亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于SOP架構(gòu)的一種輕量級(jí)虛擬化防火墻的實(shí)現(xiàn)

        2016-10-18 21:28:20卜天然
        電腦知識(shí)與技術(shù) 2016年21期
        關(guān)鍵詞:虛擬化技術(shù)防火墻

        卜天然

        "

        "

        "

        摘要:采用SOP架構(gòu)是基于容器輕量級(jí)的虛擬化技術(shù),在一個(gè)安全引擎內(nèi),通過(guò)唯一的OS內(nèi)核對(duì)系統(tǒng)硬件資源進(jìn)行管理,每個(gè)虛擬防火墻作為一個(gè)容器實(shí)例運(yùn)行在同一個(gè)內(nèi)核之上。隔離了租戶之間的故障影響,能夠更好地滿足云計(jì)算時(shí)代的多租戶運(yùn)營(yíng)模型。

        關(guān)鍵詞:SOP;虛擬化技術(shù);防火墻;容器實(shí)例

        中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2016)21-0020-02

        Abstract: SOP architecture is a lightweight container-based virtualization technology, a security engine, through a unique system of OS kernel manages hardware resources, each virtual firewall as a container instance runs on the same core. Fault isolation impact between tenants, better able to meet the multi-tenant cloud computing era operating model.

        Key words: SOP; virtualization technology; firewall;container

        1 傳統(tǒng)虛擬化防火墻的分析

        公有云及私有云等云計(jì)算業(yè)務(wù)的開(kāi)展,均存在將一臺(tái)物理設(shè)備進(jìn)行1:N虛擬化之后提供給不同租戶使用的需求。要求虛擬防火墻之間業(yè)務(wù)數(shù)據(jù)相互隔離,能夠提供獨(dú)立管理、獨(dú)立審計(jì)、獨(dú)立安全策略,同時(shí)能夠給每個(gè)虛擬防火墻分配獨(dú)立的處理能力。

        傳統(tǒng)防火墻產(chǎn)品在解決虛擬化問(wèn)題通常有兩種技術(shù):基于虛擬路由和基于虛擬機(jī)。

        基于虛擬路由的安全虛擬化方案在數(shù)據(jù)平面,圍繞轉(zhuǎn)發(fā)表,通過(guò)VRF或類(lèi)似技術(shù)將轉(zhuǎn)發(fā)相關(guān)的表項(xiàng)(如路由表、ARP表)分割成多個(gè)邏輯的表,實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)的隔離;在管理平面,為不同虛擬防火墻關(guān)聯(lián)不同的管理員,實(shí)現(xiàn)管理的隔離;在控制平面,需要針對(duì)每種業(yè)務(wù)逐一考慮虛擬化的改造,使其支持虛擬化。這種虛擬化方案,本質(zhì)上是一種多實(shí)例技術(shù),是在已有非虛擬化的系統(tǒng)架構(gòu)上,對(duì)一些主要安全業(yè)務(wù)進(jìn)行多實(shí)例的改造,只能對(duì)個(gè)別安全業(yè)務(wù)實(shí)現(xiàn)部分虛擬化,系統(tǒng)可擴(kuò)展性差。

        基于虛擬機(jī)的安全虛擬化方案中CPU、內(nèi)存和I/O資源由底層的Hypervisor或Emulator實(shí)現(xiàn)模擬。虛擬防火墻作為一個(gè)GuestOS運(yùn)行在虛擬化的硬件環(huán)境中,因此,基于虛擬機(jī)的虛擬化從安全業(yè)務(wù)的角度來(lái)說(shuō),是一種完全的虛擬化方案,更容易部署和遷移,也避免了虛擬化后導(dǎo)致的部分功能缺失的問(wèn)題。但是,基于虛擬機(jī)的虛擬化通過(guò)Hypervisor或Emulator作為中間層,給上層構(gòu)造了一個(gè)完全獨(dú)立的虛擬硬件空間,每個(gè)GuestOS需要獨(dú)立構(gòu)造完整的操作系統(tǒng)和業(yè)務(wù)環(huán)境,由此也帶來(lái)了一些問(wèn)題。比如,單臺(tái)物理設(shè)備/服務(wù)器上運(yùn)行的虛擬防火墻數(shù)量很少,報(bào)文轉(zhuǎn)發(fā)時(shí)延加大等。使得這種方案更適合部署在虛擬防火墻數(shù)量要求不多、業(yè)務(wù)性能不高的場(chǎng)景。

