网络防火墙的意义（网络防火墙的紧张 性）〔网络防火墙的重要性〕

　　最常见的网络安全产物 是什么？非防火墙莫属

　　大概 古代打仗最有威胁的战术是火攻，以是 人们要高筑城墙抵抗 这种攻击 。

　　这阵式 ，岂止是防火？

　　厥后 ，在网络天下 ，人们为了防御来自于外部网络的各种攻击 ，也“筑 ”起了一道墙，这就是网络防火墙。由于 这个渊源，以是 时至本日 ，我们看到各种防火墙图标，还都有点“砖头”边幅 。

　　就像传统城墙不但 仅能防火一样，网络防火墙历经三十年的发展，无论硬件架构和软件功能都发生了翻天覆地的变革 ▼

　　而根据摆设 的位置和掩护 的对象差别 ，防火墙的形态又进一步细分：个人防火墙 、边界 防火墙、数据中心 防火墙、web防火墙…

　　本日 ，我们想单独来谈谈防火墙的一种特别 分类——假造 防火墙 。

　　看漫画学习三大类假造 防火墙

　　第一类，分身有术“一虚多”

　　↑

　　看过火 影的同砚 对分身术应该都不陌生 ，通过这种“分身术 ”可以将身材 裂变为多个，分别实行 差别 的任务 ，每个“分身”相互 独立。

　　而在大规模云盘算 场景下 ，存在将一台物理装备 举行 1：N假造 化之后提供给差别 租户利用 的需求。假造 防火墙的“分身”之间业务数据相互隔离，可以或许 提供独立管理 、独立审计、独立安全战略 ，同时可以或许 给每个假造 防火墙分配独立的处理 惩罚 本领 。

　　第二类 ，合体金刚“多虚一 ”

　　↑

　　若要秒懂“多虚一”的功能，就让我们再来看一部动画片《七龙珠》吧，在这部动画片里 ，多次出现过超等 赛亚人合体的环境 ，悟空与贝吉塔的合体、悟天与特兰克斯的合体，目标 就是使本身 更强大 。

　　不停 以来，防火墙都用双机技能 来进步 可靠性 、提供负载均衡 本领 ，用来支持 更大的业务规模，而通过这种多个物理装备 假造 成一台“更强大 ”装备 的方式，我们称之为N:1假造 化 ，大概 多虚一。

　　“多虚一”实现了管理和控制上的同一 ，让组网摆设 更加简单 ，有效 利用 链路带宽 ，进步 体系 稳固 性，大幅镌汰 故障点带来的业务切换打击 ，而“多虚一 ”之后 ，还可以把集群再次“一虚多”，提供更大的机动 性和可管理性。

　　第三类，化整为零的vFW假造 机

　　↑

　　讲到vFW ，我们不妨再拿出一部漫画，柯南着实 是另一种形态的新一，身材 固然 差别 ，但是智商和破案本领 却是完全同等 的 ，而且，由于柯南是小门生 形象，不引人注目 ，举措 更自由，以是 办案更犀利 。

　　vFW是物理防火墙的一种软件形态，功能与实体墙相称 ，但可以作为假造 机的镜像来运行，摆设 更机动 ，与SDN/NFV共同 ，可以实现当下盛行 的服务链(Service Chain)。

　　什么是服务链(Service Chain)：当网络流量按照业务逻辑所要求的既定的次序 ，颠末 业务节点（重要 指安全装备 如防火墙、LB、IPS等），提供给用户安全、快速 、稳固 的网络服务 ，这就是服务链（Service Chain）。

　　李逵与李鬼，都叫假造 防火墙，着实 大差别

　　假造 防火墙的功能喊了很多 年，尤其1:N假造 化(一虚多)在实际 项目和招投标中出镜率很高 ，而业内大多数安全厂商也都宣称支持假造 防火墙功能 。

　　但实际 上，假造 防火墙的实现原理却大不雷同 ，而正是这种实现原理的差别 ，造成了“虚墙”的在实际 利用 中的表现 大相径庭。

　　简单 来讲，如今 假造 防火墙的实现有三种技能 蹊径 ：

　　蹊径 一：基于假造 路由(VRF)实现

　　这是如今 大多数防火墙厂家采取 的蹊径 ，在数据平面 ，围绕转发表，通过VRF或雷同 技能 将转发相干 的表项（如路由表、ARP表）分割成多个逻辑的表，实现报文转发的隔离；在管理平面 ，为差别 假造 防火墙关联差别 的管理员，实现管理的隔离；在控制平面，必要 针对每种业务逐一思量 假造 化的改造 ，使其支持假造 化。

