中國IDC圈8月8日報道：理想情況下，服務(wù)器應(yīng)該足夠穩(wěn)定，能夠抗御互聯(lián)網(wǎng)的所有攻擊，網(wǎng)絡(luò)提供最優(yōu)的端到端傳輸。但現(xiàn)實(shí)情況是，數(shù)據(jù)中心網(wǎng)絡(luò)總是通過嵌入的防火墻實(shí)現(xiàn)主要的安全保護(hù)來減少暴力攻擊造成的拒絕服務(wù)，對入站流量極少執(zhí)行TCP端口過濾。

使用防火墻來保護(hù)數(shù)據(jù)中心網(wǎng)絡(luò)的物理服務(wù)器已經(jīng)很難了，把它用于保護(hù)虛擬服務(wù)器，或者私有云環(huán)境，那么難度會更大。畢竟，虛擬服務(wù)器會經(jīng)常遷移，所以防火墻不需要必須位于服務(wù)器物理邊界內(nèi)。有幾種策略可以為虛擬環(huán)境提供防火墻保護(hù)。

虛擬網(wǎng)絡(luò)安全

傳統(tǒng)數(shù)據(jù)中心架構(gòu)的網(wǎng)絡(luò)安全設(shè)計眾所周知：如果服務(wù)器的物理邊界屬于同一個安全域，那么防火墻通常位于聚合層。當(dāng)你開始實(shí)現(xiàn)服務(wù)器虛擬化，使用 VMware的vMotion和分布式資源調(diào)度（Distributed Resource Scheduler）部署虛擬機(jī)移動和自動負(fù)載分發(fā)時，物理定界的方式就失去作用。在這種情況下，服務(wù)器與剩余的網(wǎng)絡(luò)之間的流量仍然必須通過防火墻，這樣就會造成嚴(yán)重的流量長號，并且會增加數(shù)據(jù)中心的內(nèi)部負(fù)載。

虛擬網(wǎng)絡(luò)設(shè)備能夠讓你在網(wǎng)絡(luò)中任何地方快速部署防火墻、路由器或負(fù)載均衡器。但當(dāng)你開始部署這樣的虛擬網(wǎng)絡(luò)設(shè)備時，上述問題會越來越嚴(yán)重。這些虛擬化設(shè)備可以在物理服務(wù)器之間任意移動，其結(jié)果就是造成更加復(fù)雜的流量流。VMware的vCloud Director就遇到這樣的設(shè)計問題。

使用DVFilter和虛擬防火墻

幾年前，VMware開發(fā)了一個虛擬機(jī)管理程序DVFilter API，它允許第三方軟件檢查網(wǎng)絡(luò)和存儲并列虛擬機(jī)的流量。有一些防火墻和入侵檢測系統(tǒng) （IDS）供應(yīng)商很快意識到它的潛在市場，開始發(fā)布不會出現(xiàn)過度行為的虛擬防火墻。VMware去年發(fā)布了vShield Zones和vShield App，也成為這類供應(yīng)商的一員。

基于DVFilter的網(wǎng)絡(luò)安全設(shè)備的工作方式與典型的防火墻不同。它不強(qiáng)迫流量必須通過基于IP路由規(guī)則的設(shè)備，而是明確地將防火墻插入到虛擬機(jī)的網(wǎng)卡（vNIC）和虛擬交換機(jī)（vSwitch）之間。這樣，不需要在虛擬機(jī)、虛擬交換機(jī)或物理網(wǎng)絡(luò)上進(jìn)行任何配置，防火墻就能夠檢測所有進(jìn)出vNIC 的流量。vShield通過一個特別的配置層進(jìn)一步擴(kuò)充這個概念：你可以在數(shù)據(jù)中心、集群和端口組（安全域）等不同級別上配置防火墻規(guī)則，在創(chuàng)建每個 vNIC的策略時防火墻會應(yīng)用相應(yīng)的規(guī)則。

并列防火墻自動保護(hù)虛擬機(jī)的概念似乎是完美的，但是由于DVFilter API的構(gòu)架原因，它只能運(yùn)行在虛擬機(jī)管理程序中，所以它也有一些潛在的缺點(diǎn)。

虛擬機(jī)防火墻的缺點(diǎn)：

每一個物理服務(wù)器都必須運(yùn)行一個防火墻VM.防火墻設(shè)備只能保護(hù)運(yùn)行在同一臺物理服務(wù)器上的虛擬機(jī)。如果希望保護(hù)所有物理位置的虛擬機(jī)，那么你必須在每一臺物理服務(wù)器上部署防火墻VM.

所有流量都會被檢測。你可能將DVFilter API只應(yīng)用到特定的vNIC上，只保護(hù)其中一些虛擬機(jī)，但是vShield產(chǎn)品并不支持這個功能。部署這些產(chǎn)品之后，所有通過虛擬機(jī)管理程序的流量都會被檢測到，這增加了CPU使用率，降低了網(wǎng)絡(luò)性能。

防火墻崩潰會影響到VM.防火墻VM的另一個問題是它會影響DVFilter API.受到影響的物理服務(wù)器上所有虛擬機(jī)網(wǎng)絡(luò)都會中斷。然而，物理服務(wù)器仍然可以運(yùn)行，并且連到網(wǎng)絡(luò)；因此，高可用特性無法將受影響的VM遷移到其他物理服務(wù)器上。

相同流量流會執(zhí)行多次檢測。DVFilter API在vNIC上檢測流量。因此，即使虛擬機(jī)之間傳輸?shù)牧髁繉儆谕�一個安全域，它們也會被檢測兩次，而傳統(tǒng)防火墻則不會出現(xiàn)這種情況。

虛擬交換機(jī)在虛擬化安全中的作用

虛擬化安全設(shè)備制造商也可以選擇vPath API，它可用于實(shí)現(xiàn)自定義虛擬交換機(jī)。思科系統(tǒng)最近發(fā)布了虛擬安全網(wǎng)關(guān)（Virtual Security Gateway ，VSG）產(chǎn)品，該產(chǎn)品可能整合傳統(tǒng)（非DVFilter）虛擬防火墻方法和流量流優(yōu)化技術(shù)。思科宣布VSG只進(jìn)行初始流量檢測，并將卸載流量轉(zhuǎn)發(fā)到虛擬以太網(wǎng)模塊（Virtual Ethernet Modules，VEM：虛擬機(jī)管理程序中改良的虛擬交換機(jī)），從而防止出現(xiàn)流量長號和性能問題。如果這一切是真的，那么VSG可能是工程師部署安全云服務(wù)的最理想工具。