中國石油大學(xué):防火墻虛擬化應(yīng)用于虛擬網(wǎng)

文/田愛寶

文/田愛寶

隨著網(wǎng)絡(luò)的發(fā)展，越來越多的應(yīng)用系統(tǒng)需要網(wǎng)絡(luò)承載。很多情況下，出于安全等方面的原因，應(yīng)用系統(tǒng)并不適合接入Internet，需用使用專網(wǎng)的方式提供服務(wù)，而有些應(yīng)用系統(tǒng)的用戶并不在相對集中的地方，甚至相隔幾千公里，使用租用專線的方式成本高昂，線路利用率不高，這時，虛擬專用網(wǎng)（Virtual Private Network，簡稱VPN）應(yīng)運(yùn)而生。虛擬專用網(wǎng)是利用公共線路建立的專用網(wǎng)絡(luò)，無需租用高昂的專用線路，低成本的利用公共網(wǎng)絡(luò)提供專網(wǎng)服務(wù)。

虛擬專用網(wǎng)具有低成本、數(shù)據(jù)傳輸安全可靠、接入靈活等優(yōu)點(diǎn)，得到了廣泛的使用。根據(jù)虛擬專用網(wǎng)使用的技術(shù)，分為IPsec VPN、SSL VPN、PPTP VPN等多種類型，其中根據(jù)安全級別、網(wǎng)絡(luò)結(jié)構(gòu)、接入端類型可以選擇不同類型的VPN，以滿足應(yīng)用系統(tǒng)安全、方便用戶接入等需求。

防火墻是由硬件和軟件組成的一套安全系統(tǒng)，在專用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)件形成一道安全屏障，保護(hù)專用網(wǎng)絡(luò)安全。防火墻能提供完整的安全保護(hù)機(jī)制和手段，同時作為安全產(chǎn)品，有些防火墻還提供了VPN功能。

多專網(wǎng)并行面臨的問題

中國石油大學(xué)（華東）目前有兩個校區(qū)、一個辦事處、一個產(chǎn)業(yè)基地，兩兩相距20到1000公里不等，師生因教學(xué)生活等原因會在不同的地點(diǎn)流動，均希望能享受與主校區(qū)相同的校園信息化服務(wù)。校園信息化系統(tǒng)中最基礎(chǔ)的校園一卡通系統(tǒng)、學(xué)校財務(wù)綜合管理系統(tǒng)、學(xué)校醫(yī)療醫(yī)保系統(tǒng)需要根據(jù)各分支點(diǎn)的情況一個或多個延伸到不同的分支機(jī)構(gòu)，由于安全等問題，各自專網(wǎng)必須相互隔離。

按照傳統(tǒng)模式，主校區(qū)與各分支機(jī)構(gòu)需要建立一個或多個并行的虛擬網(wǎng)絡(luò)，將其各自專網(wǎng)進(jìn)行互聯(lián)互通，如校園一卡通系統(tǒng)需要使用多臺VPN設(shè)備將不同分支機(jī)構(gòu)的一卡通專網(wǎng)進(jìn)行互聯(lián)，與此同時，學(xué)校財務(wù)綜合管理系統(tǒng)和學(xué)校醫(yī)療醫(yī)保系統(tǒng)均需要購買多臺獨(dú)立的VPN設(shè)備進(jìn)行各自專網(wǎng)的互聯(lián)互通，這就導(dǎo)致同一地點(diǎn)VPN設(shè)備重復(fù)購買多臺，前期購買成本增加，而且存在有些VPN設(shè)備數(shù)據(jù)流量不大，浪費(fèi)設(shè)備資源。

圖1 傳統(tǒng)虛擬專網(wǎng)結(jié)構(gòu)

防火墻虛擬化提供多個虛擬專網(wǎng)

中國石油大學(xué)（華東）目前跨校區(qū)跨分支機(jī)構(gòu)的基礎(chǔ)專用網(wǎng)絡(luò)主要有三個，即校園一卡通專網(wǎng)、學(xué)校財務(wù)管理專網(wǎng)、學(xué)校醫(yī)療醫(yī)保專網(wǎng)三個，不同校區(qū)和分支機(jī)構(gòu)有不同的專網(wǎng)接入需求，如圖1所示。根據(jù)各自專網(wǎng)的用途，不同的虛擬專網(wǎng)有各自的特點(diǎn)：

校園一卡通專網(wǎng)分布最廣，幾乎遍布所有校區(qū)、所有分支機(jī)構(gòu)。由于提供消費(fèi)、門禁、設(shè)備管理、教學(xué)管理等各方面服務(wù)，校園一卡通專網(wǎng)具有終端節(jié)點(diǎn)特別分散且分布不均衡，業(yè)務(wù)持續(xù)時間長，網(wǎng)絡(luò)數(shù)據(jù)量大等特點(diǎn)，而且存在金融類消費(fèi)數(shù)據(jù)傳輸，數(shù)據(jù)傳輸中的安全性、完整性、穩(wěn)定性要求較高，故一般經(jīng)過廣域網(wǎng)傳輸?shù)臄?shù)據(jù)均必須加密。