        2 SOP虛擬化防火墻的架構(gòu)

        SOP架構(gòu)采用基于容器的虛擬化技術(shù),是一種輕量級(jí)的虛擬化技術(shù),在一個(gè)安全引擎內(nèi),通過(guò)唯一的OS內(nèi)核對(duì)系統(tǒng)硬件資源進(jìn)行管理,每個(gè)虛擬防火墻作為一個(gè)容器實(shí)例運(yùn)行在同一個(gè)內(nèi)核之上。圖1為SOP虛擬化防火墻構(gòu)架示意圖。

        采用容器化技術(shù),虛擬防火墻有獨(dú)立的進(jìn)程上下文運(yùn)行空間,容器與容器之間的運(yùn)行空間完全隔離,天然具備了虛擬化特性。攻擊者無(wú)法從一個(gè)虛擬墻進(jìn)入另一個(gè)虛擬墻或者獲取另一個(gè)虛擬墻的數(shù)據(jù)。相比傳統(tǒng)的VRF隔離,具有更好的數(shù)據(jù)安全性。在一個(gè)容器中,運(yùn)行了完整的防火墻業(yè)務(wù)系統(tǒng)(包括管理平面、控制平面、數(shù)據(jù)平面),從功能角度看虛擬化后的系統(tǒng)和非虛擬化系統(tǒng)的功能是一致的(整機(jī)重啟、存儲(chǔ)格式化、集群配置等全局系統(tǒng)配置只能由系統(tǒng)管理執(zhí)行)。同時(shí)進(jìn)程空間的隔離實(shí)現(xiàn)了虛擬墻的故障隔離。

        由于多個(gè)虛擬墻共享統(tǒng)一的OS內(nèi)核,可以從調(diào)度入口靈活分配每個(gè)虛擬墻的處理能力比如吞吐、并發(fā)、新建等,也可以在線動(dòng)態(tài)地增加資源。同時(shí),基于容器的虛擬化實(shí)現(xiàn)在容器中并不需要運(yùn)行完整的操作系統(tǒng),減少了由于完全虛擬化帶來(lái)的內(nèi)存開(kāi)銷(xiāo),每個(gè)VFW可以直接通過(guò)內(nèi)核和物理硬件交互,避免了和虛擬設(shè)備交互代理的性能損耗,所以可以支持更多的虛擬防火墻實(shí)例,而不會(huì)對(duì)系統(tǒng)性能造成實(shí)質(zhì)影響。上面三種虛擬化方案實(shí)現(xiàn)的主要特點(diǎn)對(duì)比如表1所示。

        3 SOP虛擬化架構(gòu)資源分配策略

        SOP虛擬化架構(gòu)的資源分配策略主要包括以下兩種方法:按照接口、vlan分配和系統(tǒng)處理能力分配策略。

        (1)按照接口、VLAN分配

        在虛擬化過(guò)程中,接口(邏輯接口)、VLAN作為防火墻轉(zhuǎn)發(fā)的必須要素是首先要分配的。傳統(tǒng)的基于VRF的虛擬防火墻這些信息都是全局維護(hù)的,在這種實(shí)現(xiàn)方式下,管理員在給虛擬墻分配接口、VLAN時(shí),需要對(duì)該虛擬墻對(duì)應(yīng)的業(yè)務(wù)VLAN預(yù)先了解清楚,而且虛擬墻的業(yè)務(wù)VLAN發(fā)生變化時(shí),需要管理員重新創(chuàng)建和分配給虛擬墻,這在一些權(quán)限劃分比較明確的場(chǎng)景是不可行的。

