虛擬防火墻技術(shù)在數(shù)據(jù)中心的應(yīng)用_第1頁
虛擬防火墻技術(shù)在數(shù)據(jù)中心的應(yīng)用_第2頁
虛擬防火墻技術(shù)在數(shù)據(jù)中心的應(yīng)用_第3頁
虛擬防火墻技術(shù)在數(shù)據(jù)中心的應(yīng)用_第4頁
虛擬防火墻技術(shù)在數(shù)據(jù)中心的應(yīng)用_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、虛擬防火墻技術(shù)在數(shù)據(jù)中心的應(yīng)用一、概述運(yùn)營商作為網(wǎng)絡(luò)的承建者和效勞提供者,不僅為用戶提供各類業(yè)務(wù),還要對數(shù)據(jù) 中心的網(wǎng)絡(luò)和信息平安進(jìn)行完全的監(jiān)控和治理保護(hù)等。數(shù)據(jù)中心作為網(wǎng)絡(luò)數(shù)據(jù)的核心,常常會受到來自外界的解決入侵,平安問題是極 為重要的一環(huán)。互聯(lián)網(wǎng)每一年都有大量數(shù)據(jù)中心效勞器蒙受解決的事件發(fā)生,對 用戶造成龐大的損失,數(shù)據(jù)中心平安在其建設(shè)進(jìn)展中愈來愈受到重視。為數(shù)據(jù)中 心內(nèi)部網(wǎng)絡(luò)與效勞器提供網(wǎng)絡(luò)平安功能,通常會部署防火墻產(chǎn)品作為解決防范和 平安過濾的設(shè)備,同時為內(nèi)網(wǎng)效勞器間互訪提供平安操縱。防火墻是數(shù)據(jù)中心必不可少的平安防御組件,可為后端效勞器提供解決防范、內(nèi) 網(wǎng)平安、流量監(jiān)控、郵件過濾、網(wǎng)

2、頁過濾、應(yīng)用層過濾等功能。隨著數(shù)據(jù)中心虛 擬化技術(shù)的不斷進(jìn)展,防火墻虛擬化做為其中關(guān)鍵技術(shù)之一日趨興起。二、虛擬防火墻技術(shù)的產(chǎn)生初期的互聯(lián)網(wǎng)時期,當(dāng)企業(yè)需要為用戶提供互聯(lián)網(wǎng)效勞時,為了節(jié)省治理本錢與 加速互聯(lián)網(wǎng)用戶訪問速度,很多企業(yè)將其效勞器放置到運(yùn)營商數(shù)據(jù)中心(IDC, Internet Data Center)內(nèi),由運(yùn)營商朝維代管,并直接提供互聯(lián)網(wǎng)接入,這種 形式也被稱為運(yùn)營商的主機(jī)托管業(yè)務(wù)。隨著互聯(lián)網(wǎng)的飛速進(jìn)展,運(yùn)營商數(shù)據(jù)中心 業(yè)務(wù)已經(jīng)成為其盈利的重點(diǎn)核心業(yè)務(wù)。同時,平安要求日趨嚴(yán)格,需要在大規(guī)模部署的多企業(yè)用戶效勞器間的進(jìn)行訪問 操縱,如存在相關(guān)業(yè)務(wù)企業(yè)間的受控訪問,無關(guān)企業(yè)間的絕對隔

3、離等。因此,對 運(yùn)營商數(shù)據(jù)中心治理人員來講,如何靈活方便的實(shí)現(xiàn)各企業(yè)平安區(qū)域劃分和平安 區(qū)域之間有操縱的互訪成為其超級關(guān)注的問題。這也對提供平安區(qū)域隔離功能的 防火墻設(shè)備提出了更高的要求。針對以上要求,傳統(tǒng)防火墻的部署模式存在著以下缺點(diǎn):較多的企業(yè)用戶使得運(yùn)營商要部署治理多臺獨(dú)立防火墻,致使擁有和保護(hù)本錢 增高;集中放置的多個獨(dú)立防火墻會占用較多的物理空間,并加大布線的復(fù)雜度;物理防火墻的增加將增加網(wǎng)絡(luò)治理的復(fù)雜度;當(dāng)企業(yè)用戶發(fā)生新的轉(zhuǎn)變后,需要在物理組網(wǎng)上對傳統(tǒng)防火墻做改動,對整個 網(wǎng)絡(luò)造成阻礙較大。為了適應(yīng)新的業(yè)務(wù)模式需求,虛擬防火墻技術(shù)應(yīng)運(yùn)而生。虛擬防火墻通過在同一 臺物理設(shè)備上劃分多個