學(xué)校財務(wù)管理專網(wǎng)主要為學(xué)校財務(wù)預(yù)概算、報銷業(yè)務(wù)辦理、住房公積金管理等業(yè)務(wù)提供服務(wù)保障，一般只能向分校區(qū)和具有財務(wù)管理權(quán)限的分支機(jī)構(gòu)提供接入服務(wù)。財務(wù)管理人員一般集中在一個或幾個地方，辦公地點(diǎn)比較固定，偶爾有出差外地訪問的需求。由于財務(wù)管理系統(tǒng)一般子系統(tǒng)比較多，各子系統(tǒng)數(shù)據(jù)傳輸采用明文或密文的方式，安全性無法完全保證，從較高的安全界別考慮，跨區(qū)域不可控網(wǎng)絡(luò)必須對數(shù)據(jù)進(jìn)行加密。

學(xué)校醫(yī)療醫(yī)保專網(wǎng)主要用于兩校區(qū)校醫(yī)院內(nèi)部醫(yī)療管理系統(tǒng)，存在金融數(shù)據(jù)傳輸，并同時兩校區(qū)均需要訪問地方醫(yī)保專網(wǎng)進(jìn)行醫(yī)保報銷等業(yè)務(wù)辦理，數(shù)據(jù)傳輸安全性較高。

綜合以上特點(diǎn)，三個專網(wǎng)均對數(shù)據(jù)傳輸?shù)陌踩砸筝^高，穩(wěn)定性較高，同時部分專網(wǎng)有對移動接入需求，故可以采用IPSec VPN模式，實現(xiàn)網(wǎng)絡(luò)對網(wǎng)絡(luò)的連接和網(wǎng)絡(luò)到終端的連接。

防火墻虛擬化是將一臺物理防火墻劃分成多個邏輯防火墻，多個邏輯防火墻共享物理防火墻硬件資源，各個邏輯防火墻間網(wǎng)絡(luò)相互隔離，每個邏輯防火墻有獨(dú)立的資源、管理、策略、認(rèn)證信息等。當(dāng)前，防火墻作為一款安全設(shè)備，基本上集成了如IPSec VPN、PPTP VPN、SSL VPN等常見類型的VPN，完全能滿足常用專網(wǎng)對VPN的需要。

中國石油大學(xué)（華東）主校區(qū)和分校區(qū)有校園一卡通、學(xué)校財務(wù)、醫(yī)療醫(yī)保三個專網(wǎng)，辦事處只需要接入校園網(wǎng)一卡通專網(wǎng)，產(chǎn)業(yè)基地需要接入校園網(wǎng)一卡通和財務(wù)管理專網(wǎng)，根據(jù)上述情況，將有多個專網(wǎng)接入需求的地點(diǎn)采用共享的方式，使用防火墻虛擬化技術(shù)，解決各專網(wǎng)使用虛擬網(wǎng)方式進(jìn)行互聯(lián)，如圖2所示。

防火墻虛擬化后，根防火墻只負(fù)責(zé)設(shè)備的管理及虛擬防火墻的維護(hù)，保障物理就虛擬防火墻的網(wǎng)絡(luò)安全，一般由學(xué)校信息化或校園網(wǎng)管理部門管理；各邏輯防火墻接入到各自專網(wǎng)，并與其他防火墻上相應(yīng)的邏輯防火墻建立虛擬網(wǎng)鏈路，組成虛擬專用網(wǎng)，并根據(jù)安全需要配置相適應(yīng)的網(wǎng)絡(luò)安全策略，也可以配置移動用戶賬號以滿足移動用戶的接入需要，對于虛擬防火墻的管理員和用戶是完全透明的。

使用防火墻虛擬化的方式組建VPN網(wǎng)絡(luò)后，原有的VPN設(shè)備基本上被淘汰，取而代之的是幾臺防火墻設(shè)備。虛擬網(wǎng)設(shè)備采購成本更低，硬件資源在不同虛擬網(wǎng)之間動態(tài)調(diào)整，設(shè)備利用率得到較大提升，同時，由于物理防火墻可以在資源足夠的情況下建立更多的虛擬網(wǎng)，設(shè)備擴(kuò)展空間很大。除此之外，由于使用虛擬化技術(shù)，省去了采購時間，虛擬網(wǎng)搭建速度大大提高，甚至可以作為一種服務(wù)來提供給用戶。

圖2 使用虛擬防火墻后的虛擬專網(wǎng)結(jié)構(gòu)