■

在企業(yè)部署防火墻用來保護(hù)網(wǎng)絡(luò)時，一般是將它作為一個設(shè)備安裝在外圍。隨著企業(yè)將其資產(chǎn)遷移到公共的IaaS空間，很多企業(yè)企圖模仿同樣的安全方法。但虛擬防火墻設(shè)備真得如同物理防火墻設(shè)備一樣提供同樣的安全保護(hù)水平嗎？換句話說，我們可以像相信物理防火墻一樣信任虛擬防火墻嗎？為回答這個問題，我們需要深入分析架構(gòu)問題。

典型的防火墻安裝

圖1顯示了部署防火墻的傳統(tǒng)方法。這可能是擁有多個DMZ的一家企業(yè)，或者是多個公司托管在同一個地方的設(shè)施上。

在這里，每臺服務(wù)器都連接到了惟一的交換機(jī)，然后交換機(jī)被連接到了防火墻。服務(wù)器在邏輯上是彼此分離的，因?yàn)榫W(wǎng)絡(luò)之間的惟一路徑必須通過防火墻。而且，我們可以說這些服務(wù)器在物理上也是彼此分離的，因?yàn)榉?wù)器之間惟一的連接點(diǎn)是通過防火墻。換言之，如果沒有防火墻，這些服務(wù)器就不可能彼此通信或與互聯(lián)網(wǎng)通信。這是物理分離的一個安全好處。

虛擬防火墻設(shè)備

圖2顯示的配置僅適用于有虛擬防火墻設(shè)備的IaaS云，它有不同的物理特征。在服務(wù)器之間通過虛擬機(jī)控制程序有軟件連接。惡意用戶進(jìn)入虛擬機(jī)的風(fēng)險是多數(shù)管理員都可理解和接受的。但是，在這兒有第二個通過系統(tǒng)的軟件連接，即通過虛擬交換機(jī)。

雖然可以部署了多個虛擬交換機(jī)，但事實(shí)上多數(shù)方案僅部署一個軟件交換機(jī)，然后再分解成多個邏輯交換機(jī)。這樣做是為了使對主機(jī)服務(wù)器的資源影響最小化。

還要注意圖2中防火墻的位置，它在邏輯上位于虛擬交換機(jī)之外，這意味著它無法消除虛擬交換機(jī)內(nèi)部的任何風(fēng)險。這表明如果一個聰明的黑客找到了在邏輯分區(qū)之間跳轉(zhuǎn)的方法，防火墻就無法提供減輕風(fēng)險的作用。

所以，雖然圖1和圖2從邏輯上是相同的，但在物理上圖2包含了兩種額外的風(fēng)險：首先是虛擬機(jī)控制程序成為潛在的軟件橋接，其次虛擬交換機(jī)成為一種潛在的軟件橋接。

減輕虛擬交換機(jī)的風(fēng)險

幸運(yùn)的是，如果企業(yè)需要更高級的減輕風(fēng)險水平（與虛擬防火墻設(shè)備所提供的降低風(fēng)險的水平相比），還是有一些選擇的。首先就是利用基于虛擬機(jī)控制程序的防火墻。VMware的vShield可能是其中最杰出的產(chǎn)品?；谔摂M機(jī)控制程序的防火墻將防火墻遷移到了虛擬交換機(jī)的另一端，因而也就減輕了交換機(jī)自身的風(fēng)險，如圖3所示：

圖1 部署防火墻的傳統(tǒng)方法

圖2 適用于虛擬防火墻設(shè)備的IaaS云

圖3 減輕交換機(jī)自身風(fēng)險

基于虛擬機(jī)控制程序的防火墻存在一個問題：這種防火墻因具體廠商不同而有差別。例如，vShield僅運(yùn)行在VMware自己的虛擬機(jī)控制程序上,并沒有得到KVM、Zen及其它虛擬機(jī)控制程序的支持。而且，企業(yè)的公共云供應(yīng)商也有可能不支持基于虛擬機(jī)控制程序的防火墻，所以此方法未必可行。即使公共云的廠商支持這種防火墻，防火墻也需要測試使用，并有可能在公共云環(huán)境中帶來額外的風(fēng)險。所以，最終企業(yè)可能要做出權(quán)衡和選擇。

企業(yè)的另一個選擇是簡單地利用現(xiàn)代操作系統(tǒng)中內(nèi)建的防火墻軟件?；谥鳈C(jī)的防火墻可以在通信進(jìn)出虛擬機(jī)時控制通信，所以這種防火墻絕不僅僅能夠減輕虛擬交換機(jī)內(nèi)部的潛在風(fēng)險。這種方法還是最廉價的，因?yàn)榉阑饓σ呀?jīng)內(nèi)置到操作系統(tǒng)中了。最后一點(diǎn)，這種方法也是最靈活的。如果企業(yè)要將虛擬機(jī)遷移到另一個云中，很顯然，基于主機(jī)的防火墻所提供的保護(hù)也會隨之遷移。本文前面所討論的所有其它的防火墻都不具備這個特性。