選擇合適的移動管理方案

■

在企業部署防火墻用來保護網絡時，一般是將它作為一個設備安裝在外圍。隨著企業將其資產遷移到公共的IaaS空間，很多企業企圖模仿同樣的安全方法。但虛擬防火墻設備真得如同物理防火墻設備一樣提供同樣的安全保護水平嗎？換句話說，我們可以像相信物理防火墻一樣信任虛擬防火墻嗎？為回答這個問題，我們需要深入分析架構問題。

典型的防火墻安裝

圖1顯示了部署防火墻的傳統方法。這可能是擁有多個DMZ的一家企業，或者是多個公司托管在同一個地方的設施上。

在這里，每臺服務器都連接到了惟一的交換機，然后交換機被連接到了防火墻。服務器在邏輯上是彼此分離的，因為網絡之間的惟一路徑必須通過防火墻。而且，我們可以說這些服務器在物理上也是彼此分離的，因為服務器之間惟一的連接點是通過防火墻。換言之，如果沒有防火墻，這些服務器就不可能彼此通信或與互聯網通信。這是物理分離的一個安全好處。

虛擬防火墻設備

圖2顯示的配置僅適用于有虛擬防火墻設備的IaaS云，它有不同的物理特征。在服務器之間通過虛擬機控制程序有軟件連接。惡意用戶進入虛擬機的風險是多數管理員都可理解和接受的。但是，在這兒有第二個通過系統的軟件連接，即通過虛擬交換機。

雖然可以部署了多個虛擬交換機，但事實上多數方案僅部署一個軟件交換機，然后再分解成多個邏輯交換機。這樣做是為了使對主機服務器的資源影響最小化。

還要注意圖2中防火墻的位置，它在邏輯上位于虛擬交換機之外，這意味著它無法消除虛擬交換機內部的任何風險。這表明如果一個聰明的黑客找到了在邏輯分區之間跳轉的方法，防火墻就無法提供減輕風險的作用。

所以，雖然圖1和圖2從邏輯上是相同的，但在物理上圖2包含了兩種額外的風險：首先是虛擬機控制程序成為潛在的軟件橋接，其次虛擬交換機成為一種潛在的軟件橋接。

減輕虛擬交換機的風險

幸運的是，如果企業需要更高級的減輕風險水平（與虛擬防火墻設備所提供的降低風險的水平相比），還是有一些選擇的。首先就是利用基于虛擬機控制程序的防火墻。VMware的vShield可能是其中最杰出的產品?；谔摂M機控制程序的防火墻將防火墻遷移到了虛擬交換機的另一端，因而也就減輕了交換機自身的風險，如圖3所示：

圖1 部署防火墻的傳統方法

圖2 適用于虛擬防火墻設備的IaaS云

圖3 減輕交換機自身風險

基于虛擬機控制程序的防火墻存在一個問題：這種防火墻因具體廠商不同而有差別。例如，vShield僅運行在VMware自己的虛擬機控制程序上,并沒有得到KVM、Zen及其它虛擬機控制程序的支持。而且，企業的公共云供應商也有可能不支持基于虛擬機控制程序的防火墻，所以此方法未必可行。即使公共云的廠商支持這種防火墻，防火墻也需要測試使用，并有可能在公共云環境中帶來額外的風險。所以，最終企業可能要做出權衡和選擇。

企業的另一個選擇是簡單地利用現代操作系統中內建的防火墻軟件?；谥鳈C的防火墻可以在通信進出虛擬機時控制通信，所以這種防火墻絕不僅僅能夠減輕虛擬交換機內部的潛在風險。這種方法還是最廉價的，因為防火墻已經內置到操作系統中了。最后一點，這種方法也是最靈活的。如果企業要將虛擬機遷移到另一個云中，很顯然，基于主機的防火墻所提供的保護也會隨之遷移。本文前面所討論的所有其它的防火墻都不具備這個特性。