企業云平臺防火墻部署研究

童牧

摘 要：在互聯網高速發展的同時，網絡安全問題層出不窮，已經成為信息安全的重要研究內容和社會需求最大的研究方向。文章針對云平臺防火墻的部署進行了相關研究，從拓撲和形態兩方面展開描述，并對其中的優劣作了分析。

關鍵詞：公有云；私有云；虛擬防火墻；NFV

1 研究背景

在互聯網日新月異高速發展的今天，伴隨而來的是層出不窮的互聯網安全問題。據國家互聯網應急中心CNCERT監測和國家信息安全漏洞共享平臺CNVD發布的數據，2014年2月10—16日一周境內被篡改網站數量為8 965個，比上周增長79.7%；境內被植入后門的網站數量為1 168個；針對境內網站的仿冒頁面數量為181個。其中，政府網站被篡改418個、植入后門的35個。感染網絡病毒的主機數量約為69萬個，新增信息安全漏洞280個。

目前層出不窮的網絡安全問題，已經成為信息安全的重要研究內容和社會需求最大的研究方向，也成為熱門研究和人才需求的新領域。

2 企業云平臺防火墻部署現狀

2.1 云計算平臺現狀

隨著企業云計算業務高速發展，伴隨而來的安全問題也越來越受到重視。和傳統的IDC網絡架構不同，云業務平臺中，IT設備大多以虛擬化形式部署，主要分為3種業務形態。

公有云：通常指第三方提供商為用戶提供的能夠使用的云，公有云一般可通過 Internet 使用，可能是免費或成本低廉的。這種云有許多實例，可在當今整個開放的公有網絡中提供服務。

私有云：是為一個客戶單獨使用而構建的，因而提供對數據、安全性和服務質量的最有效控制。該公司擁有基礎設施，并可以控制在此基礎設施上部署應用程序的方式。

混合云：出于安全考慮，企業更愿意將數據存放在私有云中，但是同時又希望可以獲得公有云的計算資源。在這種情況下混合云得到越來越多的應用，它將公有云和私有云進行混合和匹配，以獲得最佳的效果。

2.2 云平臺防火墻部署方式

目前，企業云平臺網絡中，防火墻部署的拓撲結構有3種：串聯接入、旁掛接入以及混合接入。

2.2.1 串聯接入

防火墻部署數據中心的出口層，對互聯網訪問流量作過濾處理，與傳統IDC的防火墻部署方式相類似，該接入方式往往適合部署在公有云這種用戶共享云資源、業務標準化的場景中。

串聯接入的優勢是：部署較為簡單，既可以部署為3層路由模式，也可以部署成2層透明模式，流量全部經過防火墻，安全策略豐富。

串聯接入的劣勢是：物理拓撲比較固定，擴展性差。另外，由于所有流量都需要經過防火墻，對于防火墻性能要求較高。

2.2.2 旁掛接入

如圖1所示，防火墻部署在數據中心核心交換機兩側，從物理上來看，流量由通過核心交換機引向防火墻作流量過濾。

該方式的最大優勢是靈活性好。由于是旁掛形式，可以通過相應的配置對特定的需求流量做防護而非全部流量。因此，對防火墻的性能要求大大降低，十分經濟高效。

旁掛方式一般應用于復雜的業務場景，防火墻的配置相較于串接模式更加復雜，在部署時需要結合其他因素綜合考慮。

2.2.3 混合接入

運營商提供標準的4層防火墻服務（會話5元組）以及其他一些防攻擊服務，例如防DDOS流量清洗。不過由于用戶的業務形態多種多樣，對防護級別的要求也不同。一些個性化很高的需求不在標準的防護之內，因此，采用混合接入的方式進行部署。

在企業部署的防火墻之外，還接有用戶指定的安全設備，例如Web應用防火墻（Web Application Firewall，WAF）、流量分析儀等。這些設備有些是旁掛接入，而有些是串聯接入，因此，該部署方式被稱為混合接入方式。混合接入方式的優勢是和用戶的業務結合緊密，是最高級別的安全防護。不過該部署方式成本偏高，僅限于定制化要求很高的用戶，多部署在私有云之中。

