作为国内领先的网络安全产品提供商,东软NetEye十一年来在安全领域始终从用户需求出发,坚持技术创新并在网络安全领域取得了很多喜人成果。虚拟防火墙功能就是其中之一。那么,什么是虚拟防火墙功能呢?虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。
由于虚拟防火墙功能可将资源分别独立分配给各个虚拟的系统,彼此之间互不干扰,因此当一个虚拟系统因抵御黑客攻击耗费大量资源的时候,另一个虚拟系统的资源却不受任何影响,从而有效保证网络其它应用的正常运行。下面我们以NetEye防火墙在电信IDC(互联网数据中心)中的应用为例,详细了解一下虚拟防火墙的优越之处。
众所周知IDC是伴随着Internet不断发展的需求而发展起来的。IDC主要为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及ASP、EC等业务。通常按照分层网络模型划分为核心层(Core Layer)、分发层(Distribution Layer)和访问层(Access Layer)。
核心层的主要作用是为两个远程节点间提供足够的带宽资源,这一层是互联网的基础,也是最终用户流量的汇聚点。作为IDC而言,核心层通常位于电信主干网的入口,是IDC连接主干网的枢纽所在。分发层主要用来划分网络区域的层次,它负责区域内部的路由和网络流量处理,包括路由协议和路由更新。访问层用以连接最终网络用户,通常IDC租用用户所直接接触到的都是访问层的路由和交换设备。一般一个IDC网络的典型结构如图1所示:
图1 典型的IDC网络拓朴
在电信IDC机房中,由于出于对成本的考虑,很多时候不可能为每台托管服务器提高安全保护,因此多数情况下所有托管服务器是在一台防火墙的保护之下,共享其资源。如图2所示:
图2 普通防火墙防护
对于电信IDC来说,业务的稳定性是至关重要的,尤其对于服务器托管服务更是重中之重,因为,这项业务不仅关系着IDC机房的盛誉,更会影响到电信的营业收入。那么如何能够在安全方面投入最低,但却能够获得最高的安全回报呢?具有虚拟防火墙功能NetEye5200防火墙可谓是最佳选择。
在IDC机房中,并不是所有的服务器都会同时遭受黑客的攻击。通常,遭受攻击的只是其中的某台服务器,例如WEB服务器、邮件服务器等,一旦受用户托管的某台服务器遭受到攻击的时候,防火墙会耗费大量系统资源来抗击黑客的攻击流量,由于防火墙处在网络出口节点的位置,系统资源的大量消耗会严重影响其它服务器的正常应用,正所谓城门失火怏及池鱼,势必导致电信IDC的服务质量大大降低。
如何提高IDC的服务水平?NetEye 5200防火墙虚拟防火墙功能给出了很多好的答案。如图3所示:
图3 NetEye虚拟防火墙功能
第一,从定义来看一台防火墙可以逻辑上划分为多台防火墙,所有的系统资源都按比例被分配到各个独立的虚拟防火墙中,当有攻击发生时,各个虚拟防火墙将抵挡各自的攻击,既便某个虚拟防火墙系统资源被网络攻击耗尽,也不会影响其他的虚拟防火墙系统,也就是说其它的服务器仍然可以正常运行,这大大提高了电信IDC的服务质量。
第二,从硬件成本上大大降低了电信的资金投入,用一台防火墙就可以起到多台防火墙的防护水平。
第三,从托管用户方面来看,所属服务器受一台独立的防火墙来保护,其满意程度也会大幅提升,并会吸引更多的托管用户,从而间接的增加了IDC的营业额。
第四,从管理维护的角度来说,网络管理员通过对一台防火墙的管理,起到了对多台设备统一管理的目的,大大降低了管理难度,减少了维护的复杂度。
另外,面对企业的安全资金投入有限,仅能购买一台防火墙,但却又有对内部财务网络单独防护的需求的这种情况。东软可以利用NetEye防火墙的虚拟防火墙功能,将财务网络从内网中剥离出来,单独划分到NetEye防火墙的虚拟防火墙系统中进行单独的防护。这样不仅有效的避免由于内网的蠕虫爆发导致对财务系统的危害,更能保证财务系统的正常运行。具体部署如图4所示:
图4 NetEye虚拟防火墙部署图
从上面的例子不难看出,虚拟防火墙功能是一个贴近用户需求,切实为用户带来很高的投入产出比而设计的安全功能。其最直接的好处即是帮助用户提高IDC的安全防护能力、简化对防火墙的管理、降低投入成本、赢得更高收入回报。