可以了解環(huán)境的動態(tài)屬性，但是不能提供合適的安全功能。對于網(wǎng)絡的安全威脅不會因為你改用虛擬化的環(huán)境就消失。攻擊者正在使用新型，定向的，復雜的技巧，如漏洞挖掘，惡意軟件和間諜軟件，侵犯你的網(wǎng)絡。你的應用程序員正在部署應用，并利用防火墻上的開放端口繞過安全策略。合作伙伴，承包商和移動用戶需要隨時隨地訪問你的應用。所以虛擬防火墻更需要了解端口，協(xié)議之外的應用，支持基于用戶的策略，并將完整的威脅架構納入策略中對抗現(xiàn)在的安全威脅。

如何對兩者同時進行優(yōu)化呢?你需要對下一代防火墻進行虛擬化操作，下一代防火墻已經解決了安全應用的挑戰(zhàn)，而且可以動態(tài)了解虛擬機的動向，還可以與管理編排軟件進行融合。#p#

虛擬防火墻會取代物理防火墻嗎?

就數(shù)據(jù)中心而言，虛擬防火墻會取代物理防火墻的地位嗎?答案是否定的。因為數(shù)據(jù)中心的性能要求很苛刻，所以物理防火墻不會消失。在某些環(huán)境中，他們或許是唯一的選擇。而在其他環(huán)境中，則可能因傳輸量的需求而被用于邊緣數(shù)據(jù)中心過濾。在大多數(shù)混合的環(huán)境中，則是將物理防火墻與虛擬防火墻結合使用。物理防火墻與虛擬服務器交錯，所以用戶正開始訪問虛擬服務器。同時，虛擬化的防火墻還在服務器中提供了分區(qū)，如圖二所示。

這種架構的另一優(yōu)點是物理防火墻既可以保護虛擬服務器又可以防御hypervisor漏洞。防御hypervisor攻擊需要虛擬供應商保障hypervisor的完整性和軟件加固。但是，對hypervisor提供合適訪問以及檢測虛擬平臺漏洞的補充性安全策略也很重要。這些無法在服務器里通過防火墻實現(xiàn)。畢竟，如果你已經通過一次攻擊訪問過Hypervisor，你就可以控制整個服務器。

結語

數(shù)據(jù)中心環(huán)境正走向自動化的，動態(tài)的，按需服務。安全架構必須與這些要求并駕齊驅，但是也還要解決安全保護和安全應用的實際問題。簡而言之，虛擬數(shù)據(jù)中心和云環(huán)境的網(wǎng)絡安全應該：

◆提供應有的安全特性(安全應用啟用，威脅保護，靈活的網(wǎng)絡整合)

◆動態(tài)化：安全策略必須追蹤VM示例和動向;安全策略應經過精心安排。

◆為數(shù)據(jù)中心的所有安全裝置提供持續(xù)的，集中的管理。