　　这种假造 化方案，本质上是一种多实例技能 ，是在已有非假造 化的体系 架构上，对一些重要 安全业务举行 多实例的改造 ，而4~7层安全业务本领 险些 完全不能支持假造 化，比如 当下盛行 的NGFW很多 应用层安全本领 。

　　蹊径 二：基于假造 机(VM)实现

　　这种方案可以看作是vFW的物理机化，假造 防火墙作为一个GuestOS运行在假造 化的硬件环境 中 ，因此，基于假造 机的假造 化从安全业务的角度来说，是一种完全的假造 化方案 ，更轻易 摆设 和迁徙 ，也克制 了假造 化后导致的部分 功能缺失的题目 。

　　但是，基于假造 机的假造 化通过Hypervisor或Emulator作为中心 层 ，给上层构造了一个完全独立的假造 硬件空间，每个GuestOS必要 独立构造完备 的操纵 体系 和业务环境 ，由此也带来了一些题目 。比如 ，单台物理装备 /服务器上运行的假造 防火墙数量 很少，报文转发时延加大等 。使得这种方案更得当 摆设 在假造 防火墙数量 要求不多、业务性能不高的场景。

　　蹊径 三：基于容器(Container)实现

　　该蹊径 以H3C的SOP架构为代表，采取 基于容器的假造 化方案，在一个安全引擎内 ，通过唯一的OS内查对 体系 硬件资源举行 管理，每个假造 防火墙作为一个容器实例运行在同一个内核之上。容器与容器之间的运行空间完全隔离，天然 具备了假造 化特性 ，相比传统的VRF隔离，具有更好的数据安全性 。在一个容器中，运行了完备 的防火墙业务体系 (包罗 管理平面 、控制平面、数据平面) ，假造 防火墙支持的功能与物理体系 的功能高度同等 。

　　别的 ，由于多个假造 墙共享同一 的OS内核，可以从调治 入口机动 分配每个假造 墙的处理 惩罚 本领 比如 吞吐、并发 、新建等 ，也可以在线动态地增长 资源。

　　末了 ，基于容器的假造 化实如今 容器中并不必要 运行完备 的操纵 体系 ，镌汰 了由于完全假造 化带来的内存开销 ，每个vFW可以直接通过内核和物理硬件交互，克制 了和假造 装备 交互署理 的性能斲丧 ，以是 可以支持更多的假造 防火墙实例，而不会对体系 性能造成实质影响。

　　看看下表 ，我们就更轻易 相识 ，到底哪种架构的假造 防火墙更有实际 意义▼

　　孰优孰劣，一览无余

　　我们知道 ，厂商们在产物 彩页内里 是不会具体 先容 防火墙假造 化实现机制的，怎样 才华 在实际 项目中一眼辨别“李逵 ”与“李鬼”呢？

　　第二类基于假造 机蹊径 的，实际 应用案例不多 ，一样平常 用于demo大概 讲授 实行 环境 ，也很轻易 辨别 ，特点是可以开启的虚墙数量 很少 ，而且新开虚墙必要 很长的时间 。

　　对于第一类VRF蹊径 的，最轻便 的辨认 方式是看假造 防火墙可否 单独重启，假如 不可以 ，那么肯定 是基于VRF来实现的伪假造 化。

　　一言以蔽之，VRF虚墙实用 于噱头竞标环境 ，VM虚墙实用 于实行 讲授 环境 ，容器虚墙才实用 于实战环境 。

　　小黑羊吐槽

　　从前 做项目标 时间 总是感慨 ，互换 机卖了上百台，才华 用到一、两台防火墙，由于 两类装备 的摆设 位置和功用差别 。那么有了真实可用的假造 化防火墙参加 ，一台能当多台用，是不是防火墙的销量就更可怜了呢？

　　着实 ，人们的安全意识越来越强 ，对安全的管理粒度也越来越细，SDN/NFV的落地也让安全随需而动成为大概 ，场景化、细粒度 、资源池化、业务随行、按需即时加载 ，全部 这些，都会为防火墙创造新的增长空间。

　　假造 防火墙“玩虚的”期间 已经竣事 ，盼望 它可以踏实落地！