4、邏輯的防火墻實(shí)例來實(shí)現(xiàn)對多個業(yè)務(wù)部門的獨(dú)立平安策 略部署,利用其部署的靈活性可實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的對新業(yè)務(wù)的適應(yīng)性。三、虛擬防火墻技術(shù)虛擬防火墻是一個邏輯概念,該技術(shù)能夠在一個單一的硬件平臺上提供多個防火 墻實(shí)體,即把一臺防火墻設(shè)備在邏輯上劃分成多臺虛擬防火墻,每臺虛擬防火墻 都能夠被看成是一臺完全獨(dú)立的防火墻設(shè)備,可擁有獨(dú)立的治理員、平安策略、 用戶認(rèn)證數(shù)據(jù)庫等。每一個虛擬防火墻能夠?qū)崿F(xiàn)防火墻的大部份特性,而且虛擬 防火墻之間彼此獨(dú)立,一樣情形下不許諾彼此通信。虛擬防火墻具有如下技術(shù)特點(diǎn):每一個虛擬防火墻獨(dú)立保護(hù)一組平安區(qū)域;每一個虛擬防火墻獨(dú)立保護(hù)一組資源對象(地址/地址組,效勞/效勞組等);每

5、一個虛擬防火墻獨(dú)立保護(hù)自己的包過濾策略;每一個虛擬防火墻獨(dú)立保護(hù)自己的ASPF策略、NAT策略、ALG策略;可限制每一個虛擬防火墻占用資源數(shù),如防火墻Session和ASPF Session數(shù)量。每一個虛擬防火墻都是VPN實(shí)例和平安實(shí)例的綜合體,能夠?yàn)樘摂M防火墻用戶提 供私有的路由轉(zhuǎn)發(fā)業(yè)務(wù)和平安效勞。每一個虛擬防火墻中能夠包括三層接口、二 層物理接口、三層VLAN子接口和二層Trunk接口 +VLAN。VPN實(shí)例與虛擬防火墻是一一對應(yīng)的,它為虛擬防火墻提供彼此隔離的VPN路由, 與虛擬防火墻相關(guān)的信息要緊包括:VPN路由和與VPN實(shí)例綁定的接口。VPN路 由將為轉(zhuǎn)發(fā)來自與VPN實(shí)例綁定的接口的

6、報文提供路由支持。平安實(shí)例為虛擬防火墻提供彼此隔離的平安效勞,一樣與虛擬防火墻一一對應(yīng)。 平安實(shí)例具有私有的ACL規(guī)那么組和NAT地址池;平安實(shí)例能夠?yàn)樘摂M防火墻提 供地址轉(zhuǎn)換、包過濾、ASPF和NAT ALG等私有的平安效勞。虛擬防火墻一方面解決了業(yè)務(wù)多實(shí)例的問題,更要緊的是,通過它可將一個物理 防火墻劃分為多個邏輯防火墻來用。多個邏輯防火墻能夠單獨(dú)配置不同的平安策 略,同時默許情形下,不同的虛擬防火墻之間是默許隔離的。關(guān)于防火墻系統(tǒng)接收到的數(shù)據(jù)流,系統(tǒng)依照數(shù)據(jù)的Vlan ID、入接口、源地址確 信數(shù)據(jù)流所屬的系統(tǒng)。在各個虛擬防火墻系統(tǒng)中,數(shù)據(jù)流將依照各自系統(tǒng)的路由 完成轉(zhuǎn)發(fā)。四、虛擬防火墻

