随着虚拟化基础设施的发展,众多企业感到在这些环境中,需要利用并扩展现有的物理网络安全工具来提供更大的可视性和功能性。虚拟防火墙是当今可用的主要的虚拟安全产品之一,也有很多选择性;Check Point有VPN-1防火墙的虚拟版本(VE),思科提供的虚拟网关产品仿真ASA防火墙。Juniper拥有更具特色的虚拟网关(the vGW line),来源于其Altor Networks收购项目,Catbird和Reflex Systems都有虚拟防火墙产品和功能。因此,在评估虚拟防火墙技术的时候我们要考虑什么呢? 虚拟防火墙:管理和可扩展性 在深入钻研虚拟防火墙的具体内容之前,确定是否需要非常……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
随着虚拟化基础设施的发展,众多企业感到在这些环境中,需要利用并扩展现有的物理网络安全工具来提供更大的可视性和功能性。虚拟防火墙是当今可用的主要的虚拟安全产品之一,也有很多选择性;Check Point有VPN-1防火墙的虚拟版本(VE),思科提供的虚拟网关产品仿真ASA防火墙。Juniper拥有更具特色的虚拟网关(the vGW line),来源于其Altor Networks收购项目,Catbird和Reflex Systems都有虚拟防火墙产品和功能。因此,在评估虚拟防火墙技术的时候我们要考虑什么呢?
虚拟防火墙:管理和可扩展性
在深入钻研虚拟防火墙的具体内容之前,确定是否需要非常重要。很多小型的虚拟化部署很可能不需要。然而,多变敏感级别的大量虚拟机,以及高度复杂的虚拟网络,在多层防御战略中,虚拟防火墙技术就有相当有可能起作用。要注意的是在大多数案例中,虚拟防火墙取代所有的物理防火墙是完全不可能的(尽管一些兼并寄望于大量的物理防火墙)。假设你需要一个虚拟防火墙,怎么办呢?
对于任何安全或者网络团队来说有一些关键的注意事项,包括评估虚拟防火墙。首先,需要评估的两方面类似于你对物理防火墙所作出的评估:可扩展性和管理。从管理方面来看,首先要确定是否能够通过一个单独的控制台(通常是基于Web的)进行主要管理,或者集成到虚拟化管理平台进行管理(像VMware的vCenter)。对于单独的控制台,标准管理要考虑应用,像易用性、基于角色的访问控制、配置选项的粒度等等。另一方面要考虑虚拟设备的命令行管理功能,以及他们如何被访问。例如,大多数思科工程师更喜欢命令行IOS操作,大多数防火墙可以通过SSH来访问。
可扩展性是虚拟防火墙的关键,尤其是对于大型复杂环境。虚拟防火墙可扩展性归根结底是两方面的内容。首先,需要确定单一虚拟防火墙可以调节多少虚拟机或者/和虚拟交换机。对于大型环境,众多虚拟交换机和VM在单一的超级管理器上,就是个大问题。第二个可扩展性主要关注的是从厂商的控制台可以管理的虚拟防火墙的数量,以及各种虚拟防火墙设备之间的策略和配置细节如何更好地共享。
虚拟防火墙:集成
对于虚拟防火墙至关重要的评估点就是防火墙如何实际地集成到虚拟化平台或者环境中。有两个通用的实现方法。第一个也是最简单的一个:防火墙是虚拟设备或者具体的虚拟机(VM)。就像任何其他VM一样可以加载到超级管理器上,然后进行配置,同新的或者现有的虚拟路由器工作。这种模式的好处就是简单以及易于实现,不好的地方在于包含了超级管理器上更高的性能影响,与虚拟化基础架构集成较少,可能配置选择更少。
第二个实现方法是完全同超级管理器内核集成,我们熟知的虚拟机监视器(VMM)。这样提供了访问本地超级管理器和管理平台API,同时自动化性能和低水平的VM流量识别,但是可能也需要额外的时间和精力来正确地安装和配置平台,一些高度自定制虚拟化环境可能会遇到稳定性问题或者冲突。
在评估虚拟防火墙的时候需要考虑的其他因素包括物理安全集成和VM安全策略深度和广度。虚拟防火墙可以“看到”虚拟环境中发生了什么,但是它们能够向物理副本转播警告和安全信息吗?要考虑任何本地或者和物理防火墙、IDS/IPS甚至是管理平台的简单集成功能。此外,虚拟防火墙可以也应该能够超前即将到来的流量以及即将进入的虚拟环境评估VM配置和安全情形。一些虚拟防火墙可以反恶意软件、网络访问控制(NAC)以及配置管理和控制函数,所有的这些都增加了其特性价值。
作者
Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。
相关推荐
-
Azure VM Scale集最佳使用时间
Microsoft的Azure VM Scale集是一系列的虚拟机集合,可以作为一个单元进行管理。 在一个规模集合中的虚拟机都以相同的方式配置。
-
容器 VS. 虚拟机:云中应该使用哪一种?
虽然目前大多数的云部署都是基于虚拟机的,但是容器技术为云用户带来了显著的好处。但是,在选择一个取代之前技术的替代品时,了解两者之间的主要区别是很重要的。
-
win10中安装vmware12,虚拟机中所做的修改重启虚拟机后都恢复了。怎么解决? [ 虚拟化]
-
如何看待Google推出的抢占式虚拟机?