企業(yè)云平臺(tái)防火墻部署研究

童牧

摘 要：在互聯(lián)網(wǎng)高速發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問題層出不窮，已經(jīng)成為信息安全的重要研究?jī)?nèi)容和社會(huì)需求最大的研究方向。文章針對(duì)云平臺(tái)防火墻的部署進(jìn)行了相關(guān)研究，從拓?fù)浜托螒B(tài)兩方面展開描述，并對(duì)其中的優(yōu)劣作了分析。

關(guān)鍵詞：公有云；私有云；虛擬防火墻；NFV

1 研究背景

在互聯(lián)網(wǎng)日新月異高速發(fā)展的今天，伴隨而來的是層出不窮的互聯(lián)網(wǎng)安全問題。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT監(jiān)測(cè)和國家信息安全漏洞共享平臺(tái)CNVD發(fā)布的數(shù)據(jù)，2014年2月10—16日一周境內(nèi)被篡改網(wǎng)站數(shù)量為8 965個(gè)，比上周增長(zhǎng)79.7%；境內(nèi)被植入后門的網(wǎng)站數(shù)量為1 168個(gè)；針對(duì)境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為181個(gè)。其中，政府網(wǎng)站被篡改418個(gè)、植入后門的35個(gè)。感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量約為69萬個(gè)，新增信息安全漏洞280個(gè)。

目前層出不窮的網(wǎng)絡(luò)安全問題，已經(jīng)成為信息安全的重要研究?jī)?nèi)容和社會(huì)需求最大的研究方向，也成為熱門研究和人才需求的新領(lǐng)域。

2 企業(yè)云平臺(tái)防火墻部署現(xiàn)狀

2.1 云計(jì)算平臺(tái)現(xiàn)狀

隨著企業(yè)云計(jì)算業(yè)務(wù)高速發(fā)展，伴隨而來的安全問題也越來越受到重視。和傳統(tǒng)的IDC網(wǎng)絡(luò)架構(gòu)不同，云業(yè)務(wù)平臺(tái)中，IT設(shè)備大多以虛擬化形式部署，主要分為3種業(yè)務(wù)形態(tài)。

公有云：通常指第三方提供商為用戶提供的能夠使用的云，公有云一般可通過 Internet 使用，可能是免費(fèi)或成本低廉的。這種云有許多實(shí)例，可在當(dāng)今整個(gè)開放的公有網(wǎng)絡(luò)中提供服務(wù)。

私有云：是為一個(gè)客戶單獨(dú)使用而構(gòu)建的，因而提供對(duì)數(shù)據(jù)、安全性和服務(wù)質(zhì)量的最有效控制。該公司擁有基礎(chǔ)設(shè)施，并可以控制在此基礎(chǔ)設(shè)施上部署應(yīng)用程序的方式。

混合云：出于安全考慮，企業(yè)更愿意將數(shù)據(jù)存放在私有云中，但是同時(shí)又希望可以獲得公有云的計(jì)算資源。在這種情況下混合云得到越來越多的應(yīng)用，它將公有云和私有云進(jìn)行混合和匹配，以獲得最佳的效果。

2.2 云平臺(tái)防火墻部署方式

目前，企業(yè)云平臺(tái)網(wǎng)絡(luò)中，防火墻部署的拓?fù)浣Y(jié)構(gòu)有3種：串聯(lián)接入、旁掛接入以及混合接入。

2.2.1 串聯(lián)接入

防火墻部署數(shù)據(jù)中心的出口層，對(duì)互聯(lián)網(wǎng)訪問流量作過濾處理，與傳統(tǒng)IDC的防火墻部署方式相類似，該接入方式往往適合部署在公有云這種用戶共享云資源、業(yè)務(wù)標(biāo)準(zhǔn)化的場(chǎng)景中。

串聯(lián)接入的優(yōu)勢(shì)是：部署較為簡(jiǎn)單，既可以部署為3層路由模式，也可以部署成2層透明模式，流量全部經(jīng)過防火墻，安全策略豐富。

串聯(lián)接入的劣勢(shì)是：物理拓?fù)浔容^固定，擴(kuò)展性差。另外，由于所有流量都需要經(jīng)過防火墻，對(duì)于防火墻性能要求較高。

2.2.2 旁掛接入

如圖1所示，防火墻部署在數(shù)據(jù)中心核心交換機(jī)兩側(cè)，從物理上來看，流量由通過核心交換機(jī)引向防火墻作流量過濾。

該方式的最大優(yōu)勢(shì)是靈活性好。由于是旁掛形式，可以通過相應(yīng)的配置對(duì)特定的需求流量做防護(hù)而非全部流量。因此，對(duì)防火墻的性能要求大大降低，十分經(jīng)濟(jì)高效。

旁掛方式一般應(yīng)用于復(fù)雜的業(yè)務(wù)場(chǎng)景，防火墻的配置相較于串接模式更加復(fù)雜，在部署時(shí)需要結(jié)合其他因素綜合考慮。

2.2.3 混合接入

運(yùn)營商提供標(biāo)準(zhǔn)的4層防火墻服務(wù)（會(huì)話5元組）以及其他一些防攻擊服務(wù)，例如防DDOS流量清洗。不過由于用戶的業(yè)務(wù)形態(tài)多種多樣，對(duì)防護(hù)級(jí)別的要求也不同。一些個(gè)性化很高的需求不在標(biāo)準(zhǔn)的防護(hù)之內(nèi)，因此，采用混合接入的方式進(jìn)行部署。