7、技術(shù)在數(shù)據(jù)中心應(yīng)用1、虛擬防火墻與數(shù)據(jù)中心虛擬化數(shù)據(jù)中心虛擬化分為網(wǎng)絡(luò)、計算和存儲三個虛擬化資源,與虛擬防火墻緊密相關(guān) 的是網(wǎng)絡(luò)虛擬化。數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化功能之一是在網(wǎng)絡(luò)設(shè)備上對多業(yè)務(wù)之間進(jìn) 行隔離訪問操縱,每組業(yè)務(wù)利用獨(dú)立的VPN、VLAN、接口、路由表及轉(zhuǎn)發(fā)表,將 一臺物理網(wǎng)絡(luò)設(shè)備邏輯上分割成多臺虛擬設(shè)備。網(wǎng)絡(luò)虛擬化的要緊目的是為了提 高網(wǎng)絡(luò)設(shè)備資源的利用率,并增強(qiáng)對計算資源的平安訪問隔離操縱能力。網(wǎng)絡(luò)設(shè)備虛擬化的同時,數(shù)據(jù)中心對平安組件提出了一樣的虛擬化需求。虛擬防 火墻實(shí)現(xiàn)了網(wǎng)絡(luò)與平安虛擬一體化的功能,先對防火墻的路由轉(zhuǎn)發(fā)進(jìn)行VPN隔離 劃分,再設(shè)置解決防御與平安過濾規(guī)那么與劃分的VP

8、N相對應(yīng),將一臺物理的防火墻設(shè)備虛擬為多臺獨(dú)立運(yùn)行的邏輯防火墻,簡化網(wǎng)絡(luò),便于治理并提升了設(shè)備 的利用率。圖1虛擬防火墻在數(shù)據(jù)中心的應(yīng)用二、虛擬防火墻應(yīng)付數(shù)據(jù)中心高靠得住需求在數(shù)據(jù)中心環(huán)境中,高靠得住性往往是重要的部署需求,虛擬防火墻部署時需要 考慮雙機(jī)環(huán)境下的流量途徑冗余切換問題。如圖2所示。圖2虛擬防火墻雙機(jī)的應(yīng)用數(shù)據(jù)中心雙機(jī)組網(wǎng)模型下,虛擬防火墻能夠應(yīng)用路由模式或透明模式兩種方式轉(zhuǎn) 發(fā)流量報文。透明模式下,防火墻采納INLINE轉(zhuǎn)發(fā)方式,對進(jìn)出防火墻的Vlan 接口進(jìn)行兩個一組的一一對應(yīng),需要注意的是透明模式下網(wǎng)絡(luò)中不能顯現(xiàn)二層環(huán) 路;而路由模式那么是在不同VPN下部署不同的三層路由轉(zhuǎn)發(fā),VLAN三層接口 一樣做到每組一一對應(yīng),要注意的是路由模式下VRRP等路由冗余協(xié)議的應(yīng)用, 要在匯聚層互換機(jī)上成立兩臺防火墻設(shè)備能夠通信的二層通道。五、終止語虛擬防火墻組網(wǎng)模式極大的減少了用戶擁有本錢。隨著業(yè)務(wù)的進(jìn)展,當(dāng)用戶業(yè)務(wù) 劃分發(fā)生轉(zhuǎn)變或產(chǎn)生新的業(yè)務(wù)部門時,能夠通過添加或減少防火墻實(shí)例的方式十 分靈活的解決后續(xù)網(wǎng)絡(luò)擴(kuò)展問題,在必然程度上降低了網(wǎng)絡(luò)平安數(shù)署的復(fù)雜度。 另一方面,由于以邏輯的形式取代了網(wǎng)絡(luò)中的多個物理防火墻,減少了運(yùn)維中需 要治理保護(hù)的網(wǎng)絡(luò)設(shè)備,簡化了網(wǎng)絡(luò)治理的復(fù)雜度,減少了誤操作的可能性。虛擬防火墻技術(shù)的顯現(xiàn)彌補(bǔ)了防火墻產(chǎn)品在數(shù)據(jù)中心虛擬化應(yīng)用中的局限性

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論