防火牆是位於內部網和外部網之間的屏障,按照系統管理員預先定義好的規則來控制數據包的進出,是系統的第一道防線,其作用是防止非法用戶的進入。虛擬防火牆就是可以將一臺防火牆在邏輯上劃分成多臺虛擬的防火牆,每個虛擬防火牆系統都可以被看成是一臺完全獨立的防火牆設備,可擁有獨立的系統資源、管理員、安全策略、用戶認證數據庫等。
以上描述的防火牆一般用於數據中心內部網絡和外部網絡之間,而云宏君接下來描述的虛擬防火牆則有所不同,它用於數據中心內部網絡中虛擬機與虛擬機、虛擬機與物理機之間的網絡通信,是一種虛擬網絡的網絡流量控制防火牆解決方案。
傳統虛擬防火牆解決方案大體是參考物理機的防火牆實現
傳統虛擬防火牆解決方案大體是參考物理機的防火牆實現,在虛擬機內運行虛擬機防火牆軟件,算是更完整地貫徹虛擬的方針。
爲了便於調控虛擬防火牆的策略和配置,每臺物理機上都需要部署一個防火牆模塊,以接收來自防火牆控制器發送的配置信息和防火牆策略進行網絡流量的檢測。在主機集羣的控制節點上部署防火牆控制器,用於對整個集羣環境中所有的防火牆模塊進行統一管理和策略配置。用戶或雲計算管理節點的防火牆策略信息發送給防火牆控制器,實現對虛擬防火牆的調控。
換言之,防火牆控制器需要建立連接,用戶配置的防火牆策略信息必須通過防火牆控制器的可實施性預分析,才能將用戶配置的防火牆策略信息發送給防火牆模塊。一旦連接斷開,就需要用戶根據控制器反饋信息進行修改。除此之外,採用虛擬防火牆軟件方式安裝防火牆,通常需要安裝其他不相干的模塊,哪怕實際上只用得上防火牆模塊。而且有的防火牆軟件過濾規則要逐條過濾網絡流量,性能較差。
雲宏CNware虛擬防火牆採用了基於OpenvSwitch(簡稱OVS)的openflow流表
爲了有效地解決傳統方案的弊端,雲宏CNware虛擬防火牆採用了基於OpenvSwitch(簡稱OVS)的openflow流表,配置網絡流量過濾規則實現虛擬防火牆功能。CNware虛擬化主機默認採用OVS作爲網絡管理堆棧。物理主機下面的虛擬機網絡通信都會經過OVS下面的bridge,bridge的作用就是虛擬交換機。在bridge上設置openflow流表規則,就可以控制網絡流量的通過,實現虛擬防火牆的功能。
雲宏CNware虛擬防火牆通過程序下發用戶自定義規則到openflow,能使網絡流量交由openflow進行過濾,下發的規則信息包括防火牆規則所屬物理主機、源類型、源對象值、協議、端口號、目標類型、目標對象值、單雙向等信息。數據包符合規則的就可以通過虛擬交換機(列入白名單),反之則不能通過(列入黑名單)。
與傳統方案相比,雲宏CNware虛擬防火牆不需要防火牆控制器模塊,避免防火牆控制的連接問題,而且層次結構更加簡潔,性能更高效。另外,解決方案使用IP、IP段、MAC等多種配置規則,配置策略更豐富、更靈活。