解析虚拟防火墙的管理和可扩展性

      解析虚拟防火墙的管理和可扩展性无评论
  • 随着虚拟化基础设施的发展,众多企业感到在这些环境中,需要利用并扩展现有的物理网络安全工具来提供更大的可视性和功能性。虚拟防火墙是当今可用的主要的虚拟安全产品之一,也有很多选择性;Check Point有VPN-1防火墙的虚拟版本(VE),思科提供的虚拟网关产品仿真ASA防火墙。Juniper拥有更具特色的虚拟网关(the vGW line),来源于其Altor Networks收购项目,Catbird和Reflex Systems都有虚拟防火墙产品和功能。因此,在评估虚拟防火墙技术的时候我们要考虑什么呢?

    虚拟防火墙:管理和可扩展性

    在深入钻研虚拟防火墙的具体内容之前,确定是否需要非常重要。很多小型的虚拟化部署很可能不需要。然而,多变敏感级别的大量虚拟机,以及高度复杂的虚拟网络,在多层防御战略中,虚拟防火墙技术就有相当有可能起作用。要注意的是在大多数案例中,虚拟防火墙取代所有的物理防火墙是完全不可能的(尽管一些兼并寄望于大量的物理防火墙)。假设你需要一个虚拟防火墙,怎么办呢?

    对于任何安全或者网络团队来说有一些关键的注意事项,包括评估虚拟防火墙。首先,需要评估的两方面类似于你对物理防火墙所作出的评估:可扩展性和管理。从管理方面来看,首先要确定是否能够通过一个单独的控制台(通常是基于Web的)进行主要管理,或者集成到虚拟化管理平台进行管理(像VMware的vCenter)。对于单独的控制台,标准管理要考虑应用,像易用性、基于角色的访问控制、配置选项的粒度等等。另一方面要考虑虚拟设备的命令行管理功能,以及他们如何被访问。例如,大多数思科工程师更喜欢命令行IOS操作,大多数防火墙可以通过SSH来访问。

    可扩展性是虚拟防火墙的关键,尤其是对于大型复杂环境。虚拟防火墙可扩展性归根结底是两方面的内容。首先,需要确定单一虚拟防火墙可以调节多少虚拟机或者/和虚拟交换机。对于大型环境,众多虚拟交换机和VM在单一的超级管理器上,就是个大问题。第二个可扩展性主要关注的是从厂商的控制台可以管理的虚拟防火墙的数量,以及各种虚拟防火墙设备之间的策略和配置细节如何更好地共享。

发表评论