云宏大講壇 | 靈活輕便的云宏CNware虛擬防火墻

防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的屏障，按照系統(tǒng)管理員預先定義好的規(guī)則來控制數(shù)據(jù)包的進出，是系統(tǒng)的第一道防線，其作用是防止非法用戶的進入。虛擬防火墻就是可以將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統(tǒng)都可以被看成是一臺完全獨立的防火墻設(shè)備，可擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認證數(shù)據(jù)庫等。

以上描述的防火墻一般用于數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，而云宏君接下來描述的虛擬防火墻則有所不同，它用于數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)中虛擬機與虛擬機、虛擬機與物理機之間的網(wǎng)絡(luò)通信，是一種虛擬網(wǎng)絡(luò)的網(wǎng)絡(luò)流量控制防火墻解決方案。

傳統(tǒng)虛擬防火墻解決方案大體是參考物理機的防火墻實現(xiàn)

傳統(tǒng)虛擬防火墻解決方案大體是參考物理機的防火墻實現(xiàn)，在虛擬機內(nèi)運行虛擬機防火墻軟件，算是更完整地貫徹虛擬的方針。

為了便于調(diào)控虛擬防火墻的策略和配置，每臺物理機上都需要部署一個防火墻模塊，以接收來自防火墻控制器發(fā)送的配置信息和防火墻策略進行網(wǎng)絡(luò)流量的檢測。在主機集群的控制節(jié)點上部署防火墻控制器，用于對整個集群環(huán)境中所有的防火墻模塊進行統(tǒng)一管理和策略配置。用戶或云計算管理節(jié)點的防火墻策略信息發(fā)送給防火墻控制器，實現(xiàn)對虛擬防火墻的調(diào)控。

換言之，防火墻控制器需要建立連接，用戶配置的防火墻策略信息必須通過防火墻控制器的可實施性預分析，才能將用戶配置的防火墻策略信息發(fā)送給防火墻模塊。一旦連接斷開，就需要用戶根據(jù)控制器反饋信息進行修改。除此之外，采用虛擬防火墻軟件方式安裝防火墻，通常需要安裝其他不相干的模塊，哪怕實際上只用得上防火墻模塊。而且有的防火墻軟件過濾規(guī)則要逐條過濾網(wǎng)絡(luò)流量，性能較差。

云宏CNware虛擬防火墻采用了基于OpenvSwitch（簡稱OVS）的openflow流表

為了有效地解決傳統(tǒng)方案的弊端，云宏CNware虛擬防火墻采用了基于OpenvSwitch（簡稱OVS）的openflow流表，配置網(wǎng)絡(luò)流量過濾規(guī)則實現(xiàn)虛擬防火墻功能。CNware虛擬化主機默認采用OVS作為網(wǎng)絡(luò)管理堆棧。物理主機下面的虛擬機網(wǎng)絡(luò)通信都會經(jīng)過OVS下面的bridge，bridge的作用就是虛擬交換機。在bridge上設(shè)置openflow流表規(guī)則，就可以控制網(wǎng)絡(luò)流量的通過，實現(xiàn)虛擬防火墻的功能。

云宏CNware虛擬防火墻通過程序下發(fā)用戶自定義規(guī)則到openflow，能使網(wǎng)絡(luò)流量交由openflow進行過濾，下發(fā)的規(guī)則信息包括防火墻規(guī)則所屬物理主機、源類型、源對象值、協(xié)議、端口號、目標類型、目標對象值、單雙向等信息。數(shù)據(jù)包符合規(guī)則的就可以通過虛擬交換機（列入白名單），反之則不能通過（列入黑名單）。

與傳統(tǒng)方案相比，云宏CNware虛擬防火墻不需要防火墻控制器模塊，避免防火墻控制的連接問題，而且層次結(jié)構(gòu)更加簡潔，性能更高效。另外，解決方案使用IP、IP段、MAC等多種配置規(guī)則，配置策略更豐富、更靈活。