企业云平台防火墙部署研究

童牧

摘 要：在互联网高速发展的同时，网络安全问题层出不穷，已经成为信息安全的重要研究内容和社会需求最大的研究方向。文章针对云平台防火墙的部署进行了相关研究，从拓扑和形态两方面展开描述，并对其中的优劣作了分析。

关键词：公有云；私有云；虚拟防火墙；NFV

1 研究背景

在互联网日新月异高速发展的今天，伴随而来的是层出不穷的互联网安全问题。据国家互联网应急中心CNCERT监测和国家信息安全漏洞共享平台CNVD发布的数据，2014年2月10—16日一周境内被篡改网站数量为8 965个，比上周增长79.7%；境内被植入后门的网站数量为1 168个；针对境内网站的仿冒页面数量为181个。其中，政府网站被篡改418个、植入后门的35个。感染网络病毒的主机数量约为69万个，新增信息安全漏洞280个。

目前层出不穷的网络安全问题，已经成为信息安全的重要研究内容和社会需求最大的研究方向，也成为热门研究和人才需求的新领域。

2 企业云平台防火墙部署现状

2.1 云计算平台现状

随着企业云计算业务高速发展，伴随而来的安全问题也越来越受到重视。和传统的IDC网络架构不同，云业务平台中，IT设备大多以虚拟化形式部署，主要分为3种业务形态。

公有云：通常指第三方提供商为用户提供的能够使用的云，公有云一般可通过 Internet 使用，可能是免费或成本低廉的。这种云有许多实例，可在当今整个开放的公有网络中提供服务。

私有云：是为一个客户单独使用而构建的，因而提供对数据、安全性和服务质量的最有效控制。该公司拥有基础设施，并可以控制在此基础设施上部署应用程序的方式。

混合云：出于安全考虑，企业更愿意将数据存放在私有云中，但是同时又希望可以获得公有云的计算资源。在这种情况下混合云得到越来越多的应用，它将公有云和私有云进行混合和匹配，以获得最佳的效果。

2.2 云平台防火墙部署方式

目前，企业云平台网络中，防火墙部署的拓扑结构有3种：串联接入、旁挂接入以及混合接入。

2.2.1 串联接入

防火墙部署数据中心的出口层，对互联网访问流量作过滤处理，与传统IDC的防火墙部署方式相类似，该接入方式往往适合部署在公有云这种用户共享云资源、业务标准化的场景中。

串联接入的优势是：部署较为简单，既可以部署为3层路由模式，也可以部署成2层透明模式，流量全部经过防火墙，安全策略丰富。

串联接入的劣势是：物理拓扑比较固定，扩展性差。另外，由于所有流量都需要经过防火墙，对于防火墙性能要求较高。

2.2.2 旁挂接入

如图1所示，防火墙部署在数据中心核心交换机两侧，从物理上来看，流量由通过核心交换机引向防火墙作流量过滤。

该方式的最大优势是灵活性好。由于是旁挂形式，可以通过相应的配置对特定的需求流量做防护而非全部流量。因此，对防火墙的性能要求大大降低，十分经济高效。

旁挂方式一般应用于复杂的业务场景，防火墙的配置相较于串接模式更加复杂，在部署时需要结合其他因素综合考虑。

2.2.3 混合接入

运营商提供标准的4层防火墙服务（会话5元组）以及其他一些防攻击服务，例如防DDOS流量清洗。不过由于用户的业务形态多种多样，对防护级别的要求也不同。一些个性化很高的需求不在标准的防护之内，因此，采用混合接入的方式进行部署。

在企业部署的防火墙之外，还接有用户指定的安全设备，例如Web应用防火墙（Web Application Firewall，WAF）、流量分析仪等。这些设备有些是旁挂接入，而有些是串联接入，因此，该部署方式被称为混合接入方式。混合接入方式的优势是和用户的业务结合紧密，是最高级别的安全防护。不过该部署方式成本偏高，仅限于定制化要求很高的用户，多部署在私有云之中。

3 云平台防火墻部署形态演进

从云平台业务发展以来，防火墙的部署形态一直跟随技术的发展而演进。

3.1 传统式

传统式防火墙部署在数据中心出口，过滤来自互联网的流量。仅有一张公网路由表。其优势为：部署方式简单，部署之后配置更改幅度很小，仅仅是策略上的变更。其劣势是：由于在路由层面不区分用户，因此，不适用于用户内部网络，无法实现云计算多租户的特性。

3.2 半虚拟化式

半虚拟化式是指在共享的物理设备上为配置不同用户开启不同的路由表项，在逻辑上为每个用户构建一个独立的网络。

其优势是：可以利用有限的物理资源满足不同用户的组网需求，实现与服务器虚拟化相类似的多租户效果，可以一定程度节约经济成本。

其劣势是：部署方式相对于传统防火墙来说要复杂一些。不仅仅是需要配置策略，还需要针对每一个用户做不同的网络配置，同时，对于防火墙性能要求也比较高。

3.3 完全虚拟化式

相对于半虚拟化形式的防火墙，完全虚拟化防火墙不仅仅为用户构建不同的路由表，其他所有的资源都可以根据需要进行分配。

其优势是：防火墙配置结构更加清晰，不同用户的配置互不影响。同时，可以根据用户的不同需求灵活分配资源。

其劣势是：虚墙大多需要许可证，数量有限。另外，此类防火墙一般属于各大厂商的高端至旗舰机型，价格昂贵。

3.4 NFV式

网络功能虚拟化（Network Function Virtualization，NFV）通过使用x86等通用性硬件以及虚拟化技术，来承载很多功能的软件处理。这是目前云计算网络发展的方向之一。

相对于前3种硬件部署方式，其优势如下。

3.4.1 灵活性

由于NFV是纯软件形式的防火墙，可以部署在任意的虚拟化平台之上，而非某一个单一的平台，这种通过软硬件解耦及功能抽象，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享，实现新业务的快速开发和部署。

3.4.2 高性价比

由于NFV从本质来说就是带有网络功能的虚拟机，很多NFV软件包本身是免费的，以许可证方式按需开通相关的模块功能，这为运营商省去了初期购买硬件的巨额投入。

4 结语

本文以严峻的互联网安全现状为背景，讨论了目前企业云平台防火墙的部署现状，包括拓扑结构以及部署形态。

从拓扑结构的角度来看，串接方式、旁挂方式以及混合方式有各自的优势和劣势，因此需要根据不同的业务场景选择不同的拓扑部署方式，以达到最好的效果。

从防火墙部署形态演进来看，目前最常见的方式是半虚拟化方式，传统方式已经很少使用。而由于完全虚拟化方式成本过高，应用场景有限，仅能少量部署。而NFV作为一种新兴的、快速发展的技术，成为未来云计算网络架构中主流部署形态的前景很光明。

[参考文献]

[1]冯登国，张敏，张妍，等. 云计算安全研究[J]. 软件学报，2011（1）：71-83.

[2]中国国家标准化管理委员会.信息安全技术—防火墙技术要求和测试评价方法（GB-T_20281—2006）[S].中华人民共和国国家标准，2006-05-31.

[3]许诺全.基于防火墙技术的网络系统安全设计[J].网络安全技术与应用，2014（5）：66.

[4]王博立.计算机网络的安全设计与系统化管理[J].信息技术与信息化，2014（10）：42-43.

[5]孙亚志.基于防火墙的网络边界安全的设计与实现[J].科技资讯，2010（7）：45-46.