论文虚拟防火墙在云计算环境中的应用,本文是关于应用研究类毕业论文题目范文和云计算环境和虚拟防火墙和应用研究有关本科论文开题报告范文.
洪 军, 黄志英
(中国人民解放军 63886 部队, 河南 洛阳 471003)
[摘 要] 虚拟防火墙是为解决虚拟计算环境下网络资源访问控制而提出的, 它在一定程度上解决了传统防火墙无法应对的虚拟环境下的网络安全问题. 通过分析虚拟防火墙的应用形态和采取的技术路线, 深入研究了虚拟云计算环境下虚拟防火墙的应用, 解决了虚拟环境下传统安全防护手段难以解决的问题, 为工程实践提供了理论基础和技术支撑.
[关键词] 防火墙; 云计算; 虚拟机
中图分类号: TP393.08 文献标志码:A 文章编号: 1008-1739 (2017) 15-70-3
1 引言
随着虚拟化和云计算的出现,在虚拟化和云计算环境中很多入侵流量并不会路由到外面的物理设备上,而是在物理机内部的虚拟机之间完成.那么传统的防火墙如何适应虚拟机和云计算环境下新的要求, 这是一个新的问题. 虚拟防火墙产生的目的是解决网络安全的虚拟化漏洞问题,虚拟防火墙本身为虚拟设备, 它复制了物理防火墙的功能, 运行在虚拟环境中, 可以对通过物理网络的流量应用安全策略, 既实现了安全性又不影响虚拟化的灵活性 [1] .
2 虚拟防火墙的应用形态
虚拟防火墙是在一台物理防火墙上虚拟出多台逻辑上的防火墙,具有各自的管理员,并配置完全不同的安全策略, 各台虚拟防火墙的安全策略互不影响 [2] .目前, 虚拟防火墙的应用形态主要分为 3 种: 一虚多、 多虚一和化整为零的虚拟机.
2.1 一虚多
在大规模云计算场景下,通常将一台物理设备进行 1:虚拟化之后提供给不同用户使用.虚拟防火墙同样采用虚拟化的形式将一台物理防火墙进行虚拟分割,为不同业务数据提供相互隔离,能够独立管理、独立审计和独立执行安全策略, 同时能够给每个虚拟防火墙分配独立的处理能力.
2.2 多虚一
传统网络环境下,防火墙一般采用双机热备技术来提高系统可靠性和负载均衡能力 [3] , 用以支撑更大的业务规模, 而通过这种多台物理设备虚拟成一台更加强大设备的方式, 称之为 : 1 虚拟化 (或多虚一) , 这种虚拟化方式实现了管理和控制上的统一, 让组网部署更加简单, 有效利用链路带宽, 提高系统稳定性, 大幅减少故障点带来的业务切换冲击, 而多虚一之后, 还可以把集群再次进行一虚多, 也就是 : 1: 的方式, 从而提供更多的灵活性和可管理性.
2.3 化整为零的 VFW 虚拟机
VFW 是物理防火墙的一种软件形态, 功能与实体防火墙相当, 但可以作为虚拟机的镜像来运行, 部署更灵活, 与 SDN配合, 可以实现当行的服务链 [4] , 从而提供给用户安全、 快速和稳定的网络服务.
虽然虚拟防火墙功能已出现多年,大多数设备厂商也宣称支持虚拟防火墙功能, 但实际上, 虚拟防火墙与传统防火墙的实现原理却不大相同, 而正是实现原理的不同, 造成了虚拟防火墙在实际使用中的表现也与传统防火墙有很大不同.
3 虚拟防火墙采取的技术路线
目前虚拟防火墙的实现大致包括 2 种技术路线: 基于虚拟路由实现和基于虚拟机实现.
3.1 基于虚拟路由 (VRF) 实现
这是目前多数防火墙设备采取的技术路线.在数据层面,围绕转发表项,通过 VRF 或类似技术将要转发的相关表项(如路由表和 ARP 表) 分割成多个逻辑表, 实现报文转发的隔离; 在管理层面, 为不同虚拟防火墙关联不同的管理员, 实现管理的分离; 在控制层面, 需要针对每种业务逐一考虑虚拟化改造, 使其支持虚拟化.这种虚拟化方案, 本质上是一种多实例技术, 是在已有非虚拟化的系统架构上, 对一些主要安全业务进行多实例改造, 基于虚拟路由的防火墙构造如图 1 所示.
3.2 基于虚拟机实现
这种方案可以看作是 VFW 的物理机化, 虚拟防火墙作为一个操作系统 (GuestOS) 运行在虚拟化的硬件环境中, 如图 2所示.因此, 基于虚拟机的虚拟化, 从安全业务的角度来说, 是一种完全的虚拟化方案, 更容易部署和迁移, 也避免了虚拟化后导致的部分功能缺失的问题.但是, 基于虚拟机的虚拟化通过虚拟机监视器 (Hypervisor) 作为中间层, 给上层构造了一个完全独立的虚拟硬件空间, 每个子操作系统 (GuestOS) 需要独立构造完整的操作系统和业务环境, 由此也带来了一些问题.比如,单台物理设备或者服务器上运行的虚拟防火墙数量很少及报文转发的时延加大等,使得这种方案更适合部署在虚拟防火墙数量要求不多和业务性能不高的场景.