3 云平臺防火墻部署形態演進

從云平臺業務發展以來，防火墻的部署形態一直跟隨技術的發展而演進。

3.1 傳統式

傳統式防火墻部署在數據中心出口，過濾來自互聯網的流量。僅有一張公網路由表。其優勢為：部署方式簡單，部署之后配置更改幅度很小，僅僅是策略上的變更。其劣勢是：由于在路由層面不區分用戶，因此，不適用于用戶內部網絡，無法實現云計算多租戶的特性。

3.2 半虛擬化式

半虛擬化式是指在共享的物理設備上為配置不同用戶開啟不同的路由表項，在邏輯上為每個用戶構建一個獨立的網絡。

其優勢是：可以利用有限的物理資源滿足不同用戶的組網需求，實現與服務器虛擬化相類似的多租戶效果，可以一定程度節約經濟成本。

其劣勢是：部署方式相對于傳統防火墻來說要復雜一些。不僅僅是需要配置策略，還需要針對每一個用戶做不同的網絡配置，同時，對于防火墻性能要求也比較高。

3.3 完全虛擬化式

相對于半虛擬化形式的防火墻，完全虛擬化防火墻不僅僅為用戶構建不同的路由表，其他所有的資源都可以根據需要進行分配。

其優勢是：防火墻配置結構更加清晰，不同用戶的配置互不影響。同時，可以根據用戶的不同需求靈活分配資源。

其劣勢是：虛墻大多需要許可證，數量有限。另外，此類防火墻一般屬于各大廠商的高端至旗艦機型，價格昂貴。

3.4 NFV式

網絡功能虛擬化（Network Function Virtualization，NFV）通過使用x86等通用性硬件以及虛擬化技術，來承載很多功能的軟件處理。這是目前云計算網絡發展的方向之一。

相對于前3種硬件部署方式，其優勢如下。

3.4.1 靈活性

由于NFV是純軟件形式的防火墻，可以部署在任意的虛擬化平臺之上，而非某一個單一的平臺，這種通過軟硬件解耦及功能抽象，使網絡設備功能不再依賴于專用硬件，資源可以充分靈活共享，實現新業務的快速開發和部署。

3.4.2 高性價比

由于NFV從本質來說就是帶有網絡功能的虛擬機，很多NFV軟件包本身是免費的，以許可證方式按需開通相關的模塊功能，這為運營商省去了初期購買硬件的巨額投入。

4 結語

本文以嚴峻的互聯網安全現狀為背景，討論了目前企業云平臺防火墻的部署現狀，包括拓撲結構以及部署形態。

從拓撲結構的角度來看，串接方式、旁掛方式以及混合方式有各自的優勢和劣勢，因此需要根據不同的業務場景選擇不同的拓撲部署方式，以達到最好的效果。

從防火墻部署形態演進來看，目前最常見的方式是半虛擬化方式，傳統方式已經很少使用。而由于完全虛擬化方式成本過高，應用場景有限，僅能少量部署。而NFV作為一種新興的、快速發展的技術，成為未來云計算網絡架構中主流部署形態的前景很光明。

[參考文獻]

[1]馮登國，張敏，張妍，等. 云計算安全研究[J]. 軟件學報，2011（1）：71-83.

[2]中國國家標準化管理委員會.信息安全技術—防火墻技術要求和測試評價方法（GB-T_20281—2006）[S].中華人民共和國國家標準，2006-05-31.

[3]許諾全.基于防火墻技術的網絡系統安全設計[J].網絡安全技術與應用，2014（5）：66.

[4]王博立.計算機網絡的安全設計與系統化管理[J].信息技術與信息化，2014（10）：42-43.

[5]孫亞志.基于防火墻的網絡邊界安全的設計與實現[J].科技資訊，2010（7）：45-46.