隨著虛擬化基礎(chǔ)設(shè)施的發(fā)展，眾多企業(yè)感到在這些環(huán)境中，需要利用并擴(kuò)展現(xiàn)有的物理網(wǎng)絡(luò)安全工具來(lái)提供更大的可視性和功能性。虛擬防火墻是當(dāng)今可用的主要的虛擬安全產(chǎn)品之一，也有很多選擇性；Check Point有VPN-1防火墻的虛擬版本（VE），思科提供的虛擬網(wǎng)關(guān)產(chǎn)品仿真ASA防火墻。Juniper擁有更具特色的虛擬網(wǎng)關(guān)（the vGW line），來(lái)源于其Altor Networks收購(gòu)項(xiàng)目，Catbird和Reflex Systems都有虛擬防火墻產(chǎn)品和功能。因此，在評(píng)估虛擬防火墻技術(shù)的時(shí)候我們要考慮什么呢？

       虛擬防火墻：管理和可擴(kuò)展性

        在深入鉆研虛擬防火墻的具體內(nèi)容之前，確定是否需要非常重要。很多小型的虛擬化部署很可能不需要。然而，多變敏感級(jí)別的大量虛擬機(jī)，以及高度復(fù)雜的虛擬網(wǎng)絡(luò)，在多層防御戰(zhàn)略中，虛擬防火墻技術(shù)就有相當(dāng)有可能起作用。要注意的是在大多數(shù)案例中，虛擬防火墻取代所有的物理防火墻是完全不可能的（盡管一些兼并寄望于大量的物理防火墻）。假設(shè)你需要一個(gè)虛擬防火墻，怎么辦呢？

        對(duì)于任何安全或者網(wǎng)絡(luò)團(tuán)隊(duì)來(lái)說(shuō)有一些關(guān)鍵的注意事項(xiàng)，包括評(píng)估虛擬防火墻。首先，需要評(píng)估的兩方面類似于你對(duì)物理防火墻所作出的評(píng)估：可擴(kuò)展性和管理。從管理方面來(lái)看，首先要確定是否能夠通過(guò)一個(gè)單獨(dú)的控制臺(tái)（通常是基于Web的）進(jìn)行主要管理，或者集成到虛擬化管理平臺(tái)進(jìn)行管理（像VMware的vCenter）。對(duì)于單獨(dú)的控制臺(tái)，標(biāo)準(zhǔn)管理要考慮應(yīng)用，像易用性、基于角色的訪問(wèn)控制、配置選項(xiàng)的粒度等等。另一方面要考慮虛擬設(shè)備的命令行管理功能，以及他們?nèi)绾伪辉L問(wèn)。例如，大多數(shù)思科工程師更喜歡命令行IOS操作，大多數(shù)防火墻可以通過(guò)SSH來(lái)訪問(wèn)。

        可擴(kuò)展性是虛擬防火墻的關(guān)鍵，尤其是對(duì)于大型復(fù)雜環(huán)境。虛擬防火墻可擴(kuò)展性歸根結(jié)底是兩方面的內(nèi)容。首先，需要確定單一虛擬防火墻可以調(diào)節(jié)多少虛擬機(jī)或者/和虛擬交換機(jī)。對(duì)于大型環(huán)境，眾多虛擬交換機(jī)和VM在單一的超級(jí)管理器上，就是個(gè)大問(wèn)題。第二個(gè)可擴(kuò)展性主要關(guān)注的是從廠商的控制臺(tái)可以管理的虛擬防火墻的數(shù)量，以及各種虛擬防火墻設(shè)備之間的策略和配置細(xì)節(jié)如何更好地共享。

       虛擬防火墻：集成

        對(duì)于虛擬防火墻至關(guān)重要的評(píng)估點(diǎn)就是防火墻如何實(shí)際地集成到虛擬化平臺(tái)或者環(huán)境中。有兩個(gè)通用的實(shí)現(xiàn)方法。第一個(gè)也是最簡(jiǎn)單的一個(gè)：防火墻是虛擬設(shè)備或者具體的虛擬機(jī)（VM）。就像任何其他VM一樣可以加載到超級(jí)管理器上，然后進(jìn)行配置，同新的或者現(xiàn)有的虛擬路由器工作。這種模式的好處就是簡(jiǎn)單以及易于實(shí)現(xiàn)，不好的地方在于包含了超級(jí)管理器上更高的性能影響，與虛擬化基礎(chǔ)架構(gòu)集成較少，可能配置選擇更少。

        第二個(gè)實(shí)現(xiàn)方法是完全同超級(jí)管理器內(nèi)核集成，我們熟知的虛擬機(jī)監(jiān)視器（VMM）。這樣提供了訪問(wèn)本地超級(jí)管理器和管理平臺(tái)API，同時(shí)自動(dòng)化性能和低水平的VM流量識(shí)別，但是可能也需要額外的時(shí)間和精力來(lái)正確地安裝和配置平臺(tái)，一些高度自定制虛擬化環(huán)境可能會(huì)遇到穩(wěn)定性問(wèn)題或者沖突。

        在評(píng)估虛擬防火墻的時(shí)候需要考慮的其他因素包括物理安全集成和VM安全策略深度和廣度。虛擬防火墻可以“看到”虛擬環(huán)境中發(fā)生了什么，但是它們能夠向物理副本轉(zhuǎn)播警告和安全信息嗎？要考慮任何本地或者和物理防火墻、IDS/IPS甚至是管理平臺(tái)的簡(jiǎn)單集成功能。此外，虛擬防火墻可以也應(yīng)該能夠超前即將到來(lái)的流量以及即將進(jìn)入的虛擬環(huán)境評(píng)估VM配置和安全情形。一些虛擬防火墻可以反惡意軟件、網(wǎng)絡(luò)訪問(wèn)控制（NAC）以及配置管理和控制函數(shù)，所有的這些都增加了其特性價(jià)值。

          作者：Dave Shackleford 譯者：張培穎 來(lái)源：TechTarget中國(guó)