        SOP架構(gòu)由于業(yè)務(wù)數(shù)據(jù)的完全隔離,允許當(dāng)一個(gè)物理接口屬于某一虛擬墻時(shí),該虛擬墻可以基于該物理接口創(chuàng)建獨(dú)立的邏輯接口或VLAN。可以是一個(gè)接口唯一地屬于一個(gè)虛擬防火墻,也可以一個(gè)接口被多個(gè)虛擬防火墻共同擁有。

        (2)按照系統(tǒng)處理能力進(jìn)行分配

        基于同一硬件平臺(tái)上的多個(gè)虛擬防火墻共享相同的硬件資源和系統(tǒng)處理能力。為了保證這些虛擬防火墻之間的相互獨(dú)立性,滿足可運(yùn)營(yíng)的要求,勢(shì)必要涉及這些資源的合理分配。從目前主流公有云安全服務(wù)的申請(qǐng)模式來(lái)看,租戶不關(guān)心安全設(shè)備的具體形態(tài),在實(shí)際的業(yè)務(wù)申請(qǐng)過(guò)程中會(huì)以帶寬、并發(fā)會(huì)話、新建、策略數(shù)等指標(biāo)對(duì)虛墻的能力進(jìn)行量化。SOP安全架構(gòu)基于統(tǒng)一的OS內(nèi)核對(duì)所有虛擬防火墻的流量進(jìn)行調(diào)度,可以從流量入口根據(jù)虛墻的能力分配進(jìn)行調(diào)度,從而實(shí)現(xiàn)更加精準(zhǔn)的控制。

        猜你喜歡
        虛擬化技術(shù)防火墻
        全民總動(dòng)員,筑牢防火墻
        水上消防(2020年1期)2020-07-24 09:26:12
        構(gòu)建防控金融風(fēng)險(xiǎn)“防火墻”
        計(jì)算資源池中物理服務(wù)器的配比
        云計(jì)算中服務(wù)器虛擬化技術(shù)解析
        虛擬化技術(shù)的發(fā)展與分類(lèi)
        基于云平臺(tái)的計(jì)算機(jī)開(kāi)放式實(shí)驗(yàn)教學(xué)與管理模式研究
        虛擬化技術(shù)在中職學(xué)校校園網(wǎng)服務(wù)器中的應(yīng)用
        云計(jì)算虛擬化技術(shù)在電信領(lǐng)域的應(yīng)用研究
        下一代防火墻要做的十件事
        新漢 HENGETM工業(yè)防火墻
        一区二区三区中文字幕| 国产伦精品一区二区三区在线| 五月婷婷开心五月播五月| 麻豆国产一区二区三区四区| 国语精品一区二区三区| 91免费播放日韩一区二天天综合福利电影 | 一边吃奶一边摸做爽视频| 日韩欧美第一页| 国产一区二区毛片视频| 中文字幕一区二区精品视频| 曰欧一片内射vα在线影院| 国产精品无需播放器| 国产一区二区三区白浆在线观看 | 日韩人妻中文字幕高清在线| 免费大黄网站| 久久这里只有精品9| 黄色三级一区二区三区| 日韩精品中文一区二区三区在线| 狠狠色婷婷久久一区二区三区| 五月婷一本到五月天| 国产内射视频在线观看| 国产精品黑丝高跟在线粉嫩| 国产精品久久久久影院| 中文字幕Aⅴ人妻一区二区苍井空| 饥渴少妇一区二区三区| 四虎永久在线精品免费网址| 成 人 免费 黄 色 视频 | 国产一区二区三区久久悠悠色av| 人妻少妇精品无码专区动漫| 免费一区啪啪视频| 亚洲综合中文一区二区 | 国产熟妇按摩3p高潮大叫| 国产精品无码片在线观看| 长腿丝袜在线观看国产| 久久婷婷国产综合精品| 天堂影院一区二区三区四区| 91青草久久久久久清纯| 亚洲AV成人无码久久精品在| 网红极品女神精品视频在线| 熟女免费观看一区二区| 曰本女人与公拘交酡|