在企業(yè)部署的防火墻之外，還接有用戶指定的安全設(shè)備，例如Web應(yīng)用防火墻（Web Application Firewall，WAF）、流量分析儀等。這些設(shè)備有些是旁掛接入，而有些是串聯(lián)接入，因此，該部署方式被稱為混合接入方式。混合接入方式的優(yōu)勢(shì)是和用戶的業(yè)務(wù)結(jié)合緊密，是最高級(jí)別的安全防護(hù)。不過該部署方式成本偏高，僅限于定制化要求很高的用戶，多部署在私有云之中。

3 云平臺(tái)防火墻部署形態(tài)演進(jìn)

從云平臺(tái)業(yè)務(wù)發(fā)展以來，防火墻的部署形態(tài)一直跟隨技術(shù)的發(fā)展而演進(jìn)。

3.1 傳統(tǒng)式

傳統(tǒng)式防火墻部署在數(shù)據(jù)中心出口，過濾來自互聯(lián)網(wǎng)的流量。僅有一張公網(wǎng)路由表。其優(yōu)勢(shì)為：部署方式簡(jiǎn)單，部署之后配置更改幅度很小，僅僅是策略上的變更。其劣勢(shì)是：由于在路由層面不區(qū)分用戶，因此，不適用于用戶內(nèi)部網(wǎng)絡(luò)，無法實(shí)現(xiàn)云計(jì)算多租戶的特性。

3.2 半虛擬化式

半虛擬化式是指在共享的物理設(shè)備上為配置不同用戶開啟不同的路由表項(xiàng)，在邏輯上為每個(gè)用戶構(gòu)建一個(gè)獨(dú)立的網(wǎng)絡(luò)。

其優(yōu)勢(shì)是：可以利用有限的物理資源滿足不同用戶的組網(wǎng)需求，實(shí)現(xiàn)與服務(wù)器虛擬化相類似的多租戶效果，可以一定程度節(jié)約經(jīng)濟(jì)成本。

其劣勢(shì)是：部署方式相對(duì)于傳統(tǒng)防火墻來說要復(fù)雜一些。不僅僅是需要配置策略，還需要針對(duì)每一個(gè)用戶做不同的網(wǎng)絡(luò)配置，同時(shí)，對(duì)于防火墻性能要求也比較高。

3.3 完全虛擬化式

相對(duì)于半虛擬化形式的防火墻，完全虛擬化防火墻不僅僅為用戶構(gòu)建不同的路由表，其他所有的資源都可以根據(jù)需要進(jìn)行分配。

其優(yōu)勢(shì)是：防火墻配置結(jié)構(gòu)更加清晰，不同用戶的配置互不影響。同時(shí)，可以根據(jù)用戶的不同需求靈活分配資源。

其劣勢(shì)是：虛墻大多需要許可證，數(shù)量有限。另外，此類防火墻一般屬于各大廠商的高端至旗艦機(jī)型，價(jià)格昂貴。

3.4 NFV式

網(wǎng)絡(luò)功能虛擬化（Network Function Virtualization，NFV）通過使用x86等通用性硬件以及虛擬化技術(shù)，來承載很多功能的軟件處理。這是目前云計(jì)算網(wǎng)絡(luò)發(fā)展的方向之一。

相對(duì)于前3種硬件部署方式，其優(yōu)勢(shì)如下。

3.4.1 靈活性

由于NFV是純軟件形式的防火墻，可以部署在任意的虛擬化平臺(tái)之上，而非某一個(gè)單一的平臺(tái)，這種通過軟硬件解耦及功能抽象，使網(wǎng)絡(luò)設(shè)備功能不再依賴于專用硬件，資源可以充分靈活共享，實(shí)現(xiàn)新業(yè)務(wù)的快速開發(fā)和部署。

3.4.2 高性價(jià)比

由于NFV從本質(zhì)來說就是帶有網(wǎng)絡(luò)功能的虛擬機(jī)，很多NFV軟件包本身是免費(fèi)的，以許可證方式按需開通相關(guān)的模塊功能，這為運(yùn)營商省去了初期購買硬件的巨額投入。

4 結(jié)語

本文以嚴(yán)峻的互聯(lián)網(wǎng)安全現(xiàn)狀為背景，討論了目前企業(yè)云平臺(tái)防火墻的部署現(xiàn)狀，包括拓?fù)浣Y(jié)構(gòu)以及部署形態(tài)。

從拓?fù)浣Y(jié)構(gòu)的角度來看，串接方式、旁掛方式以及混合方式有各自的優(yōu)勢(shì)和劣勢(shì)，因此需要根據(jù)不同的業(yè)務(wù)場(chǎng)景選擇不同的拓?fù)洳渴鸱绞剑赃_(dá)到最好的效果。

從防火墻部署形態(tài)演進(jìn)來看，目前最常見的方式是半虛擬化方式，傳統(tǒng)方式已經(jīng)很少使用。而由于完全虛擬化方式成本過高，應(yīng)用場(chǎng)景有限，僅能少量部署。而NFV作為一種新興的、快速發(fā)展的技術(shù)，成為未來云計(jì)算網(wǎng)絡(luò)架構(gòu)中主流部署形態(tài)的前景很光明。

[參考文獻(xiàn)]

[1]馮登國，張敏，張妍，等. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào)，2011（1）：71-83.

[2]中國國家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù)—防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法（GB-T_20281—2006）[S].中華人民共和國國家標(biāo)準(zhǔn)，2006-05-31.

[3]許諾全.基于防火墻技術(shù)的網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（5）：66.

[4]王博立.計(jì)算機(jī)網(wǎng)絡(luò)的安全設(shè)計(jì)與系統(tǒng)化管理[J].信息技術(shù)與信息化，2014（10）：42-43.

[5]孫亞志.基于防火墻的網(wǎng)絡(luò)邊界安全的設(shè)計(jì)與實(shí)現(xiàn)[J].科技資訊，2010（7）：45-46.