总体来说, 无论是应用形态还是技术路线, 最终目的是为个体用户服务.用户对产品始终有着明确的功能预期, 拒绝越权访问和阻断非法链接是其 2 项最核心的要务,而核心能力在于数据通信、 访问控制和特征匹配: ① 数据通信是指一台设备的网络环境适应性、 性能期可靠性等, 是安全网关产品的一个必要条件,其能力的高低直接决定防火墙的部署场景和所保护网络的可用性; ② 访问控制是一台防火墙的核心目标, 为了提高其精细度,其技术已经从传统的五元组控制发展至基于应用层的八元组, 实现了对网络用户、 应用和内容的控制;③ 特征匹配则是防火墙识别攻击和非法连接的主要技术手段,无论是病毒防护、入侵防御还是恶意*防护等安全功能, 都高度依赖相应威胁特征的匹配, 随着威胁的进化, 还引入了行为特征的匹配技术.
4 虚拟防火墙在云计算环境中的应用
随着信息技术和云计算的飞速发展,传统设备叠加式的网络安全解决方案已经难以解决当前云计算环境下的网络安全问题, 必须要聚焦在虚拟环境下, 以虚拟的设备对待虚拟的环境, 进而解决虚拟环境背景下的网络安全问题, 虚拟防火墙在云计算环境中的应用场景主要有如下几种.
4.1 云数据中心多用户
在大型云计算中心, 网络出口流量巨大, 单台防火墙受限于系统资源, 存在瓶颈问题, 即使是机架设备, 也有处理能力的上限.除了纵向流量防护, 横向流量也会被纳入检测范畴,这样就需要更加富有弹性的性能扩展方案.网络安全解决方案需要考虑纵向和横向 2 种扩展模式,分别针对虚拟防火墙的容量和数量进行扩展.在多用户的场景下, 每个用户独享一个虚拟防火墙,虚拟防火墙管理员还可以继续创建本虚拟防火墙内独立的 VPN 多实例,这种 1: : 虚拟方式可以满足用户内部的进一步业务隔离需求.在 VPC 应用场景中,对外的互联链路只有一条,传统方案需要出口路由器设置复杂的NAT 方案, 再与防火墙子接口进行配合, 而虚拟防火墙会被要求支持接口共享虚拟化,允许一个物理接口被多个虚拟防火墙共享,并在不同的虚拟防火墙实例中生成不同的接口MAC, 确保报文的正确送达, 并简化配置 [5] .
4.2 双活数据中心
在这种场景下,防火墙与交换机的多虚一集群功能被综合利用起来, 2 个数据中心的核心交换机组成集群,而出口防火墙也组成集群,这种双活组网部署简单,有效利用链路带宽, 提高系统稳定性, 大幅减少故障点带来的业务切换冲击.
4.3 私有云的应用多子站隔离防护
私有云是为一个用户单独使用而构建的,核心属性为专有资源.这类问题是对外统一的联网出口, 对内却有多种业务和多个子站点, 某个业务遭到攻击, 可能造成站点瘫痪, 或者业务发展迅速, 新业务层出不穷, 对新增业务站点和子站点的安全配置响应慢、 扩展性不足.虚拟防火墙需要对每种业务进行单独防护, 各虚拟防火墙彼此资源隔离, 单个防火墙出现问题不影响整机, 并且可以做到按需分配, 每个业务的管理员可以自助管理, 做到安全防护资源隔离、 各自独立、 提高效率、 简化管理虚拟资源池及按需扩展 [6] .
5 结束语
随着云计算的发展, 人们的安全意识越来越强, 对安全的管理颗粒度也越来越细, SDN/NFV 的落地也让安全随需而动成为可能, 场景化、 细粒度、 资源池化、 业务随行及按需随时加载, 所有这些, 都会为虚拟防火墙创造新的增长空间.对于用户而言, 安全产品只有做到有用、 能用才能真正发挥最大的价值,以用户名义定义下一代防火墙,不仅融合必要的安全功能, 能够防御更复杂、 更隐秘的攻击, 能够用数据支撑用户建立并持续高效运行安全管理闭环,更要拥有简约的人机交互界面和及时的正反馈激励, 具备极致的用户体验.
此文汇总:本文是一篇大学硕士与应用研究本科应用研究毕业论文开题报告范文和相关优秀学术职称论文参考文献资料,关于免费教你怎么写云计算环境和虚拟防火墙和应用研究方面论文范文.
参考文献:
1、 农业云计算环境下大数据处理软件的选型和部署 摘 要本文从农业云计算环境下大数据处理的具体需求出发,对比了当前主要的大数据处理工具的特点,通过综合分析确定开源免费的Hadoop作为大数据处理软件 文中详细阐述了Hadoop的部署思路及详细的命令,.
2、 云计算环境下网络环境安全问题 【摘要】 云计算的诞生和发展是人们在电子计算技术上的一项重大突破,其广泛运用于各个领域并为人们提供更多便利 但与此同时营造良好的网络环境确保云计算更好发挥优势服务大众,也是当下的重点和难点 本文就云计.
3、 云计算环境下的业务流动态配置 郭宝军 兰州交通大学博文学院【摘要】 在中国不断发展的社会环境下,人民的生活水平日益提高,越来越重视科学技术的发展 尤其是在各类企业中 当今人们所处的社会环境竞争日益激励,企业所处的商业环境也再不停的.
4、 大数据时代云计算环境下的数据安全 摘要云计算将成为大数据时代主流计算方式,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务 利用云计算,用户能够使用大量的未限制资源 本文主要分析了云.
5、 云计算环境下的档案信息资源建设 【摘要】云计算的产生,为档案信息资源建设提供了无限的空间和强大的计算能力,如何利用云计算的技术和模式开展数字化档案信息资源建设已成为档案工作人员所要思考的问题 【关键词】云计算;档案信息资源;建设一、.
6、 云计算环境下数字图书馆虚拟化安全问题和 摘要分析云计算环境下数字图书馆的特点,归纳了云计算环境下数字图书馆虚拟化安全问题,阐述了云计算环境下数字图书馆虚拟化安全问题的解决对策 关键词云计算数字图书馆虚拟化安全数据管理分类号G250 761 .